这不是一个最好的时代。当你走进咖啡馆时,会担心免费Wi-Fi不安全;看到USB充电插口,会犹豫是不是陷阱;手机支付一杯咖啡的费用时,会下意识想到,专门绑定网络支付的这张银行卡余额还多不多。
这也绝不是一个最坏的时代。即便在离金钱最近的地方,最容易受到网络攻击的金融行业里,企业和机构也能做到快速反应,现代化的银行、保险、证券等金融机构的安全管理体系相当健全,严守合规性和安全管控要求,并在不断增强信息安全风险防范能力。
在不少人眼中,数字化消费风靡中国,金融、电商等行业飞速发展,以适应消费者的创新需求。但移动应用和数据的激增,使得网络攻击随之增加,有针对性的网络攻击方式层出不穷。尤其是移动应用中的一些安全漏洞,因用户安全防护意识欠佳而易被攻击,一旦遭受攻击,损失便难以弥补。
亚洲银行安全性排名值得点赞
不过,在真实世界中,一旦遭受攻击,银行、保险、证券等金融机构的反应却是最快的,这些机构在创新、可靠和现代化的安全系统上投入巨大。调查显示,全球50家最安全的银行中,亚洲银行的安全性排名令人印象深刻。
其中,新加坡星展银行(DBS Bank)排在第12位,新加坡华侨银行(OCBC Bank Singapore)、韩国开发银行(Korean Development Bank)、新加坡大华银行(United Overseas Bank)和韩国进出口银行(Export-Import Bank of Korea)分别位列第14至第17(参见2016年9月的《全球金融(Global Finance)》杂志)。
银行业是网络监管最严格的行业之一,金融机构已经达成共识——有责任为客户的账户和数据严格保密。他们采用了业界最新、最强大的安全措施和最牢固的IT基础设施,保护数据安全、做好风险控制和保密管理是行业的“标配”。
这也意味着,包括电商、零售、制造、教育、医疗、政府、交通与物流、能源等行业在内的其他行业机构,在网络安全方面都应该向银行、保险、证券业学习,通过最佳实践打造严格的合规体系,建立和实施合乎自身业务需求的IT安全措施。下面我们来看看来自金融业企业用户的实用经验分享。
建立多层级的安全防御
网络安全的本质在于对抗,对抗的本质在于攻防两端的能力较量。在防御保护方面,安全保护层越多,犯罪分子就越难以攻破、进入、访问应用和数据。以新加坡星展银行为例,网上银行业务要求消费者完成双重身份验证,不仅要求输入密码和用户名,还增加了一个额外的安全层,需要输入只有消费者自己才知道的私密信息。更多的安全层能为用户转账、支付账单等日常交易的安全奠定基础。一些针对性很强的恶意软件,虽然也有可能绕过多重身份验证,但是企业用户还可以部署更加严格的安全系统,以技术对技术,加大防御以阻止网络犯罪。
检测和预防机制,确保客户免受欺诈
除了提供强大的身份验证工具,很多银行还提供了双向提示信息,几乎能实时通知客户可疑操作的发生,并要求客户做出快速回应,以确保银行能够确认某项交易是否合规。比如,提示客户发生了额度异常的交易或者在国外发生了某笔交易。
这项机制对于电商行业尤其值得借鉴,他们一直都是数据泄漏事件的重灾区。如eBay就被黑客窃取了大约1.45亿条包括密码在内的客户数据,导致了大量用户损失发生。所幸在各种事故后,电商行业的网络安全防护体系也在不断加固。2016年,亚马逊就曾向用户发送电子邮件,提醒快速重置密码,原因就是部分用户的安全证书可能存在漏洞。
同时,银行在检测和预防机制上的经验,也可以用于实体店零售商。他们时常发售购物卡等消费储值卡,也应该采取更加严格的安全措施,包括提供PIN码和使用基于芯片的“智能卡”(欧洲已经在使用这种类型的智能卡代替购物储值卡了)。
当然,信用卡欺诈仍然是全世界与卡有关的最重大问题之一,但是采取“更加智能的”安全措施至少可以减轻用户损失。
与客户有效沟通,加强风险意识
电商巨头亚马逊的提示邮件也从另一个方面突显了与用户沟通交流、及时发出提示信息的必要性。前不久,总部位于比利时布鲁塞尔的全球银行间金融电讯协会(SWIFT)向其客户广而告之,在之前发现的几起欺诈性付款的恶性案件中,由于本地支付基础设施中存在的漏洞,而导致客户的利益遭受损失。SWIFT迅速启动了与最终客户的沟通工作,提高了客户的网络安全风险意识,进一步增强安全防范,切实维护自身合法权益。
当银行业和其他行业企业面对安全风险时,也可以采取相应沟通措施,提醒客户有效保护自身财产安全。不仅要与客户保持日常沟通交流,而且要加强客户的安全风险意识,告知攻击发生后可以迅速采取哪些行动,避免损失的发生。无论哪个行业,可信的沟通交流都是让客户备受保护的关键。
未来,金融行业还会面临不断的挑战,毕竟网络犯罪一旦成功,带来的金钱收益不可估量。攻防的对峙将会非常激烈。银行还会继续采用最为严格的网络安全标准,使用最有威慑力的安全工具、技术和服务。其他行业可以不断学习这些攻防两端能力较量的最佳实践。如多层身份验证、检测和预防系统以及与客户的交流沟通等,都是适用于所有行业的网络安全策略,可以更好地保护移动应用安全、保护客户的个人信息免受关键漏洞等影响。
总体来说,企业的网络安全防护正在进入“新常态”,如何以技术对技术、以技术管技术,借鉴各行各业的最佳实践,规避安全风险,是所有企业必须具备的新技能。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
服务器虚拟化安全管理四个注意事项
服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,它的灵活性也导致用户担心存在于虚拟环境中的安全隐患会蔓延开去。
-
服务器虚拟化安全管理的十个步骤
2007年市场上大家关心的是数据中心在虚拟化方面的效率问题,2008年大家却开始越来越关注虚拟化的”安全性”问题了。