很多人視信息安全與業(yè)務(wù)創(chuàng)新是兩駕背道而馳的馬車(chē)，各有各奔馳的方向;甚至一些人誤認(rèn)為信息安全是業(yè)務(wù)創(chuàng)新的絆腳石，為了安全而拒絕創(chuàng)新 。然而，近年來(lái)金融機(jī)構(gòu)創(chuàng)新服務(wù)的實(shí)踐證實(shí)了信息安全助推業(yè)務(wù)創(chuàng)新。

全球第一臺(tái)自動(dòng)取款機(jī)40多年前在英國(guó)面世 ，雖然當(dāng)時(shí)ATM取款介質(zhì)為一次性紙質(zhì)支票，與后來(lái)的磁條卡或IC卡不同，但這種紙質(zhì)提款介質(zhì)已具備眾多安全認(rèn)證功能，包括機(jī)器可閱讀及辨識(shí)的碳14標(biāo)識(shí)及個(gè)人識(shí)別碼等。正是這些安全功能讓自助取款得以實(shí)現(xiàn)，由此可見(jiàn)安全與創(chuàng)新的緊密聯(lián)系。

創(chuàng)新(Innovation)和發(fā)明(Invention)是兩個(gè)看起來(lái)意思相近的詞語(yǔ)，但兩者最大的差別就是可持續(xù)性(Sustainability)。發(fā)明泛指?jìng)€(gè)人在腦海中浮現(xiàn)的新概念、新產(chǎn)品、新技術(shù)、新服務(wù)、新流程;創(chuàng)新同樣是指新概念、新產(chǎn)品、新技術(shù)、新服務(wù)、新流程，但這些新概念、新產(chǎn)品、新技術(shù)、新服務(wù)、新流程要為市場(chǎng)所接受、所使用。創(chuàng)新是有市場(chǎng)價(jià)值的發(fā)明，創(chuàng)新改變市場(chǎng)行為和態(tài)度。因此，不是所有的發(fā)明都能在市場(chǎng)上生存，只有那些為客戶所接受、有助于提高效能的發(fā)明，才能演變成創(chuàng)新。安全控制是創(chuàng)新可持續(xù)特性的必要因素，一個(gè)發(fā)明如果存在嚴(yán)重缺陷則不會(huì)被接受，因而不少發(fā)明在安全論證中被否決。

信息安全為業(yè)務(wù)創(chuàng)新保駕護(hù)航

國(guó)際互聯(lián)網(wǎng)是改變?nèi)祟?lèi)生活方式的一個(gè)重大創(chuàng)新，今天人們?nèi)粘Ｉ?、商業(yè)活動(dòng)都離不開(kāi)國(guó)際互聯(lián)網(wǎng)。國(guó)際互聯(lián)網(wǎng)提供了一個(gè)隨時(shí)隨地、方便、低成本的商業(yè)環(huán)境，也帶來(lái)了虛擬環(huán)境下交易雙方身份識(shí)別的難題。在互聯(lián)網(wǎng)環(huán)境中，企業(yè)亦需要將原來(lái)封閉的內(nèi)部網(wǎng)絡(luò)對(duì)外開(kāi)放。

早在20世紀(jì)末，金融機(jī)構(gòu)已開(kāi)始在國(guó)際互聯(lián)網(wǎng)上拓展業(yè)務(wù)，銀行推出網(wǎng)上銀行服務(wù)、證券公司發(fā)展網(wǎng)上股票買(mǎi)賣(mài)服務(wù)、保險(xiǎn)公司利用互聯(lián)網(wǎng)進(jìn)行保險(xiǎn)銷(xiāo)售、查詢服務(wù)。在這些創(chuàng)新業(yè)務(wù)推出時(shí)，安全控制措施沒(méi)有通用的模版，金融監(jiān)管機(jī)構(gòu)也沒(méi)有制定任何信息安全策略和發(fā)布安全指引。信息安全專(zhuān)業(yè)人員承擔(dān)著安全防范工作，構(gòu)建了安全的互聯(lián)網(wǎng)架構(gòu)，搭建了防御性偵測(cè)監(jiān)控系統(tǒng)，建立了安全的數(shù)據(jù)傳輸通道，制定了應(yīng)用安全策略等。可以說(shuō)，金融機(jī)構(gòu)互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新基于安全的基礎(chǔ)架構(gòu)之上。

隨著金融網(wǎng)上交易的廣泛使用，黑客向金融用戶發(fā)起惡意攻擊，借助網(wǎng)絡(luò)釣魚(yú)等手段進(jìn)行金融詐騙，盡管這些攻擊并非直指金融企業(yè)網(wǎng)站，但因客戶不能有效辨識(shí)來(lái)自國(guó)際互聯(lián)網(wǎng)的欺詐行為而遭受經(jīng)濟(jì)損失。借助信息安全技術(shù)可展開(kāi)對(duì)可疑網(wǎng)站的偵察，監(jiān)管部門(mén)可迅速關(guān)閉可疑假冒金融機(jī)構(gòu)網(wǎng)站。信息安全為金融業(yè)務(wù)創(chuàng)新保駕護(hù)航。

構(gòu)建基于移動(dòng)設(shè)備的安全體系

隨著智能終端和移動(dòng)寬帶技術(shù)的迅猛發(fā)展，智能手機(jī)、平板電腦、便攜式PC等移動(dòng)設(shè)備也在不斷升級(jí)，很多金融機(jī)構(gòu)利用移動(dòng)終端設(shè)備拓展金融服務(wù)，紛紛推出移動(dòng)銀行、移動(dòng)證券交易、移動(dòng)保險(xiǎn)展業(yè)服務(wù)等。

移動(dòng)終端設(shè)備的另一個(gè)應(yīng)用領(lǐng)域是移動(dòng)辦公。即員工通過(guò)移動(dòng)設(shè)備接入企業(yè)網(wǎng)絡(luò)，隨時(shí)隨地處理電子郵件，開(kāi)展工作。移動(dòng)辦公在提高效率、節(jié)省成本的同時(shí)也使得企業(yè)面臨選擇難題：?jiǎn)T工使用的移動(dòng)終端設(shè)備是企業(yè)所有還是個(gè)人所有?

