中國金融認證中心(CFCA)無紙化產品總監李達
在新冠疫情影響下,一方面金融服務加速線上化;另一方面,遠程辦公成為硬性需求。這既是防控疫情的特殊舉措,也反映了金融服務和金融企業組織管理模式在數字化時代更新迭代的趨勢。在疫情催生數字金融加速發展的背景下,業務線上化運營、非現場辦公方帶來信息安全風險陡增,而《個人金融信息保護技術規範》和《信息安全技術個人信息安全規範》國家標準的相繼發佈,也凸顯了數據和個人信息安全保護的急迫性。
為此,金科創新社新媒體推出“新冠疫情下的金融信息安全建設”專題,探討新冠疫情之下,無接觸金融服務面臨的安全挑戰和應對;金融在線業務中的風險防控;交易安全和數據安全及個人金融信息保護的策略;遠程辦公、協作開發等線上工作模式的安全保障工作等話題。誠邀金融行業安全領域專業人士就上述話題撰寫文章。
---------------------------------------------------
突如其來的全球疫情加速了金融業務線上化和遠程辦公以及對應的視頻會議的應用發展,也由此帶來身份認證、數據安全、業務合規等諸多安全挑戰。中國金融認證中心(CFCA)無紙化產品總監李達,從疫情帶來的信息安全防護需求、金融企業在突發疫情下安全防護面臨的問題以及金融機構應該採取的安全策略和實施步驟等方面提出了觀點和建議。
業務線上化和非現場辦公給金融企業帶來的三大安全挑戰
疫情期間業務線上化和非現場辦公成為常態,也變得更加重要,業務線上化和非現場辦公的性質從以前的“可選”變成了現在的“剛需”。這樣的轉變是不可逆的,因為各行業機構越來越倚重這種辦公方式,業務投放範圍加大、辦公內容增多,從輔助手段逐漸向主流方式轉變,在這種情況下必須要重視安全問題,因為安全問題將會成為一個企業不可忽視,甚至會影響企業正常運行的關鍵因素。以傳統信息安全建設經驗來看,業務線上化和非現場辦公主要面臨和需要解決三個問題:
一是要解決可信身份認證問題。互聯網展業尤其要注重身份可信,準確的驗證、識別身份是一切業務正常開展的大前提,隨著業務線上化的逐步發展,要進一步強化身份認證體系、活用各種身份認證機制和方法,重點關注首次身份核驗並輔以日常登錄身份核驗。而非現場辦公相對簡單,因為對自身員工情況有比較清晰的瞭解,因此可依照入職員工信息為每一位員工申請數字證書,所有員工在非現場辦公期間持數字證書實現辦公系統內的強身份認證,關鍵崗位、核心業務選用安全性最高的UKey證書。
二是要解決業務線上化和非現場辦公所產生電子化數據的安全性、防洩漏問題。在過去幾年裡曾發生過業務數據被非法竊取導致企業遭受損失的情況,這一風險的發生將是對企業正常運營、業務正常開展的打擊,必須予以重視,建議在業務線上化和非現場辦公過程中必須對所產生的電子化數據進行加密傳輸處理,如採用SSL等安全加密通訊、對關鍵數據包做數字信封加密、對密碼進行輸入和傳輸加密等,這些手段都能有效解決數據洩漏問題。
三是要解決業務線上化和非現場辦公過程中業務開展合法合規的問題。例如線上化業務要簽署借貸合同、非現場辦公過程中要進行公文流轉、採購審批,借鑑以往的經驗,應加強數字簽名的應用,重新審視業務流程和模型,將第三方數字證書的合法合規性發揮運用到極致,在業務的關鍵決策行為、簽署行為、機構間的溝通交互階段均輔以數字證書的數字簽名手段,充分為業務線上化和非現場辦公進行合法合規賦能,同時避免發生數據篡改的風險。
總之,業務線上化和非現場辦公工作的開展要充分考慮上述風險問題,採取有效手段加以解決,當然,安全問題是複雜的、多維度的,風險也無處不在,對於線上化和非現場辦公的安全問題要充分予以重視,通過人員操作、規章制度、各項安全類信息技術的合理應用統籌考慮解決安全問題。
