金融互联网+的安全管理整体解决方案

□ 文/HID Global

过去，金融机构只需专注于在周边建立强大的安防系统，实现对相关区域如结算室，金库等进行严格出入管理和监控。而随着互联网、移动终端，云端的数据的接入，为确保金融交易的安全访问，金融系统迫切地需要将传统上独立的门禁和IT安全整合到一起，协调管理身份和门禁，加强银行关键业务应用访问的安全性，以提供随时随地的安全访问。

内外安全挑战

银行性质敏感且有利可图，因而易成为攻击目标，内外安全隐患重重。金融机构网点分散，综合管理、实时且有效的监管难度大，这使得银行上级领导不能够即时了解所辖分行各员工的具体动向及各网点的实际操作情况，给银行内部的经济作案有机可乘。而中国金融服务业的高速发展，员工数量的不断增加，也使银行面临人事、出入口与考勤管理方面的严峻挑战。例如，工作人员的疏忽或银行安防设备限制，工作人员在离开工作区未锁门导致盗贼趁虚而入，在金库等重要区域，不完善的安全机制也会滋生内外盗。

另外，互联网、移动设备的发展促使银行的交易方法发生了显著改变。根据CEB Tower Group调查显示，和过去两年相比，使用网上银行的客户几乎增长了两倍，单纯的门禁管理措施很难支持和保护银行客户随时随地访问的安全性，访问攻击的频率和复杂度也在不断上升。涉及的攻击方式包括浏览器中间人攻击（Man-in-the-Browser，MitB）木马、病毒、键盘记录、后门、浏览器重定向和其他恶意软件。因此，要求金融机构既能增加基础设施的安全性，又能支持客户安全访问银行业务。

安全管理的需要分析

根据金融机构的业务特点，营业网点、大楼等办公场所既要通过门禁系统为从业人员、客户的人身和财物安全提供保障，实现安全金融服务的要求，又要在新的安全环境下，提供客户随时随地对金融业务的访问要求。具体要求包括：

● 支持系统安全性及多级别权限的设置，即门禁系统必须支持分层权限设置，能够限制核心区域的员工进出，能保证卡片与读卡器间通信的安全可靠，能辨识伪卡——这些都是银行对办公场所、储蓄网点、数据中心及金库等极高的安防要求，以及对出入口控制、身份验证、权限设置的严格规定。

● 可实现远程控制与中央管理，即门禁系统应网络化，能支持远程实时响应、管理与控制，以及在有网络的地方即时通过电子地图查看门禁点的情况；门禁系统所有的出入纪录必须能实时上传至中央管理站，以便监察。

● 支持多系统联动，即门禁系统能与其他安防子系统，如消防系统、报警系统整合并协调联动，更好地保障安全。

● 提高企业综合管理效率，即门禁系统除了作为企业的安全防范系统，还可以通过整合考勤系统、停车场管理系统、办公自动化系统、消费系统，提高公司的管理效率并最大化地利用资源。

● 实现高度灵活的互联网和手机银行解决方案。满足客户对日益增长的新一代安全网上金融服务的需求，防止用户进行关键金融交易业务时受到欺诈攻击。

多层身份验证的整体解决方案

多层身份验证的整体解决方案涵盖了多种解决方案和技术，包括门禁和桌面登录、安全发行及在IT基础架构和周边架构中采用高级签权机制，从而在门禁、数据和云安防领域提供无缝的体验。

首先，在门禁系统上，需要采用基于IP 的开放架构，以支持使用新功能，并与消防、报警等系统协调联动。采用OPIN开放应用程序接口的网络控制器通过开发工具套件，为门禁系统提供一个开放且可扩展的开发平台，能配置并实现各类门禁功能，包括远程管理、实时监控、产生报表和强大的自定义规则引擎（允许使用系统硬件启动附设的应用程序）。

网络控制器能直接接入银行内部网络实现多级/多点分布式管理，实现对指定区域分级、分时段的通行权限管理，限制相关人员随意进入银行重要场所，并根据职位或工作性质确定其通行的级别和允许通行的时段，在重点防范区域，系统能通过设置二道门、双门互锁、双指关联等方式，防止内外盗。使用加密的TCP/IP 链接连接主机和其他设备，能进一步保障信息传输的安全。