如果企業(yè)選擇為員工配備移動(dòng)終端設(shè)備，設(shè)備管理問(wèn)題則相對(duì)容易解決。企業(yè)可采取相應(yīng)的技術(shù)控制措施，對(duì)員工移動(dòng)設(shè)備進(jìn)行有效管理。然而隨著個(gè)人擁有移動(dòng)終端設(shè)備的普及化，越來(lái)越多的企業(yè)員工將移動(dòng)設(shè)備引入辦公環(huán)境中，自帶終端上班BYOD(Bring YourOwn Devices)逐漸演變?yōu)橐环N潮流。但與此同時(shí)，針對(duì)移動(dòng)智能終端的安全威脅接踵而來(lái)。移動(dòng)威脅檢測(cè)數(shù)據(jù)顯示，現(xiàn)在平均每秒就有3.5個(gè)危害移動(dòng)終端安全的新威脅產(chǎn)生。移動(dòng)智能終端已成為黑客的攻擊目標(biāo)之一，安全問(wèn)題不容小視。

對(duì)個(gè)人用戶而言，各種智能操作系統(tǒng)安全漏洞、刷機(jī)越獄產(chǎn)生的安全隱患、以及越來(lái)越多的手機(jī)惡意程序都是需要面對(duì)的安全風(fēng)險(xiǎn)。企業(yè)用戶也面臨同樣的安全挑戰(zhàn)：在認(rèn)同員工BYOD的同時(shí)，如何對(duì)員工自帶設(shè)備進(jìn)行有效的安全管理，以保護(hù)企業(yè)的機(jī)密信息不受侵犯。要做好企業(yè)級(jí)移動(dòng)設(shè)備安全管理，就要建立一套有效的防護(hù)策略，關(guān)鍵要做到將BYOD的工作與個(gè)人使用區(qū)分，需要注意以下幾個(gè)方面。

①設(shè)備認(rèn)證。為確保授權(quán)設(shè)備才能接入企業(yè)網(wǎng)絡(luò)，員工必須通過(guò)身份認(rèn)證并確認(rèn)授權(quán)接入的終端設(shè)備。

②設(shè)備標(biāo)準(zhǔn)配置。確認(rèn)準(zhǔn)入后，設(shè)備需按企業(yè)安全配置要求，實(shí)施密碼標(biāo)準(zhǔn)、密碼失敗嘗試控制、自動(dòng)鎖屏等安全管理措施。

③傳輸保密性。設(shè)備經(jīng)國(guó)際互聯(lián)網(wǎng)連接企業(yè)內(nèi)網(wǎng)時(shí)，在互聯(lián)網(wǎng)上的傳輸必須建立加密傳輸(如VPN、SSL等)通道，保障敏感數(shù)據(jù)在公網(wǎng)上的傳輸安全。

④企業(yè)數(shù)據(jù)保密。企業(yè)數(shù)據(jù)應(yīng)只容許訪問(wèn)，不容許保留在接入的移動(dòng)設(shè)備上;如必須將企業(yè)數(shù)據(jù)保存到個(gè)人接入移動(dòng)設(shè)備，企業(yè)數(shù)據(jù)必須與個(gè)人數(shù)據(jù)分隔，并加密保存。

⑤企業(yè)數(shù)據(jù)處理。當(dāng)員工設(shè)備丟失或離職時(shí)，設(shè)備存儲(chǔ)的企業(yè)數(shù)據(jù)必須立即清除，設(shè)備管理必須能夠?qū)嵤┻h(yuǎn)程數(shù)據(jù)刪除處理，防止企業(yè)敏感數(shù)據(jù)的泄露。

除了采取有效的技術(shù)措施外，還應(yīng)制定BYOD管理制度。BYOD管理制度必須清晰表述員工將個(gè)人設(shè)備用于工作環(huán)境的操作規(guī)則，并簽訂使用協(xié)議，允許企業(yè)在個(gè)人設(shè)備上部署安全控制措施，還應(yīng)進(jìn)行適當(dāng)宣傳培訓(xùn)，使員工了解移動(dòng)終端設(shè)備用于辦公環(huán)境可能導(dǎo)致的信息安全風(fēng)險(xiǎn)。

BYOD 安全管理策略實(shí)施后，移動(dòng)設(shè)備不但可支持移動(dòng)辦公，還可接收企業(yè)App Store下發(fā)的應(yīng)用程序，支持創(chuàng)新的業(yè)務(wù)移動(dòng)工作模式，實(shí)現(xiàn)金融服務(wù)不受地域和時(shí)間的限制。

信息安全工作不局限于對(duì)企業(yè)信息保護(hù)，要能夠準(zhǔn)確把握內(nèi)外部環(huán)境轉(zhuǎn)變，滿足市場(chǎng)需要，順應(yīng)企業(yè)文化，前瞻性采取應(yīng)變措施，建立安全可靠管理制度，做到未雨綢繆、防患于未然，使信息科技有力支撐業(yè)務(wù)發(fā)展、促進(jìn)業(yè)務(wù)創(chuàng)新，為金融服務(wù)變革保駕護(hù)航。