FOCUS
新金融 新安全
转变安全防护思路,助力新金融安全发展
引言
新金融是在互联网和信息技术革命推动下,伴随着移动化、大数据、云计算等新兴技术出现的新的金融生态和金融服务产品及模式,是金融业发展的新领域。伴随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势。对金融领域的良性发展构成极大威胁,对整个互联网金融行业的健康发展产生了不利影响。互联网复杂化趋势使得金融银行业的安全防护发生了本质变化,线上线下融合的安全、互联网作为新基础设施的安全以及金融数据安全等新型安全问题,正在成为新金融环境下的新的探索领域。
随着2017年6月1日起正式实施《网络安全法》,为金融行业安全提供了法律保障。各金融机构更加需要加强对新金融环境下的安全防护意识,转变安全防护思路,在新金融领域快速发展过程中,通过加速建立自主可控信息安全技术产业体系和不断完善金融信息安全法规制度、标准规范体系等措施,提高金融领域信息安全防范能力。
新金融面临的安全挑战
传统互联网金融风险依然突出
传统的金融安全风险仍在存在,原有的木马、蠕虫、网络中间人攻击、数据安全等安全风险并没有随着新金融、新技术的发展而减少,并且随着移动互联网和物联网等新技术的发展,安全防护风险在移动终端和物联网终端领域更是进行了变化与升级,使安全问题更难发现、安全防护也更复杂;
核心设备和技术长期依赖于国外,底层技术难以掌握,存在安全隐患。目前在金融领域中操作系统、数据库、芯片以及一些安全设备仍然采用国外设备,这些软硬件中存在的后门、漏洞等风险对我国金融领域仍是一个监管空白;各金融机构也只是被动的等待产品的升级和变更,没有做到主动防御,主动处理;
新金融新技术带来新的安全威胁
在互联网金融快速发展过程中,移动互联网、云计算、虚拟化技术等已经成为了时下的热点,在新技术和新模式提升金融业务和效率的同时,也给金融机构带来了新的安全挑战。
从移动互联网技术来讲,由于银行业务是动态的,数据的传输经过很多环节,安全的核心是敏感数据的传输和存储以及身份验证,身份验证安全机制薄弱,不能满足高安全性的需要。与传统技术不同,针对手机银行的攻击手段也发展的很快,如重放攻击、截屏攻击、钓鱼攻击、中间人攻击等方式可能对现有的安全控制措施造成威胁。除此之外,恶意WIFI的连接等网络环境不受控导致用户传输数据被窃听和篡改风险;
从云计算技术来看,目前对云计算特别是金融业务云迁移相关的有效监管还亟待加强。部分金融用户已经开始将部分业务托管到云服务厂商,而对云服务厂商安全性监管尚不健全,云服务持续性为金融机构运营带来风险,云应用托管商受资金、社会环境、当地法律等因素制约,不可避免地发生服务中断事故,这将为企业带来巨大的损失;同时金融数据存储安全也成为另一个信息安全隐患,一旦云端服务器遭到黑客入侵,金融数据就面临丢失或被窃的风险。因此云业务由于交易是基于互联网且由用户自助完成,和基于传统渠道相比,会有更强的安全性要求;需要全生命周期更严格的防护,以确保金融用户的数据安全。
安全防护思路转变
新金融快速发展的过程中,金融机构需要结合自身的实际情况,及时掌握和应对新形势下的安全问题;这也是中国金融行业的安全决策者们,在金融行业快速发展中,需要思考的;信安世纪在金融领域深耕细作多年,对新金融新技术带来业务变革的过程中新安全防护思路有以下一些认识:
从绝对安全向安全易用平衡转变