構建互聯網(移動互聯網)應用安全防控體系
金融機構基於互聯網、移動互聯網開展業務時間已久,從現在情況看來發展勢頭良好,安防與風控管理妥當,金融機構通過全面構建信息系統安全防範體系實現互聯網、移動互聯網應用安全風險管控,具體方法包括:
一是構建用戶端信息安全體系。用戶端要實現用戶密碼安全輸入與傳輸,防止用戶在輸入密碼過程中密碼明文被非法竊取和監聽;由於用戶端設備、系統環境比較複雜,應使用業務專有的助手類環境監測及自動修復軟件恢復和設置用戶端各項安全配置;針對移動端應用APP應及時做安全加固,避免APP被非法編譯篡改。
二是保障業務服務端站點可信身份。為互聯網、移動互聯網服務器頒發服務器證書,在用戶端與服務端進行通訊時校驗服務器真實身份,避免釣魚網站等偽造服務端給用戶帶來風險。
三是階段性開展信息系統安全測評。 金融機構每年都會對自身信息系統進行安全測評,包括但不限於系統安全評估、漏洞測試、源代碼檢測等,通過信息安全測評工作找到安全漏洞並修復,提升信息系統安全防控級別,同時,隨著信息系統的不斷髮展、軟硬件環境的更新與升級,在信息系統測評工作中要注重對新型安全漏洞的挖掘和分析,及時發現及時解決,信息安全也要與時俱進。
提升數據資產安全意識,構建數據資產安全體系
互聯網時代,數據即資產、資產即數據。遠程辦公環境下,伴隨著信息化建設、迭代過程途中產生了數據資產不安全、不可控性的問題,應重點從以下幾方面著手解決數據資產安全問題:
一是保障遠程辦公環境下核心業務數據安全。核心業務數據安全防控手段可分為保障辦公數據內部流轉及防止辦公數據外洩流出。保障辦公數據內部流轉主要體現在數據傳輸過程中的加密安全,可通過安全加密通道建設實現信息加密傳輸,防止核心業務數據被竊取,同時對企業核心數據與個人數據應進行安全隔離,從數據邊界劃分角度保障企業核心數據存儲在用戶端(含PC、移動端)的安全性,又能在工作完成後遠程擦除企業核心業務數據,保留員工個人數據。
防止辦公數據外洩流出主要指員工在進行遠程辦公時,是否允許、以及如何使用社交網站、論壇、知識庫、各類即時通訊軟件進行工作數據流傳,如何對員工工作數據的應用處理(如複製、粘貼、截屏等方式)進行嚴格審計,防止企業核心數據資產被洩漏傳播。
二是完善個人隱私保護安全機制。大數據時代,隨著信息技術的發展,互聯網個人隱私數據洩漏問題日益嚴峻。為避免在錯綜複雜、縱橫交錯的網絡環境、業務環境下個人隱私數據被洩漏和竊取,企業必須肩負起對員工個人隱私數據保護的責任,用戶端必須提升個人數據資產安全意識。
企業端在遠程辦公環境下對於不可控的終端及訪問網絡接入應建立完善的隱私數據保護體系,防止因不合規的終端接入或病毒對個人信息盜取所產生的無法估量的損失。
用戶端基於遠程辦公環境下要增強網絡安全意識,面對形形色色的釣魚網站、郵件提醒及電話騷擾,提升分辨真偽的能力,有效規避風險。
三是構建數據資產存儲安全體系。 數據的存儲安全是重中之重,在遠程計算、存儲、通信過程中存在洩漏、竊取風險,亦存在由斷電或宕機等故障引發的數據丟失風險。尤其在虛擬應用環境下,針對數據的訪問策略、邊界劃分、存儲備份策略、數據加密策略需要統籌考慮,對數據進行加密是實現數據保護的一個重要方法,要做到即使該數據被人非法竊取,也只是一堆亂碼,無法還原明文信息內容。在加密算法選擇方面,應選擇加密性能較高的對稱和非對稱加密算法,並將數據加密體系化、制度化,全面管控核心資產數據的存儲安全。
