防詐騙金融互聯(lián)網(wǎng)+的安全管理解決方案

隨著(zhù)互聯(lián)網(wǎng)、移動(dòng)終端，云端的數據的接入，為確保金融交易的安全訪(fǎng)問(wèn)，金融系統迫切地需要將傳統上獨立的門(mén)禁和IT安全整合到一起，協(xié)調管理身份和門(mén)禁，加強銀行關(guān)鍵業(yè)務(wù)應用訪(fǎng)問(wèn)的安全性，以提供隨時(shí)隨地的安全訪(fǎng)問(wèn)。

過(guò)去，金融機構只需專(zhuān)注于在周邊建立強大的安防系統，實(shí)現對相關(guān)區域如結算室，金庫等進(jìn)行嚴格出入管理和監控。而隨著(zhù)互聯(lián)網(wǎng)、移動(dòng)終端，云端的數據的接入，為確保金融交易的安全訪(fǎng)問(wèn)，金融系統迫切地需要將傳統上獨立的門(mén)禁和IT安全整合到一起，協(xié)調管理身份和門(mén)禁，加強銀行關(guān)鍵業(yè)務(wù)應用訪(fǎng)問(wèn)的安全性，以提供隨時(shí)隨地的安全訪(fǎng)問(wèn)。

一、內外安全挑戰

銀行性質(zhì)敏感且有利可圖，因而易成為攻擊目標，內外安全隱患重重。金融機構網(wǎng)點(diǎn)分散，綜合管理、實(shí)時(shí)且有效的監管難度大，這使得銀行上級領(lǐng)導不能夠即時(shí)了解所轄分行各員工的具體動(dòng)向及各網(wǎng)點(diǎn)的實(shí)際操作情況，給銀行內部的經(jīng)濟作案有機可乘。而中國金融服務(wù)業(yè)的高速發(fā)展，員工數量的不斷增加，也使銀行面臨人事、出入口與考勤管理方面的嚴峻挑戰。例如，工作人員的疏忽或銀行安防設備限制，工作人員在離開(kāi)工作區未鎖門(mén)導致盜賊趁虛而入，在金庫等重要區域，不完善的安全機制也會(huì )滋生內外盜。

另外，互聯(lián)網(wǎng)、移動(dòng)設備的發(fā)展促使銀行的交易方法發(fā)生了顯著(zhù)改變。根據CEBTowerGroup調查顯示，和過(guò)去兩年相比，使用網(wǎng)上銀行的客戶(hù)幾乎增長(cháng)了兩倍，單純的門(mén)禁管理措施很難支持和保護銀行客戶(hù)隨時(shí)隨地訪(fǎng)問(wèn)的安全性，訪(fǎng)問(wèn)攻擊的頻率和復雜度也在不斷上升。涉及的攻擊方式包括瀏覽器中間人攻擊(Man-in-the-Browser，MitB)木馬、病毒、鍵盤(pán)記錄、后門(mén)、瀏覽器重定向和其他惡意軟件。因此，要求金融機構既能增加基礎設施的安全性，又能支持客戶(hù)安全訪(fǎng)問(wèn)銀行業(yè)務(wù)。

二、安全管理的需要分析

根據金融機構的業(yè)務(wù)特點(diǎn)，營(yíng)業(yè)網(wǎng)點(diǎn)、大樓等辦公場(chǎng)所既要通過(guò)門(mén)禁系統為從業(yè)人員、客戶(hù)的人身和財物安全提供保障，實(shí)現安全金融服務(wù)的要求，又要在新的安全環(huán)境下，提供客戶(hù)隨時(shí)隨地對金融業(yè)務(wù)的訪(fǎng)問(wèn)要求。具體要求包括：

●支持系統安全性及多級別權限的設置，即門(mén)禁系統必須支持分層權限設置，能夠限制核心區域的員工進(jìn)出，能保證卡片與讀卡器間通信的安全可靠，能辨識偽卡——這些都是銀行對辦公場(chǎng)所、儲蓄網(wǎng)點(diǎn)、數據中心及金庫等極高的安防要求，以及對出入口控制、身份驗證、權限設置的嚴格規定。

●可實(shí)現遠程控制與中央管理，即門(mén)禁系統應網(wǎng)絡(luò )化，能支持遠程實(shí)時(shí)響應、管理與控制，以及在有網(wǎng)絡(luò )的地方即時(shí)通過(guò)電子地圖查看門(mén)禁點(diǎn)的情況;門(mén)禁系統所有的出入紀錄必須能實(shí)時(shí)上傳至中央管理站，以便監察。

●支持多系統聯(lián)動(dòng)，即門(mén)禁系統能與其他安防子系統，如消防系統、報警系統整合并協(xié)調聯(lián)動(dòng)，更好地保障安全。

●提高企業(yè)綜合管理效率，即門(mén)禁系統除了作為企業(yè)的安全防范系統，還可以通過(guò)整合考勤系統、停車(chē)場(chǎng)管理系統、辦公自動(dòng)化系統、消費系統，提高公司的管理效率并最大化地利用資源。

●實(shí)現高度靈活的互聯(lián)網(wǎng)和手機銀行解決方案。滿(mǎn)足客戶(hù)對日益增長(cháng)的新一代安全網(wǎng)上金融服務(wù)的需求，防止用戶(hù)進(jìn)行關(guān)鍵金融交易業(yè)務(wù)時(shí)受到欺詐攻擊。

