金融安全一體化技術(shù)

□ 文/HID Global

過(guò)去，金融機(jī)構(gòu)只需專(zhuān)注于對(duì)物理資產(chǎn)建立強(qiáng)大的安防系統(tǒng)，實(shí)現(xiàn)對(duì)相關(guān)區(qū)域如結(jié)算室、金庫(kù)等嚴(yán)格的出入管理和監(jiān)控。而隨著互聯(lián)網(wǎng)、移動(dòng)終端、云端數(shù)據(jù)的接入，為確保金融交易的安全，金融系統(tǒng)迫切地需要將傳統(tǒng)門(mén)禁和IT安全整合到一起，抵御全球范圍的最新欺詐問(wèn)題，使金融機(jī)構(gòu)能夠方便地將網(wǎng)上欺詐保護(hù)與安全訪問(wèn)網(wǎng)上服務(wù)和基于云服務(wù)的應(yīng)用程序分層管理，從而為網(wǎng)上銀行、網(wǎng)上金融服務(wù)及手機(jī)銀行應(yīng)用提供實(shí)時(shí)防護(hù)，減少金融機(jī)構(gòu)和銀行客戶的風(fēng)險(xiǎn)，協(xié)調(diào)管理身份和門(mén)禁，加強(qiáng)銀行關(guān)鍵業(yè)務(wù)應(yīng)用訪問(wèn)的安全性，以提供隨時(shí)隨地的安全訪問(wèn)。

內(nèi)外安全挑戰(zhàn)

中國(guó)金融服務(wù)業(yè)的高速發(fā)展，員工數(shù)量的不斷增加，使銀行面臨人事、出入口與考勤管理方面的嚴(yán)峻挑戰(zhàn)。例如，工作人員的疏忽或銀行安防設(shè)備限制，工作人員在離開(kāi)工作區(qū)未鎖門(mén)導(dǎo)致盜賊趁虛而入，在金庫(kù)等重要區(qū)域，不完善的安全機(jī)制也會(huì)滋生內(nèi)外盜。

另外，互聯(lián)網(wǎng)、移動(dòng)設(shè)備的發(fā)展促使銀行的交易方法發(fā)生了顯著改變，（Man-in-the-Browser，MitB）木馬、病毒、鍵盤(pán)記錄、后門(mén)、瀏覽器重定向和其他惡意軟件等安全威脅要求金融機(jī)構(gòu)既能增加基礎(chǔ)設(shè)施的安全性，又能支持客戶安全訪問(wèn)銀行業(yè)務(wù)。根據(jù)CEB TowerGroup調(diào)查顯示，和過(guò)去兩年相比，使用網(wǎng)上銀行的客戶幾乎增長(zhǎng)了兩倍，單純的門(mén)禁管理措施很難支持和保護(hù)銀行客戶隨時(shí)隨地訪問(wèn)的安全性，訪問(wèn)攻擊的頻率和復(fù)雜度也在不斷上升。

安全管理的需要分析

根據(jù)金融機(jī)構(gòu)的業(yè)務(wù)特點(diǎn)，營(yíng)業(yè)網(wǎng)點(diǎn)、大樓等辦公場(chǎng)所既要通過(guò)門(mén)禁系統(tǒng)為從業(yè)人員、客戶的人身和財(cái)物安全提供保障，實(shí)現(xiàn)安全金融服務(wù)的要求，又要在新的安全環(huán)境下，提供客戶隨時(shí)隨地對(duì)金融業(yè)務(wù)的訪問(wèn)要求。具體要求包括：

● 支持系統(tǒng)安全性及多級(jí)別權(quán)限的設(shè)置，即門(mén)禁系統(tǒng)必須支持分層權(quán)限設(shè)置，能夠限制核心區(qū)域的員工進(jìn)出，能保證卡片與讀卡器間通信的安全可靠，能辨識(shí)偽卡——這些都是銀行對(duì)辦公場(chǎng)所、儲(chǔ)蓄網(wǎng)點(diǎn)、數(shù)據(jù)中心及金庫(kù)等極高的安防要求，以及對(duì)出入口控制、身份驗(yàn)證、權(quán)限設(shè)置的嚴(yán)格規(guī)定；

● 可實(shí)現(xiàn)遠(yuǎn)程控制與中央管理，即門(mén)禁系統(tǒng)應(yīng)網(wǎng)絡(luò)化，能支持遠(yuǎn)程實(shí)時(shí)響應(yīng)、管理與控制，以及在有網(wǎng)絡(luò)的地方即時(shí)通過(guò)電子地圖查看門(mén)禁點(diǎn)的情況；門(mén)禁系統(tǒng)所有的出入記錄必須能實(shí)時(shí)上傳至中央管理站，以便監(jiān)察；

● 支持多系統(tǒng)聯(lián)動(dòng)，即門(mén)禁系統(tǒng)能與其他安防子系統(tǒng)，如消防系統(tǒng)、報(bào)警系統(tǒng)整合并協(xié)調(diào)聯(lián)動(dòng)，更好地保障安全；

