過(guò)去,金融機(jī)構(gòu)只需專注于在周邊建立強(qiáng)大的安防系統(tǒng),實(shí)現(xiàn)對(duì)相關(guān)區(qū)域如結(jié)算室,金庫(kù)等進(jìn)行嚴(yán)格出入管理和監(jiān)控。而隨著互聯(lián)網(wǎng)、移動(dòng)終端,云端的數(shù)據(jù)的接入,為確保金融交易的安全訪問(wèn),金融系統(tǒng)迫切地需要將傳統(tǒng)上獨(dú)立的門(mén)禁和IT安全整合到一起,協(xié)調(diào)管理身份和門(mén)禁,加強(qiáng)銀行關(guān)鍵業(yè)務(wù)應(yīng)用訪問(wèn)的安全性,以提供隨時(shí)隨地的安全訪問(wèn)。
一、內(nèi)外安全挑戰(zhàn)
銀行性質(zhì)敏感且有利可圖,因而易成為攻擊目標(biāo),內(nèi)外安全隱患重重。金融機(jī)構(gòu)網(wǎng)點(diǎn)分散,綜合管理、實(shí)時(shí)且有效的監(jiān)管難度大,這使得銀行上級(jí)領(lǐng)導(dǎo)不能夠即時(shí)了解所轄分行各員工的具體動(dòng)向及各網(wǎng)點(diǎn)的實(shí)際操作情況,給銀行內(nèi)部的經(jīng)濟(jì)作案有機(jī)可乘。而中國(guó)金融服務(wù)業(yè)的高速發(fā)展,員工數(shù)量的不斷增加,也使銀行面臨人事、出入口與考勤管理方面的嚴(yán)峻挑戰(zhàn)。例如,工作人員的疏忽或銀行安防設(shè)備限制,工作人員在離開(kāi)工作區(qū)未鎖門(mén)導(dǎo)致盜賊趁虛而入,在金庫(kù)等重要區(qū)域,不完善的安全機(jī)制也會(huì)滋生內(nèi)外盜。
另外,互聯(lián)網(wǎng)、移動(dòng)設(shè)備的發(fā)展促使銀行的交易方法發(fā)生了顯著改變。根據(jù)CEB Tower Group調(diào)查顯示,和過(guò)去兩年相比,使用網(wǎng)上銀行的客戶幾乎增長(zhǎng)了兩倍,單純的門(mén)禁管理措施很難支持和保護(hù)銀行客戶隨時(shí)隨地訪問(wèn)的安全性,訪問(wèn)攻擊的頻率和復(fù)雜度也在不斷上升。涉及的攻擊方式包括瀏覽器中間人攻擊(Man-in-the-Browser,MitB)木馬、病毒、鍵盤(pán)記錄、后門(mén)、瀏覽器重定向和其他惡意軟件。因此,要求金融機(jī)構(gòu)既能增加基礎(chǔ)設(shè)施的安全性,又能支持客戶安全訪問(wèn)銀行業(yè)務(wù)。
二、安全管理的需要分析
根據(jù)金融機(jī)構(gòu)的業(yè)務(wù)特點(diǎn),營(yíng)業(yè)網(wǎng)點(diǎn)、大樓等辦公場(chǎng)所既要通過(guò)門(mén)禁系統(tǒng)為從業(yè)人員、客戶的人身和財(cái)物安全提供保障,實(shí)現(xiàn)安全金融服務(wù)的要求,又要在新的安全環(huán)境下,提供客戶隨時(shí)隨地對(duì)金融業(yè)務(wù)的訪問(wèn)要求。具體要求包括:
●支持系統(tǒng)安全性及多級(jí)別權(quán)限的設(shè)置,即門(mén)禁系統(tǒng)必須支持分層權(quán)限設(shè)置,能夠限制核心區(qū)域的員工進(jìn)出,能保證卡片與讀卡器間通信的安全可靠,能辨識(shí)偽卡——這些都是銀行對(duì)辦公場(chǎng)所、儲(chǔ)蓄網(wǎng)點(diǎn)、數(shù)據(jù)中心及金庫(kù)等極高的安防要求,以及對(duì)出入口控制、身份驗(yàn)證、權(quán)限設(shè)置的嚴(yán)格規(guī)定。
