信息安全助推金融业务创新

2015-02-01 12:53:12 大云网  点击量: 评论 (0)
信息安全助推金融业务创新很多人视信息安全与业务创新是两驾背道而驰的马车,各有各奔驰的方向;甚至一些人误认为信息安全是业务创新的绊脚石,为了安全而拒绝创新 。然而,近年来金融机构创新服务的实践证实了信
信息安全助推金融业务创新
很多人视信息安全与业务创新是两驾背道而驰的马车,各有各奔驰的方向;甚至一些人误认为信息安全是业务创新的绊脚石,为了安全而拒绝创新 。然而,近年来金融机构创新服务的实践证实了信息安全助推业务创新。
全球第一台自动取款机40多年前在英国面世 ,虽然当时ATM取款介质为一次性纸质支票,与后来的磁条卡或IC卡不同,但这种纸质提款介质已具备众多安全认证功能,包括机器可阅读及辨识的碳14标识及个人识别码等。正是这些安全功能让自助取款得以实现,由此可见安全与创新的紧密联系。
创新(Innovation)和发明(Invention)是两个看起来意思相近的词语,但两者最大的差别就是可持续性(Sustainability)。发明泛指个人在脑海中浮现的新概念、新产品、新技术、新服务、新流程;创新同样是指新概念、新产品、新技术、新服务、新流程,但这些新概念、新产品、新技术、新服务、新流程要为市场所接受、所使用。创新是有市场价值的发明,创新改变市场行为和态度。因此,不是所有的发明都能在市场上生存,只有那些为客户所接受、有助于提高效能的发明,才能演变成创新。安全控制是创新可持续特性的必要因素,一个发明如果存在严重缺陷则不会被接受,因而不少发明在安全论证中被否决。
信息安全为业务创新保驾护航
国际互联网是改变人类生活方式的一个重大创新,今天人们日常生活、商业活动都离不开国际互联网。国际互联网提供了一个随时随地、方便、低成本的商业环境,也带来了虚拟环境下交易双方身份识别的难题。在互联网环境中,企业亦需要将原来封闭的内部网络对外开放。
早在20世纪末,金融机构已开始在国际互联网上拓展业务,银行推出网上银行服务、证券公司发展网上股票买卖服务、保险公司利用互联网进行保险销售、查询服务。在这些创新业务推出时,安全控制措施没有通用的模版,金融监管机构也没有制定任何信息安全策略和发布安全指引。信息安全专业人员承担着安全防范工作,构建了安全的互联网架构,搭建了防御性侦测监控系统,建立了安全的数据传输通道,制定了应用安全策略等。可以说,金融机构互联网业务创新基于安全的基础架构之上。
随着金融网上交易的广泛使用,黑客向金融用户发起恶意攻击,借助网络钓鱼等手段进行金融诈骗,尽管这些攻击并非直指金融企业网站,但因客户不能有效辨识来自国际互联网的欺诈行为而遭受经济损失。借助信息安全技术可展开对可疑网站的侦察,监管部门可迅速关闭可疑假冒金融机构网站。信息安全为金融业务创新保驾护航。
构建基于移动设备的安全体系
随着智能终端和移动宽带技术的迅猛发展,智能手机、平板电脑、便携式PC等移动设备也在不断升级,很多金融机构利用移动终端设备拓展金融服务,纷纷推出移动银行、移动证券交易、移动保险展业服务等。
移动终端设备的另一个应用领域是移动办公。即员工通过移动设备接入企业网络,随时随地处理电子邮件,开展工作。移动办公在提高效率、节省成本的同时也使得企业面临选择难题:员工使用的移动终端设备是企业所有还是个人所有?
如果企业选择为员工配备移动终端设备,设备管理问题则相对容易解决。企业可采取相应的技术控制措施,对员工移动设备进行有效管理。然而随着个人拥有移动终端设备的普及化,越来越多的企业员工将移动设备引入办公环境中,自带终端上班BYOD(Bring YourOwn Devices)逐渐演变为一种潮流。但与此同时,针对移动智能终端的安全威胁接踵而来。移动威胁检测数据显示,现在平均每秒就有3.5个危害移动终端安全的新威胁产生。移动智能终端已成为黑客的攻击目标之一,安全问题不容小视。
对个人用户而言,各种智能操作系统安全漏洞、刷机越狱产生的安全隐患、以及越来越多的手机恶意程序都是需要面对的安全风险。企业用户也面临同样的安全挑战:在认同员工BYOD的同时,如何对员工自带设备进行有效的安全管理,以保护企业的机密信息不受侵犯。要做好企业级移动设备安全管理,就要建立一套有效的防护策略,关键要做到将BYOD的工作与个人使用区分,需要注意以下几个方面。
①设备认证。为确保授权设备才能接入企业网络,员工必须通过身份认证并确认授权接入的终端设备。
②设备标准配置。确认准入后,设备需按企业安全配置要求,实施密码标准、密码失败尝试控制、自动锁屏等安全管理措施。
③传输保密性。设备经国际互联网连接企业内网时,在互联网上的传输必须建立加密传输(如VPN、SSL等)通道,保障敏感数据在公网上的传输安全。
④企业数据保密。企业数据应只容许访问,不容许保留在接入的移动设备上;如必须将企业数据保存到个人接入移动设备,企业数据必须与个人数据分隔,并加密保存。
⑤企业数据处理。当员工设备丢失或离职时,设备存储的企业数据必须立即清除,设备管理必须能够实施远程数据删除处理,防止企业敏感数据的泄露。
除了采取有效的技术措施外,还应制定BYOD管理制度。BYOD管理制度必须清晰表述员工将个人设备用于工作环境的操作规则,并签订使用协议,允许企业在个人设备上部署安全控制措施,还应进行适当宣传培训,使员工了解移动终端设备用于办公环境可能导致的信息安全风险。
BYOD 安全管理策略实施后,移动设备不但可支持移动办公,还可接收企业App Store下发的应用程序,支持创新的业务移动工作模式,实现金融服务不受地域和时间的限制。
信息安全工作不局限于对企业信息保护,要能够准确把握内外部环境转变,满足市场需要,顺应企业文化,前瞻性采取应变措施,建立安全可靠管理制度,做到未雨绸缪、防患于未然,使信息科技有力支撑业务发展、促进业务创新,为金融服务变革保驾护航。
 
大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