三、多層身份驗證的整體解決方案

多層身份驗證的整體解決方案涵蓋了多種解決方案和技術(shù)，包括門(mén)禁和桌面登錄、安全發(fā)行及在IT基礎架構和周邊架構中采用高級簽權機制，從而在門(mén)禁、數據和云安防領(lǐng)域提供無(wú)縫的體驗。

首先，在門(mén)禁系統上，需要采用基于IP的開(kāi)放架構，以支持使用新功能，并與消防、報警等系統協(xié)調聯(lián)動(dòng)。采用OPIN開(kāi)放應用程序接口的網(wǎng)絡(luò )控制器通過(guò)開(kāi)發(fā)工具套件，為門(mén)禁系統提供一個(gè)開(kāi)放且可擴展的開(kāi)發(fā)平臺，能配置并實(shí)現各類(lèi)門(mén)禁功能，包括遠程管理、實(shí)時(shí)監控、產(chǎn)生報表和強大的自定義規則引擎(允許使用系統硬件啟動(dòng)附設的應用程序)。

網(wǎng)絡(luò )控制器能直接接入銀行內部網(wǎng)絡(luò )實(shí)現多級/多點(diǎn)分布式管理，實(shí)現對指定區域分級、分時(shí)段的通行權限管理，限制相關(guān)人員隨意進(jìn)入銀行重要場(chǎng)所，并根據職位或工作性質(zhì)確定其通行的級別和允許通行的時(shí)段，在重點(diǎn)防范區域，系統能通過(guò)設置二道門(mén)、雙門(mén)互鎖、雙指關(guān)聯(lián)等方式，防止內外盜。使用加密的TCP/IP鏈接連接主機和其他設備，能進(jìn)一步保障信息傳輸的安全。

其次，利用非接觸智能卡進(jìn)行聯(lián)合身份識別管理，用戶(hù)通過(guò)中央身份驗證后登錄多個(gè)應用程序，在各種應用中采用多層安全保護，包括門(mén)禁、云端和設備上的數據保護。這種方式超越簡(jiǎn)易的密碼驗證，確保了個(gè)人信息的真實(shí)性并應付對于如今五花八門(mén)的高級持續性威脅(AdvancedPersistentThreats)、黑客攻擊及采用自帶設備(BringYourOwnDevice，BYOD)模式的相關(guān)風(fēng)險。同時(shí)，納入多因子身份驗證方式還能進(jìn)一步增強安全，實(shí)現用戶(hù)用一張智能卡執行電腦登錄和注銷(xiāo)操作，為云安全訪(fǎng)問(wèn)設置了一道較強身份驗證的安全防線(xiàn)。

智能卡通過(guò)加密和密鑰技術(shù)來(lái)確保用戶(hù)在特定時(shí)間內擁有正確的密鑰，是聯(lián)合身份識別的理想方式，金融機構能通過(guò)添加證卡數據進(jìn)行身份管理，并添加額外的這些額外的身份驗證因素包含持卡人“擁有”之物(證卡)、“所知”之信息(密碼)以及持卡人個(gè)人特征(生物識別數據)，能阻止未經(jīng)授權的人員使用卡片和讀卡器;并對卡片上存儲的數據加密，以進(jìn)一步增強對卡片上信息的保護。高安全性智能卡基礎平臺的部署，不僅能夠提高金融機構的風(fēng)險管理水平，而且符合現行立法或監管機構的法規要求。

此外，智能卡具備集成多種應用的能力。單一智能卡解決方案除了能做到中央管理外，將門(mén)禁和電腦登錄桌面集成到一張智能卡，還能使員工無(wú)需隨身攜帶不同類(lèi)卡完成各類(lèi)應用，例如門(mén)禁、電腦登錄，考勤和安全打印管理系統及小額電子支付，及在智能卡嵌入其他應用，包括生物識別技術(shù)。隨著(zhù)虛擬憑證卡技術(shù)的發(fā)展，該技術(shù)不僅支持多應用并能夠移植到NFC手機。

為了進(jìn)一步優(yōu)化卡片安全，新出現的可視技術(shù)能為智能卡添加個(gè)性化的企業(yè)LOGO及其它防偽元素，如高分辨率圖像，光變油墨，全息圖或激光刻蝕的永久個(gè)人化特征，使偽造和篡改根本行不通。目前的桌面證卡打印機/編碼器能夠為機構提供單一的解決方案，能同時(shí)實(shí)現打印和編碼，為智能卡添加智能卡芯片、磁條和其它數字編碼等。

四、總結

金融領(lǐng)域所面對的嚴峻的設施與數據安全挑戰，單靠傳統的門(mén)禁已經(jīng)不能滿(mǎn)足行業(yè)發(fā)展的需要，建立通用的身份驗證解決方式是最理想的方式：(1)支持樓宇、網(wǎng)絡(luò )以及云端服務(wù)和資源的綜合安全訪(fǎng)問(wèn);(2)支持移動(dòng)密鑰，可以通過(guò)智能手機或平板電腦方便和安全地訪(fǎng)問(wèn);(3)提供多重因子身份驗證功能，實(shí)現最有效地威脅防護;(4)能夠與支持近場(chǎng)通訊技術(shù)(NFC)的筆記本電腦、平板電腦和手機互操作，實(shí)現最佳安全性和用戶(hù)體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全，同時(shí)又能夠作為集成解決方案的一部分，實(shí)現與傳統卡和NFC設備的互操作。