关于安全措施有一个基本的矛盾:随着安全防护的增加,安全系统的可用性却在下降,而如果想保障用户的易用,用户的安全性就存在隐患,之前在金融领域中,由于监管的要求以及金融行业的特殊性,金融机构都会首选更高强度的安全手段来保障业务,即使牺牲掉用户用户的易用性;但是随着互联网的发展,特别是移动领域的快速发展,这个思路也在发生着转变,从绝对安全向安全易用平衡发展来过渡;举个例子:USBKEY作为个人和企业网银的一个重要安全手段,一直在金融业务中特别是资金业务中一直是作为首要甚至是唯一实现用户身份认证、保密性和不可否认性的安全辅助要素,但是随着移动手机银行的发展,虽然很多银行推出了基于音频USBKEY、蓝牙USBKEY等针对于手机银行的安全辅助措施,但是由于额外新增加的外设,还是给用户造成了很大的易用弊端,而互联网企业推出的微信、支付宝以及采用信安世纪零私钥签名认证技术的手机网银业务等,则摒弃了这些终端外设,给用户全新易用体验;在易用的同时防护强度也达到了人行、银监会、国密局等相关监管单位的安全要求;
从前后台均安全向前段易用、后台风控转变
传统的金融安全防护措施希望是在业务系统的各个方向上均能够实现安全,从用户的前端环境安全,到前后端的通讯安全,再到后台的前置、核心等等,每个阶段都希望能够给用户做到绝对安全保障,这也导致了对用户前端易用性和可维护性的下降。反而没有从用户实际行为分析入手,因此也需要转变思路,增加用户后台行为风控预警,增强前端安全易用;特别是在根据用户的一些网络环境、时间、地点、交易具体内容等多方面做到大数据分析提前预警;信安世纪在基于大数据和云计算平台实现基于用户行为的身份认证产品既是通过对前端用户的不同环境、不同操作行为进行的后台预警,加强对用户的风险控制;
从单一认证形态到多元认证转变
金融行业安全认证手段也在发生着变化,原有的金融安全认证防护手段以简单口令认证、令牌认证、证书认证等为主,随着大数据、云计算、移动等新技术对新金融的补充,认证手段也将向多元化发展:包括零身份认证、生物识别认证、基于大数据的用户行为身份这些认证手段也都将作为新的安全认证手段加入;
从多系统不同防御到统一防护转变
传统金融业务安全防护还是以单一业务系统出发,根据某一单独业务特性进行全面安全防护;但是随着金融技术的发展,特别是可信金融云计算平台的发展和部署,原有单一业务防护技术手段面临着基础架构平台共享、业务防护同质化等新问题,需要将单一业务系统防护想多平台整体安全防护考虑。例如原有安全应用设备签名服务器、动态口令服务器均为某一单独业务系统采购和使用,造成各系统密码及密钥应用策略不一致,算法类型、密钥长度、实现方式等方面差异较大,系统安全强度参差不齐。因此需要从整体统一防护思路着手,进行新的调整;
从被动防御到主动防护
面对金融行业攻击者的升级与变化,金融机构的安全防护也需转变思路,从被动到主动,力求掌握网络空间斗争的主动权用数据提高用户的运营能力,提升金融机构主动检测、预警、快速响应安全威胁的能力;逐步形成预防、防护、响应一体的技术保障体系。
信安世纪助力新金融安全发展
针对于新金融新技术带来的新型安全威胁,信安世纪作为金融领域信息安全的企业,与合作伙伴及各商业银行客户长期保持着良好的信任与合作关系,共同促进金融行业信息安全发展;目前信安世纪已经在多家银行建立基于PKI技术、国产密码算法稳定、安全、高效的信息安全防护架构;并且随着新金融发展信安世纪在移动安全认证、大数据风控和认证领域也进行了大量的技术预研,研发出符合新金融趋势、适用于金融机构产品和解决方案;帮助金融机构在面对新金融发展过程中的安全防护应对.未来信安世纪也将一直紧抓全球金融业的发展趋势,来更好的适应快速变化的金融安全需求,助力中国金融业快速安全发展。