【行业专家访谈】指掌易:金融行业移动安全实践之道 – 作者:指掌易

数字技术变革带动我国金融创新不断迈上新台阶,大数据、云计算以及移动互联等数字技术改变了金融服务触达用户的成本和效率,引领金融行业走向数智发展。而移动化是连接金融科技与客户体验的关键桥梁,众多金融机构纷纷开展业务移动化,将业务/办公等应用访问的接入渠道延伸至移动端,利用移动端的便捷性促进办公和业务的高效开展。

但业务移动化广泛普及的同时,也为金融行业带来诸多安全挑战和风险,金融业务移动化场景下有哪些潜在风险?金融行业如何做好业务移动化过程中的安全防护?在移动安全细分领域中,行业标准、国家规范等政策指导下,如何行之有效的构建移动端安全架构?本次访谈,指掌易采访了对金融行业客户需求、解决方案等多方面有着深厚经验积累的金融行业解决方案专家李源,与您共同探讨金融行业移动安全建设思路。

个人简介:

c4a755d1657b34a982264b4139b6192f.jpeg

李源,指掌易金融行业高级解决方案专家,曾参与多个行业标准、安全规范的编制工作,深刻了解国内B端用户移动安全建设及安全现状,规划并设计了多款安全应用产品及解决方案,对国内外相关领域技术动态、行业方向有着自己的认识。

一、 金融行业移动安全建设的现状及挑战

金融行业移动化发展非常之快,这既源于信息化技术的发展,也源于金融消费者消费场景的转变。金融科技的发展和金融消费者场景的变化,促使近年来金融产品和服务日趋丰富,金融科技已经从原来辅助业务的地位上升成决定金融发展的一个关键因素,而在这个过程中,移动化的发展也成为了一个承上启下的关键。

现如今,众多金融机构纷纷开展业务移动化,将业务/办公等应用访问的接入渠道拓展至移动端,利用移动端的便捷性促进办公和业务的高效开展。以COPE(配发设备)、BYOD(自携设备)以及移动PC为主的移动办公及营销模式遍布各个业务领域,极大地提高了员工工作效率和客户满意度。

3021078c29975f0a1e25d758593cd044.jpeg

金融机构的业务移动化建设同时带来的还有安全风险,包括敏感业务流程和数据泄露、移动端数据传输风险以及合规风险等等。而对于金融行业来说,无论哪种风险爆发成安全事件,都会引发金融机构的巨大危机。

因此移动安全建设至关重要,在现阶段已经开展移动安全建设的金融机构,大致可以分为以下三类方向:

01以纳管思想解决安全问题:

MDM是一种常见的管控方案,即通过移动设备管理,以及利用VPN/APN的这种安全接入技术去解决移动端的安全问题,这种方案的核心思想是沿用原来pc端网络安全建设思路,主要以物理隔离、网络隔离/接管的方式,来管控移动端。

cd9e9d0410de9e4140c03c4b3d39f856.jpeg

02 从企业办公场景为出发点

从企业办公场景为出发点,常见如EMM(企业移动管理)方案,双域系统设备、VMI技术,而EMM是MDM技术的扩展和延伸,VMI等是通过技术手段将企业和个人数据隔离开来,从而达到保护企业数据的安全。

1a2972f39030c3485d98f3a35b93fbd6.jpeg

03以数据安全为出发点

以数据安全为出发点,是目前比较普遍的做法,如APP加固、APP检测、VSA虚拟安全域、Sandbox等技术方案,都是围绕数据安全为出发点来开展移动安全建设的。

8deb0b269f07a9fc6dc6f0b96eb1a3a9.jpeg

而即使现如今,有了等保2.0、个人隐私保护等规范出台和实施后,为什么很多CISO/管理者们在移动安全问题上仍有各种各样的困惑以及数据泄露的问题,原因就是移动化场景具备复杂化和多元化的属性,而移动端安全的构建也仅是就某一问题而解决,并没有做到全面的移动端安全防护。

cf8dde0b757aeacc698c1f2ab4bc5733.png

(移动安全建设及管理困惑)

二、 金融机构移动安全建设思路

解决移动业务安全问题,要根据移动化发展、移动技术的发展历程进行分析总结。指掌易认为,移动端的安全构建至少要在如下六个纬度考虑,分别是:

设备层

设备的管理、设备的合规、对设备远程的操作。

应用层

对APP自己安全性的加强,嵌入的SDK进行合规管理等。

数据层

解决数据明文存在、明文存储等。

行为层

保障人员对应用的操作可以进行合规管理,如分享、截屏、复制等。

接入层

依托SDP模型,解决端侧接入及访问控制安全。

隐私保护

强调个人隐私的防护。

围绕这六个维度,将整个移动安全的主要防护点保护起来,对数据泄露的主要途径和工具进行防护,最终形成一套完整的安全架构,进而实现完整的移动端安全防护。

第一步:站在客户的业务场景和安全风险的角度,通盘考虑移动安全建设应该如何去做。

第二步:在构建整个移动安全架构时,分别从安全、业务、体验和管理四个维度进行设计和思考。在安全板块,移动安全的建设要多维度的展开,切记“步步为营”;在业务板块,安全建设一定要紧贴业务,从业务场景出发;在体验板块,移动端安全产品的应用,必须平衡用户使用体验,既是面向员工、也要面向运维人员;在管理版块,移动端的安全技术一定要满足轻量化、高效率的管理要求,尽可能避免「集成」。

第三步:按照指掌易实践理论,从技术选型、应用安全、数据安全、接入层管控、安全赋能和安全管理六个维度去建设。

625736586c84d1fca78f38bc9a606b4f.jpeg

总结:

随着信息化的发展,以移动互联网为代表的金融科技已成为推动金融业转型升级和高质量发展的新引擎。金融机构深耕业务移动化的同时,移动安全建设必须与时俱进。“6个维度”全覆盖,“云管端”全面防护,让安全持续赋能金融行业的业务发展。

来源:freebuf.com 2020-11-10 17:23:53 by: 指掌易

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论