聚焦信安

FOCUS

新金融 新安全

轉變安全防護思路,助力新金融安全發展
  引言
  新金融是在互聯網和信息技術革命推動下,伴隨著移動化、大數據、云計算等新興技術出現的新的金融生態和金融服務產品及模式,是金融業發展的新領域。伴隨著云計算、大數據、移動互聯網、物聯網等這些新興IT技術的發展與落地,傳統信息安全的邊界越來越模糊,新的攻擊形態層出不窮,安全威脅呈現復雜常態化趨勢。對金融領域的良性發展構成極大威脅,對整個互聯網金融行業的健康發展產生了不利影響?;チ叢踴魘剖溝媒鶉諞幸檔陌踩闌し⑸吮局時浠?線上線下融合的安全、互聯網作為新基礎設施的安全以及金融數據安全等新型安全問題,正在成為新金融環境下的新的探索領域。
  隨著2017年6月1日起正式實施《網絡安全法》,為金融行業安全提供了法律保障。各金融機構更加需要加強對新金融環境下的安全防護意識,轉變安全防護思路,在新金融領域快速發展過程中,通過加速建立自主可控信息安全技術產業體系和不斷完善金融信息安全法規制度、標準規范體系等措施,提高金融領域信息安全防范能力。

  新金融面臨的安全挑戰  

  傳統互聯網金融風險依然突出
  傳統的金融安全風險仍在存在,原有的木馬、蠕蟲、網絡中間人攻擊、數據安全等安全風險并沒有隨著新金融、新技術的發展而減少,并且隨著移動互聯網和物聯網等新技術的發展,安全防護風險在移動終端和物聯網終端領域更是進行了變化與升級,使安全問題更難發現、安全防護也更復雜;
  核心設備和技術長期依賴于國外,底層技術難以掌握,存在安全隱患。目前在金融領域中操作系統、數據庫、芯片以及一些安全設備仍然采用國外設備,這些軟硬件中存在的后門、漏洞等風險對我國金融領域仍是一個監管空白;各金融機構也只是被動的等待產品的升級和變更,沒有做到主動防御,主動處理;   

  新金融新技術帶來新的安全威脅
  在互聯網金融快速發展過程中,移動互聯網、云計算、虛擬化技術等已經成為了時下的熱點,在新技術和新模式提升金融業務和效率的同時,也給金融機構帶來了新的安全挑戰。
  從移動互聯網技術來講,由于銀行業務是動態的,數據的傳輸經過很多環節,安全的核心是敏感數據的傳輸和存儲以及身份驗證,身份驗證安全機制薄弱,不能滿足高安全性的需要。與傳統技術不同,針對手機銀行的攻擊手段也發展的很快,如重放攻擊、截屏攻擊、釣魚攻擊、中間人攻擊等方式可能對現有的安全控制措施造成威脅。除此之外,惡意WIFI的連接等網絡環境不受控導致用戶傳輸數據被竊聽和篡改風險;
  從云計算技術來看,目前對云計算特別是金融業務云遷移相關的有效監管還亟待加強。部分金融用戶已經開始將部分業務托管到云服務廠商,而對云服務廠商安全性監管尚不健全,云服務持續性為金融機構運營帶來風險,云應用托管商受資金、社會環境、當地法律等因素制約,不可避免地發生服務中斷事故,這將為企業帶來巨大的損失;同時金融數據存儲安全也成為另一個信息安全隱患,一旦云端服務器遭到黑客入侵,金融數據就面臨丟失或被竊的風險。因此云業務由于交易是基于互聯網且由用戶自助完成,和基于傳統渠道相比,會有更強的安全性要求;需要全生命周期更嚴格的防護,以確保金融用戶的數據安全。 
  安全防護思路轉變
  新金融快速發展的過程中,金融機構需要結合自身的實際情況,及時掌握和應對新形勢下的安全問題;這也是中國金融行業的安全決策者們,在金融行業快速發展中,需要思考的;信安世紀在金融領域深耕細作多年,對新金融新技術帶來業務變革的過程中新安全防護思路有以下一些認識:
  從絕對安全向安全易用平衡轉變 
  關于安全措施有一個基本的矛盾:隨著安全防護的增加,安全系統的可用性卻在下降,而如果想保障用戶的易用,用戶的安全性就存在隱患,之前在金融領域中,由于監管的要求以及金融行業的特殊性,金融機構都會首選更高強度的安全手段來保障業務,即使犧牲掉用戶用戶的易用性;但是隨著互聯網的發展,特別是移動領域的快速發展,這個思路也在發生著轉變,從絕對安全向安全易用平衡發展來過渡;舉個例子:USBKEY作為個人和企業網銀的一個重要安全手段,一直在金融業務中特別是資金業務中一直是作為首要甚至是唯一實現用戶身份認證、保密性和不可否認性的安全輔助要素,但是隨著移動手機銀行的發展,雖然很多銀行推出了基于音頻USBKEY、藍牙USBKEY等針對于手機銀行的安全輔助措施,但是由于額外新增加的外設,還是給用戶造成了很大的易用弊端,而互聯網企業推出的微信、支付寶以及采用信安世紀零私鑰簽名認證技術的手機網銀業務等,則摒棄了這些終端外設,給用戶全新易用體驗;在易用的同時防護強度也達到了人行、銀監會、國密局等相關監管單位的安全要求;   