●可實(shí)現(xiàn)遠(yuǎn)程控制與中央管理,即門(mén)禁系統(tǒng)應(yīng)網(wǎng)絡(luò)化,能支持遠(yuǎn)程實(shí)時(shí)響應(yīng)、管理與控制,以及在有網(wǎng)絡(luò)的地方即時(shí)通過(guò)電子地圖查看門(mén)禁點(diǎn)的情況;門(mén)禁系統(tǒng)所有的出入紀(jì)錄必須能實(shí)時(shí)上傳至中央管理站,以便監(jiān)察。
●支持多系統(tǒng)聯(lián)動(dòng),即門(mén)禁系統(tǒng)能與其他安防子系統(tǒng),如消防系統(tǒng)、報(bào)警系統(tǒng)整合并協(xié)調(diào)聯(lián)動(dòng),更好地保障安全。
●提高企業(yè)綜合管理效率,即門(mén)禁系統(tǒng)除了作為企業(yè)的安全防范系統(tǒng),還可以通過(guò)整合考勤系統(tǒng)、停車(chē)場(chǎng)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、消費(fèi)系統(tǒng),提高公司的管理效率并最大化地利用資源。
●實(shí)現(xiàn)高度靈活的互聯(lián)網(wǎng)和手機(jī)銀行解決方案。滿足客戶對(duì)日益增長(zhǎng)的新一代安全網(wǎng)上金融服務(wù)的需求,防止用戶進(jìn)行關(guān)鍵金融交易業(yè)務(wù)時(shí)受到欺詐攻擊。
多層身份驗(yàn)證的整體解決方案涵蓋了多種解決方案和技術(shù),包括門(mén)禁和桌面登錄、安全發(fā)行及在IT基礎(chǔ)架構(gòu)和周邊架構(gòu)中采用高級(jí)簽權(quán)機(jī)制,從而在門(mén)禁、數(shù)據(jù)和云安防領(lǐng)域提供無(wú)縫的體驗(yàn)。
首先,在門(mén)禁系統(tǒng)上,需要采用基于IP的開(kāi)放架構(gòu),以支持使用新功能,并與消防、報(bào)警等系統(tǒng)協(xié)調(diào)聯(lián)動(dòng)。采用OPIN開(kāi)放應(yīng)用程序接口的網(wǎng)絡(luò)控制器通過(guò)開(kāi)發(fā)工具套件,為門(mén)禁系統(tǒng)提供一個(gè)開(kāi)放且可擴(kuò)展的開(kāi)發(fā)平臺(tái),能配置并實(shí)現(xiàn)各類門(mén)禁功能,包括遠(yuǎn)程管理、實(shí)時(shí)監(jiān)控、產(chǎn)生報(bào)表和強(qiáng)大的自定義規(guī)則引擎(允許使用系統(tǒng)硬件啟動(dòng)附設(shè)的應(yīng)用程序)。
網(wǎng)絡(luò)控制器能直接接入銀行內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)多級(jí)/多點(diǎn)分布式管理,實(shí)現(xiàn)對(duì)指定區(qū)域分級(jí)、分時(shí)段的通行權(quán)限管理,限制相關(guān)人員隨意進(jìn)入銀行重要場(chǎng)所,并根據(jù)職位或工作性質(zhì)確定其通行的級(jí)別和允許通行的時(shí)段,在重點(diǎn)防范區(qū)域,系統(tǒng)能通過(guò)設(shè)置二道門(mén)、雙門(mén)互鎖、雙指關(guān)聯(lián)等方式,防止內(nèi)外盜。使用加密的TCP/IP鏈接連接主機(jī)和其他設(shè)備,能進(jìn)一步保障信息傳輸?shù)陌踩?/p>