● 提高企業(yè)綜合管理效率，即門(mén)禁系統(tǒng)除了作為企業(yè)的安全防范系統(tǒng)，還可以通過(guò)整合考勤系統(tǒng)、停車(chē)場(chǎng)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、消費(fèi)系統(tǒng)，提高公司的管理效率并最大化地利用資源；

● 實(shí)現(xiàn)高度靈活的互聯(lián)網(wǎng)和手機(jī)銀行解決方案。滿足客戶對(duì)日益增長(zhǎng)的新一代安全網(wǎng)上金融服務(wù)的需求，防止用戶進(jìn)行關(guān)鍵金融交易業(yè)務(wù)時(shí)受到欺詐攻擊。

基于多層身份驗(yàn)證的解決方案

多層身份驗(yàn)證的整體解決方案涵蓋了多種解決方案和技術(shù)，包括門(mén)禁和桌面登錄、安全發(fā)行、及在IT 基礎(chǔ)架構(gòu)和周邊架構(gòu)中采用高級(jí)簽權(quán)機(jī)制，從而在門(mén)禁、數(shù)據(jù)和云安防領(lǐng)域提供無(wú)縫的體驗(yàn)。

首先，在門(mén)禁系統(tǒng)上，需要采用基于IP 的開(kāi)放架構(gòu)，以支持使用新功能，并與消防、報(bào)警等系統(tǒng)協(xié)調(diào)聯(lián)動(dòng)。采用OPIN開(kāi)放應(yīng)用程序接口的網(wǎng)絡(luò)控制器通過(guò)開(kāi)發(fā)工具套件，為門(mén)禁系統(tǒng)提供一個(gè)開(kāi)放且可擴(kuò)展的開(kāi)發(fā)平臺(tái)，能配置并實(shí)現(xiàn)各類(lèi)門(mén)禁功能，包括遠(yuǎn)程管理、實(shí)時(shí)監(jiān)控、產(chǎn)生報(bào)表和強(qiáng)大的自定義規(guī)則引擎（允許使用系統(tǒng)硬件啟動(dòng)附設(shè)的應(yīng)用程序）。

網(wǎng)絡(luò)控制器能直接接入銀行內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)多級(jí)/多點(diǎn)分布式管理，實(shí)現(xiàn)對(duì)指定區(qū)域分級(jí)、分時(shí)段的通行權(quán)限管理，限制相關(guān)人員隨意進(jìn)入銀行重要場(chǎng)所，并根據(jù)職位或工作性質(zhì)確定其通行的級(jí)別和允許通行的時(shí)段，在重點(diǎn)防范區(qū)域，系統(tǒng)能通過(guò)設(shè)置二道門(mén)、雙門(mén)互鎖、雙指關(guān)聯(lián)等方式，防止內(nèi)外盜。使用加密的TCP/IP 鏈接連接主機(jī)和其他設(shè)備，能進(jìn)一步保障信息傳輸?shù)陌踩?/p>

其次，利用非接觸智能卡進(jìn)行聯(lián)合身份識(shí)別管理，用戶通過(guò)中央身份驗(yàn)證后登錄多個(gè)應(yīng)用程序，在各種應(yīng)用中采用多層安全保護(hù)，包括門(mén)禁、云端和設(shè)備上的數(shù)據(jù)保護(hù)。這種方式超越簡(jiǎn)易的密碼驗(yàn)證，確保了個(gè)人信息的真實(shí)性并應(yīng)付對(duì)于如今五花八門(mén)的高級(jí)持續(xù)性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設(shè)備(Bring Your Own Device， BYOD)模式的相關(guān)風(fēng)險(xiǎn)。同時(shí)，納入多因子身份驗(yàn)證方式還能進(jìn)一步增強(qiáng)安全，實(shí)現(xiàn)用戶用一張智能卡執(zhí)行電腦登錄和注銷(xiāo)操作，為云安全訪問(wèn)設(shè)置了一道較強(qiáng)身份驗(yàn)證的安全防線。

智能卡通過(guò)加密和密鑰技術(shù)來(lái)確保用戶在特定時(shí)間內(nèi)擁有正確的密鑰，是聯(lián)合身份識(shí)別的理想方式，金融機(jī)構(gòu)能通過(guò)添加證卡數(shù)據(jù)進(jìn)行身份管理，并添加額外的這些額外的身份驗(yàn)證因素包含持卡人“擁有”之物（證卡）、“所知”之信息（密碼）以及持卡人個(gè)人特征（生物識(shí)別數(shù)據(jù)），能阻止未經(jīng)授權(quán)的人員使用卡片和讀卡器；并對(duì)卡片上存儲(chǔ)的數(shù)據(jù)加密，以進(jìn)一步增強(qiáng)對(duì)卡片上信息的保護(hù)。高安全性智能卡基礎(chǔ)平臺(tái)的部署，不僅能夠提高金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理水平，而且符合現(xiàn)行立法或監(jiān)管機(jī)構(gòu)的法規(guī)要求。

