信息安全助推金融业务创新
很多人视信息安全与业务创新是两驾背道而驰的马车,各有各奔驰的方向;甚至一些人误认为信息安全是业务创新的绊脚石,为了安全而拒绝创新 。然而,近年来金融机构创新服务的实践证实了信息安全助推业务创新。
全球第一台自动取款机40多年前在英国面世 ,虽然当时ATM取款介质为一次性纸质支票,与后来的磁条卡或IC卡不同,但这种纸质提款介质已具备众多安全认证功能,包括机器可阅读及辨识的碳14标识及个人识别码等。正是这些安全功能让自助取款得以实现,由此可见安全与创新的紧密联系。
创新(Innovation)和发明(Invention)是两个看起来意思相近的词语,但两者最大的差别就是可持续性(Sustainability)。发明泛指个人在脑海中浮现的新概念、新产品、新技术、新服务、新流程;创新同样是指新概念、新产品、新技术、新服务、新流程,但这些新概念、新产品、新技术、新服务、新流程要为市场所接受、所使用。创新是有市场价值的发明,创新改变市场行为和态度。因此,不是所有的发明都能在市场上生存,只有那些为客户所接受、有助于提高效能的发明,才能演变成创新。安全控制是创新可持续特性的必要因素,一个发明如果存在严重缺陷则不会被接受,因而不少发明在安全论证中被否决。
信息安全为业务创新保驾护航
国际互联网是改变人类生活方式的一个重大创新,今天人们日常生活、商业活动都离不开国际互联网。国际互联网提供了一个随时随地、方便、低成本的商业环境,也带来了虚拟环境下交易双方身份识别的难题。在互联网环境中,企业亦需要将原来封闭的内部网络对外开放。
早在20世纪末,金融机构已开始在国际互联网上拓展业务,银行推出网上银行服务、证券公司发展网上股票买卖服务、保险公司利用互联网进行保险销售、查询服务。在这些创新业务推出时,安全控制措施没有通用的模版,金融监管机构也没有制定任何信息安全策略和发布安全指引。信息安全专业人员承担着安全防范工作,构建了安全的互联网架构,搭建了防御性侦测监控系统,建立了安全的数据传输通道,制定了应用安全策略等。可以说,金融机构互联网业务创新基于安全的基础架构之上。
随着金融网上交易的广泛使用,黑客向金融用户发起恶意攻击,借助网络钓鱼等手段进行金融诈骗,尽管这些攻击并非直指金融企业网站,但因客户不能有效辨识来自国际互联网的欺诈行为而遭受经济损失。借助信息安全技术可展开对可疑网站的侦察,监管部门可迅速关闭可疑假冒金融机构网站。信息安全为金融业务创新保驾护航。
构建基于移动设备的安全体系
随着智能终端和移动宽带技术的迅猛发展,智能手机、平板电脑、便携式PC等移动设备也在不断升级,很多金融机构利用移动终端设备拓展金融服务,纷纷推出移动银行、移动证券交易、移动保险展业服务等。
移动终端设备的另一个应用领域是移动办公。即员工通过移动设备接入企业网络,随时随地处理电子邮件,开展工作。移动办公在提高效率、节省成本的同时也使得企业面临选择难题:员工使用的移动终端设备是企业所有还是个人所有?
如果企业选择为员工配备移动终端设备,设备管理问题则相对容易解决。企业可采取相应的技术控制措施,对员工移动设备进行有效管理。然而随着个人拥有移动终端设备的普及化,越来越多的企业员工将移动设备引入办公环境中,自带终端上班BYOD(Bring YourOwn Devices)逐渐演变为一种潮流。但与此同时,针对移动智能终端的安全威胁接踵而来。移动威胁检测数据显示,现在平均每秒就有3.5个危害移动终端安全的新威胁产生。移动智能终端已成为黑客的攻击目标之一,安全问题不容小视。
对个人用户而言,各种智能操作系统安全漏洞、刷机越狱产生的安全隐患、以及越来越多的手机恶意程序都是需要面对的安全风险。企业用户也面临同样的安全挑战:在认同员工BYOD的同时,如何对员工自带设备进行有效的安全管理,以保护企业的机密信息不受侵犯。要做好企业级移动设备安全管理,就要建立一套有效的防护策略,关键要做到将BYOD的工作与个人使用区分,需要注意以下几个方面。
①设备认证。为确保授权设备才能接入企业网络,员工必须通过身份认证并确认授权接入的终端设备。
②设备标准配置。确认准入后,设备需按企业安全配置要求,实施密码标准、密码失败尝试控制、自动锁屏等安全管理措施。
③传输保密性。设备经国际互联网连接企业内网时,在互联网上的传输必须建立加密传输(如VPN、SSL等)通道,保障敏感数据在公网上的传输安全。
④企业数据保密。企业数据应只容许访问,不容许保留在接入的移动设备上;如必须将企业数据保存到个人接入移动设备,企业数据必须与个人数据分隔,并加密保存。
⑤企业数据处理。当员工设备丢失或离职时,设备存储的企业数据必须立即清除,设备管理必须能够实施远程数据删除处理,防止企业敏感数据的泄露。
除了采取有效的技术措施外,还应制定BYOD管理制度。BYOD管理制度必须清晰表述员工将个人设备用于工作环境的操作规则,并签订使用协议,允许企业在个人设备上部署安全控制措施,还应进行适当宣传培训,使员工了解移动终端设备用于办公环境可能导致的信息安全风险。
BYOD 安全管理策略实施后,移动设备不但可支持移动办公,还可接收企业App Store下发的应用程序,支持创新的业务移动工作模式,实现金融服务不受地域和时间的限制。
信息安全工作不局限于对企业信息保护,要能够准确把握内外部环境转变,满足市场需要,顺应企业文化,前瞻性采取应变措施,建立安全可靠管理制度,做到未雨绸缪、防患于未然,使信息科技有力支撑业务发展、促进业务创新,为金融服务变革保驾护航。