其次,利用非接觸智能卡進(jìn)行聯(lián)合身份識(shí)別管理,用戶通過(guò)中央身份驗(yàn)證后登錄多個(gè)應(yīng)用程序,在各種應(yīng)用中采用多層安全保護(hù),包括門(mén)禁、云端和設(shè)備上的數(shù)據(jù)保護(hù)。這種方式超越簡(jiǎn)易的密碼驗(yàn)證,確保了個(gè)人信息的真實(shí)性并應(yīng)付對(duì)于如今五花八門(mén)的高級(jí)持續(xù)性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設(shè)備(Bring Your Own Device,BYOD)模式的相關(guān)風(fēng)險(xiǎn)。同時(shí),納入多因子身份驗(yàn)證方式還能進(jìn)一步增強(qiáng)安全,實(shí)現(xiàn)用戶用一張智能卡執(zhí)行電腦登錄和注銷(xiāo)操作,為云安全訪問(wèn)設(shè)置了一道較強(qiáng)身份驗(yàn)證的安全防線。
智能卡通過(guò)加密和密鑰技術(shù)來(lái)確保用戶在特定時(shí)間內(nèi)擁有正確的密鑰,是聯(lián)合身份識(shí)別的理想方式,金融機(jī)構(gòu)能通過(guò)添加證卡數(shù)據(jù)進(jìn)行身份管理,并添加額外的這些額外的身份驗(yàn)證因素包含持卡人“擁有”之物(證卡)、“所知”之信息(密碼)以及持卡人個(gè)人特征(生物識(shí)別數(shù)據(jù)),能阻止未經(jīng)授權(quán)的人員使用卡片和讀卡器;并對(duì)卡片上存儲(chǔ)的數(shù)據(jù)加密,以進(jìn)一步增強(qiáng)對(duì)卡片上信息的保護(hù)。高安全性智能卡基礎(chǔ)平臺(tái)的部署,不僅能夠提高金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理水平,而且符合現(xiàn)行立法或監(jiān)管機(jī)構(gòu)的法規(guī)要求。
此外,智能卡具備集成多種應(yīng)用的能力。單一智能卡解決方案除了能做到中央管理外,將門(mén)禁和電腦登錄桌面集成到一張智能卡,還能使員工無(wú)需隨身攜帶不同類卡完成各類應(yīng)用,例如門(mén)禁、電腦登錄,考勤和安全打印管理系統(tǒng)及小額電子支付,及在智能卡嵌入其他應(yīng)用,包括生物識(shí)別技術(shù)。隨著虛擬憑證卡技術(shù)的發(fā)展,該技術(shù)不僅支持多應(yīng)用并能夠移植到NFC手機(jī)。
為了進(jìn)一步優(yōu)化卡片安全,新出現(xiàn)的可視技術(shù)能為智能卡添加個(gè)性化的企業(yè)LOGO及其它防偽元素,如高分辨率圖像,光變油墨,全息圖或激光刻蝕的永久個(gè)人化特征,使偽造和篡改根本行不通。目前的桌面證卡打印機(jī)/編碼器能夠?yàn)闄C(jī)構(gòu)提供單一的解決方案,能同時(shí)實(shí)現(xiàn)打印和編碼,為智能卡添加智能卡芯片、磁條和其它數(shù)字編碼等。
四、總結(jié)
金融領(lǐng)域所面對(duì)的嚴(yán)峻的設(shè)施與數(shù)據(jù)安全挑戰(zhàn),單靠傳統(tǒng)的門(mén)禁已經(jīng)不能滿足行業(yè)發(fā)展的需要,建立通用的身份驗(yàn)證解決方式是最理想的方式:(1)支持樓宇、網(wǎng)絡(luò)以及云端服務(wù)和資源的綜合安全訪問(wèn);(2)支持移動(dòng)密鑰,可以通過(guò)智能手機(jī)或平板電腦方便和安全地訪問(wèn);(3)提供多重因子身份驗(yàn)證功能,實(shí)現(xiàn)最有效地威脅防護(hù);(4)能夠與支持近場(chǎng)通訊技術(shù)(NFC)的筆記本電腦、平板電腦和手機(jī)互操作,實(shí)現(xiàn)最佳安全性和用戶體驗(yàn)。通用的身份驗(yàn)證解決方案能夠保障IT和物理基礎(chǔ)設(shè)施的安全,同時(shí)又能夠作為集成解決方案的一部分,實(shí)現(xiàn)與傳統(tǒng)卡和NFC設(shè)備的互操作。
【作者單位:HID Global】
京公網(wǎng)安備 11010502049343號(hào)