其次，利用非接触智能卡进行联合身份识别管理，用户通过中央身份验证后登录多个应用程序，在各种应用中采用多层安全保护，包括门禁、云端和设备上的数据保护。这种方式超越简易的密码验证，确保了个人信息的真实性并应付对于如今五花八门的高级持续性威胁(Advanced Persistent Threats)、黑客攻击及采用自带设备(Bring Your Own Device， BYOD)模式的相关风险。同时，纳入多因子身份验证方式还能进一步增强安全，实现用户用一张智能卡执行电脑登录和注销操作，为云安全访问设置了一道较强身份验证的安全防线。

智能卡通过加密和密钥技术来确保用户在特定时间内拥有正确的密钥，是联合身份识别的理想方式，金融机构能通过添加证卡数据进行身份管理，并添加额外的这些额外的身份验证因素包含持卡人“拥有”之物（证卡）、“所知”之信息（密码）以及持卡人个人特征（生物识别数据），能阻止未经授权的人员使用卡片和读卡器；并对卡片上存储的数据加密，以进一步增强对卡片上信息的保护。高安全性智能卡基础平台的部署，不仅能够提高金融机构的风险管理水平，而且符合现行立法或监管机构的法规要求。

此外，智能卡具备集成多种应用的能力。单一智能卡解决方案除了能做到中央管理外，将门禁和电脑登录桌面集成到一张智能卡，还能使员工无需随身携带不同类卡完成各类应用，例如门禁、电脑登录，考勤和安全打印管理系统及小额电子支付，及在智能卡嵌入其他应用，包括生物识别技术。随着虚拟凭证卡技术的发展，该技术不仅支持多应用并能够移植到NFC手机。

例如，HID Global的iCLASS SE平台和iCLASS Seos证卡技术使用Secure Identity Object (SIO)新数据模型，该数据模型可以在任何设备上代表许多形式的身份信息，这些设备能够在公司的Trusted Identity Platform (TIP)的安全边界和中央身份验证管理生态系统内工作。SIO可以支持任何数据段，包括用于门禁、小额电子支付、生物识别、PC登录和许多其他应用的数据。TIP和SIO的集成不仅提高了安全性，而且提供了适应未来需求的灵活性，例如，为ID卡添加新应用。此外，iCLASS Seos凭证卡可以移植到满足门禁环境中的智能手机内部，为用户提供无障碍的体验，因为他们可以在几乎很少丢失或遗忘的设备上携带许多门禁应用的虚拟凭证卡。

为了进一步优化卡片安全，新出现的可视技术能为智能卡添加个性化的企业LOGO 及其它防伪元素，如高分辨率图像，光变油墨，全息图或激光刻蚀的永久个人化特征，使伪造和篡改根本行不通。目前的桌面证卡打印机/编码器能够为机构提供单一的解决方案，能同时实现打印和编码，为智能卡添加智能卡芯片、磁条和其它数字编码等。例如，HID FARGO®旗下证卡打印机能够大批量生产凭证卡的大型集中式打印机的可靠性以及先进性特征与分布式打印模型低成本、小占用面积的要求结合到一起，满足金融机构制作个性化员工卡的各种要求。

最后，保护新一代网上金融服务的安全多重安全方法包括多因子身份验证、设备身份验证、浏览器保护和交易身份验证。该方法采用集成式通用身份验证平台以及实时威胁检测功能。HID Global的ActivID身份验证产品为普及实现可信网上交易提供五层验证，实现真正多因子验证：强大用户身份验证；高级设备身份验证；浏览器恶意软件保护；交易级别身份验证/模式化智能；应用程序加固。该多层方法使金融机构能够方便地将网上欺诈保护与安全访问网上服务和基于云服务的应用程序分层管理。HID Global通过集成式身份验证平台提供统一的方法，这样组织可以轻松地管理众多用户和不同设备的凭证卡，同时提供始终如一并且便利的保护，从而抵御金融机构在全球范围内面临的最新欺诈问题。

总结

金融领域所面对的严峻的设施与数据安全挑战，单靠传统的门禁已经不能满足行业发展的需要，建立通用的身份验证解决方式是最理想的方式：（1）支持楼宇、网络以及云端服务和资源的综合安全访问；（2）支持移动密钥，可以通过智能手机或平板电脑方便和安全地访问；（3）提供多重因子身份验证功能，实现最有效地威胁防护；（4）能够与支持近场通讯技术（NFC）的笔记本电脑、平板电脑和手机互操作，实现最佳安全性和用户体验。通用的身份验证解决方案能够保障IT和物理基础设施的安全，同时又能够作为集成解决方案的一部分，实现与传统卡和NFC设备的互操作。