此外，智能卡具備集成多種應(yīng)用的能力。單一智能卡解決方案除了能做到中央管理外，將門(mén)禁和電腦登錄桌面集成到一張智能卡，讓員工只需一張卡片便能完成各類(lèi)應(yīng)用，例如門(mén)禁、電腦登錄，考勤和安全打印管理系統(tǒng)及小額電子支付，及在智能卡嵌入其他應(yīng)用。隨著虛擬憑證卡技術(shù)的發(fā)展，該技術(shù)不僅支持多應(yīng)用并能夠移植到智能手機(jī)。

例如，HID Global的iCLASS SE平臺(tái)和iCLASSSeos證卡技術(shù)使用Secure Identity Object(SIO)新數(shù)據(jù)模型，該數(shù)據(jù)模型可以在任何設(shè)備上代表許多形式的身份信息。SIO可以支持任何數(shù)據(jù)段，包括用于門(mén)禁、小額電子支付、生物識(shí)別、PC登錄和許多其他應(yīng)用的數(shù)據(jù)。SIO不僅提高了安全性，而且提供了適應(yīng)未來(lái)需求的靈活性，例如，為ID卡添加新應(yīng)用。此外，iCLASSSeos憑證卡可以移植到滿足門(mén)禁環(huán)境中的智能手機(jī)內(nèi)部，為用戶提供無(wú)障礙的體驗(yàn)，因?yàn)樗麄兛梢栽趲缀鹾苌賮G失或遺忘的設(shè)備上攜帶許多門(mén)禁應(yīng)用的虛擬憑證卡。

為了進(jìn)一步優(yōu)化卡片安全，新出現(xiàn)的可視技術(shù)能為智能卡添加個(gè)性化的企業(yè)LOGO 及其它防偽元素，如高分辨率圖像、光變油墨、全息圖或激光刻蝕的永久個(gè)人化特征，使偽造和篡改根本行不通。目前的桌面證卡打印機(jī)/編碼器能夠?yàn)闄C(jī)構(gòu)提供單一的解決方案，能同時(shí)實(shí)現(xiàn)打印和編碼，為智能卡添加智能卡芯片、磁條和其它數(shù)字編碼等。例如，HID FARGO?旗下證卡打印機(jī)能夠大批量生產(chǎn)憑證卡的大型集中式打印機(jī)的可靠性以及先進(jìn)性特征與分布式打印模型低成本、小占用面積的要求結(jié)合到一起，滿足金融機(jī)構(gòu)制作個(gè)性化員工卡的各種要求。

最后，保護(hù)新一代網(wǎng)上金融服務(wù)的安全多重安全方法包括多因子身份驗(yàn)證、設(shè)備身份驗(yàn)證、瀏覽器保護(hù)和交易身份驗(yàn)證。該方法采用集成式通用身份驗(yàn)證平臺(tái)以及實(shí)時(shí)威脅檢測(cè)功能。HID Global的ActivID身份驗(yàn)證產(chǎn)品為普及實(shí)現(xiàn)可信網(wǎng)上交易提供五層驗(yàn)證，實(shí)現(xiàn)真正多因子驗(yàn)證：強(qiáng)大用戶身份驗(yàn)證；高級(jí)設(shè)備身份驗(yàn)證；瀏覽器惡意軟件保護(hù)；交易級(jí)別身份驗(yàn)證/模式化智能；應(yīng)用程序加固。該多層方法使金融機(jī)構(gòu)能夠方便地將網(wǎng)上欺詐保護(hù)與安全訪問(wèn)網(wǎng)上服務(wù)和基于云服務(wù)的應(yīng)用程序分層管理。HID Global通過(guò)集成式身份驗(yàn)證平臺(tái)提供統(tǒng)一的方法，這樣組織可以輕松地管理眾多用戶和不同設(shè)備的憑證卡，同時(shí)提供始終如一并且便利的保護(hù)，從而抵御金融機(jī)構(gòu)在全球范圍內(nèi)面臨的最新欺詐問(wèn)題。

結(jié)束語(yǔ)

金融領(lǐng)域所面對(duì)的嚴(yán)峻設(shè)施與數(shù)據(jù)安全挑戰(zhàn)，單靠傳統(tǒng)的門(mén)禁已經(jīng)不能滿足行業(yè)發(fā)展的需要，建立通用的身份驗(yàn)證解決方式是最理想的方式：a) 支持樓宇、網(wǎng)絡(luò)以及云端服務(wù)和資源的綜合安全訪問(wèn)；b) 支持移動(dòng)密鑰，可以通過(guò)智能手機(jī)或平板電腦方便和安全地訪問(wèn)；c) 提供多重因子身份驗(yàn)證功能，實(shí)現(xiàn)最有效地威脅防護(hù)；d) 能夠與支持近場(chǎng)通訊技術(shù)（NFC）的筆記本電腦、平板電腦和手機(jī)互操作，實(shí)現(xiàn)最佳安全性和用戶體驗(yàn)。通用的身份驗(yàn)證解決方案能夠保障IT和物理基礎(chǔ)設(shè)施的安全，同時(shí)又能夠作為集成解決方案的一部分，實(shí)現(xiàn)與傳統(tǒng)卡和NFC設(shè)備的互操作。