  從前后臺均安全向前段易用、后臺風控轉變 
  傳統的金融安全防護措施希望是在業務系統的各個方向上均能夠實現安全,從用戶的前端環境安全,到前后端的通訊安全,再到后臺的前置、核心等等,每個階段都希望能夠給用戶做到絕對安全保障,這也導致了對用戶前端易用性和可維護性的下降。反而沒有從用戶實際行為分析入手,因此也需要轉變思路,增加用戶后臺行為風控預警,增強前端安全易用;特別是在根據用戶的一些網絡環境、時間、地點、交易具體內容等多方面做到大數據分析提前預警;信安世紀在基于大數據和云計算平臺實現基于用戶行為的身份認證產品既是通過對前端用戶的不同環境、不同操作行為進行的后臺預警,加強對用戶的風險控制;   

  從單一認證形態到多元認證轉變
  金融行業安全認證手段也在發生著變化,原有的金融安全認證防護手段以簡單口令認證、令牌認證、證書認證等為主,隨著大數據、云計算、移動等新技術對新金融的補充,認證手段也將向多元化發展:包括零身份認證、生物識別認證、基于大數據的用戶行為身份這些認證手段也都將作為新的安全認證手段加入;   

  從多系統不同防御到統一防護轉變 
  傳統金融業務安全防護還是以單一業務系統出發,根據某一單獨業務特性進行全面安全防護;但是隨著金融技術的發展,特別是可信金融云計算平臺的發展和部署,原有單一業務防護技術手段面臨著基礎架構平臺共享、業務防護同質化等新問題,需要將單一業務系統防護想多平臺整體安全防護考慮。例如原有安全應用設備簽名服務器、動態口令服務器均為某一單獨業務系統采購和使用,造成各系統密碼及密鑰應用策略不一致,算法類型、密鑰長度、實現方式等方面差異較大,系統安全強度參差不齊。因此需要從整體統一防護思路著手,進行新的調整;   

  從被動防御到主動防護 
  面對金融行業攻擊者的升級與變化,金融機構的安全防護也需轉變思路,從被動到主動,力求掌握網絡空間斗爭的主動權用數據提高用戶的運營能力,提升金融機構主動檢測、預警、快速響應安全威脅的能力;逐步形成預防、防護、響應一體的技術保障體系。

  信安世紀助力新金融安全發展
  針對于新金融新技術帶來的新型安全威脅,信安世紀作為金融領域信息安全的企業,與合作伙伴及各商業銀行客戶長期保持著良好的信任與合作關系,共同促進金融行業信息安全發展;目前信安世紀已經在多家銀行建立基于PKI技術、國產密碼算法穩定、安全、高效的信息安全防護架構;并且隨著新金融發展信安世紀在移動安全認證、大數據風控和認證領域也進行了大量的技術預研,研發出符合新金融趨勢、適用于金融機構產品和解決方案;幫助金融機構在面對新金融發展過程中的安全防護應對.未來信安世紀也將一直緊抓全球金融業的發展趨勢,來更好的適應快速變化的金融安全需求,助力中國金融業快速安全發展。


地址 北京市西城區宣武門外大街甲1號環球財訊中心C座四層

4006705518

X

北京信安世紀科技股份有限公司·頁面版權所有:(C) 2017 [email protected] 京ICP備16060718號