信息安全助推金融業務創新

2015-02-01 12:53:12 大云網　點擊量：評論 (0)

信息安全助推金融業務創新很多人視信息安全與業務創新是兩駕背道而馳的馬車，各有各奔馳的方向;甚至一些人誤認為信息安全是業務創新的絆腳石，為了安全而拒絕創新。然而，近年來金融機構創新服務的實踐證實了信

信息安全助推金融業務創新

很多人視信息安全與業務創新是兩駕背道而馳的馬車，各有各奔馳的方向;甚至一些人誤認為信息安全是業務創新的絆腳石，為了安全而拒絕創新。然而，近年來金融機構創新服務的實踐證實了信息安全助推業務創新。

全球第一臺自動取款機40多年前在英國面世，雖然當時ATM取款介質為一次性紙質支票，與后來的磁條卡或IC卡不同，但這種紙質提款介質已具備眾多安全認證功能，包括機器可閱讀及辨識的碳14標識及個人識別碼等。正是這些安全功能讓自助取款得以實現，由此可見安全與創新的緊密聯系。

創新(Innovation)和發明(Invention)是兩個看起來意思相近的詞語，但兩者最大的差別就是可持續性(Sustainability)。發明泛指個人在腦海中浮現的新概念、新產品、新技術、新服務、新流程;創新同樣是指新概念、新產品、新技術、新服務、新流程，但這些新概念、新產品、新技術、新服務、新流程要為市場所接受、所使用。創新是有市場價值的發明，創新改變市場行為和態度。因此，不是所有的發明都能在市場上生存，只有那些為客戶所接受、有助于提高效能的發明，才能演變成創新。安全控制是創新可持續特性的必要因素，一個發明如果存在嚴重缺陷則不會被接受，因而不少發明在安全論證中被否決。

信息安全為業務創新保駕護航

國際互聯網是改變人類生活方式的一個重大創新，今天人們日常生活、商業活動都離不開國際互聯網。國際互聯網提供了一個隨時隨地、方便、低成本的商業環境，也帶來了虛擬環境下交易雙方身份識別的難題。在互聯網環境中，企業亦需要將原來封閉的內部網絡對外開放。

早在20世紀末，金融機構已開始在國際互聯網上拓展業務，銀行推出網上銀行服務、證券公司發展網上股票買賣服務、保險公司利用互聯網進行保險銷售、查詢服務。在這些創新業務推出時，安全控制措施沒有通用的模版，金融監管機構也沒有制定任何信息安全策略和發布安全指引。信息安全專業人員承擔著安全防范工作，構建了安全的互聯網架構，搭建了防御性偵測監控系統，建立了安全的數據傳輸通道，制定了應用安全策略等。可以說，金融機構互聯網業務創新基于安全的基礎架構之上。

隨著金融網上交易的廣泛使用，黑客向金融用戶發起惡意攻擊，借助網絡釣魚等手段進行金融詐騙，盡管這些攻擊并非直指金融企業網站，但因客戶不能有效辨識來自國際互聯網的欺詐行為而遭受經濟損失。借助信息安全技術可展開對可疑網站的偵察，監管部門可迅速關閉可疑假冒金融機構網站。信息安全為金融業務創新保駕護航。

構建基于移動設備的安全體系

隨著智能終端和移動寬帶技術的迅猛發展，智能手機、平板電腦、便攜式PC等移動設備也在不斷升級，很多金融機構利用移動終端設備拓展金融服務，紛紛推出移動銀行、移動證券交易、移動保險展業服務等。

移動終端設備的另一個應用領域是移動辦公。即員工通過移動設備接入企業網絡，隨時隨地處理電子郵件，開展工作。移動辦公在提高效率、節省成本的同時也使得企業面臨選擇難題：員工使用的移動終端設備是企業所有還是個人所有?

如果企業選擇為員工配備移動終端設備，設備管理問題則相對容易解決。企業可采取相應的技術控制措施，對員工移動設備進行有效管理。然而隨著個人擁有移動終端設備的普及化，越來越多的企業員工將移動設備引入辦公環境中，自帶終端上班BYOD(Bring YourOwn Devices)逐漸演變為一種潮流。但與此同時，針對移動智能終端的安全威脅接踵而來。移動威脅檢測數據顯示，現在平均每秒就有3.5個危害移動終端安全的新威脅產生。移動智能終端已成為黑客的攻擊目標之一，安全問題不容小視。

對個人用戶而言，各種智能操作系統安全漏洞、刷機越獄產生的安全隱患、以及越來越多的手機惡意程序都是需要面對的安全風險。企業用戶也面臨同樣的安全挑戰：在認同員工BYOD的同時，如何對員工自帶設備進行有效的安全管理，以保護企業的機密信息不受侵犯。要做好企業級移動設備安全管理，就要建立一套有效的防護策略，關鍵要做到將BYOD的工作與個人使用區分，需要注意以下幾個方面。

①設備認證。為確保授權設備才能接入企業網絡，員工必須通過身份認證并確認授權接入的終端設備。

②設備標準配置。確認準入后，設備需按企業安全配置要求，實施密碼標準、密碼失敗嘗試控制、自動鎖屏等安全管理措施。

③傳輸保密性。設備經國際互聯網連接企業內網時，在互聯網上的傳輸必須建立加密傳輸(如VPN、SSL等)通道，保障敏感數據在公網上的傳輸安全。

④企業數據保密。企業數據應只容許訪問，不容許保留在接入的移動設備上;如必須將企業數據保存到個人接入移動設備，企業數據必須與個人數據分隔，并加密保存。

⑤企業數據處理。當員工設備丟失或離職時，設備存儲的企業數據必須立即清除，設備管理必須能夠實施遠程數據刪除處理，防止企業敏感數據的泄露。

除了采取有效的技術措施外，還應制定BYOD管理制度。BYOD管理制度必須清晰表述員工將個人設備用于工作環境的操作規則，并簽訂使用協議，允許企業在個人設備上部署安全控制措施，還應進行適當宣傳培訓，使員工了解移動終端設備用于辦公環境可能導致的信息安全風險。

BYOD 安全管理策略實施后，移動設備不但可支持移動辦公，還可接收企業App Store下發的應用程序，支持創新的業務移動工作模式，實現金融服務不受地域和時間的限制。

信息安全工作不局限于對企業信息保護，要能夠準確把握內外部環境轉變，滿足市場需要，順應企業文化，前瞻性采取應變措施，建立安全可靠管理制度，做到未雨綢繆、防患于未然，使信息科技有力支撐業務發展、促進業務創新，為金融服務變革保駕護航。