这不是一个最好的时代。当你走进咖啡馆时，会担心免费Wi-Fi不安全；看到USB充电插口，会犹豫是不是陷阱；手机支付一杯咖啡的费用时，会下意识想到，专门绑定网络支付的这张银行卡余额还多不多。

这也绝不是一个最坏的时代。即便在离金钱最近的地方，最容易受到网络攻击的金融行业里，企业和机构也能做到快速反应，现代化的银行、保险、证券等金融机构的安全管理体系相当健全，严守合规性和安全管控要求，并在不断增强信息安全风险防范能力。

在不少人眼中，数字化消费风靡中国，金融、电商等行业飞速发展，以适应消费者的创新需求。但移动应用和数据的激增，使得网络攻击随之增加，有针对性的网络攻击方式层出不穷。尤其是移动应用中的一些安全漏洞，因用户安全防护意识欠佳而易被攻击，一旦遭受攻击，损失便难以弥补。

亚洲银行安全性排名值得点赞

不过，在真实世界中，一旦遭受攻击，银行、保险、证券等金融机构的反应却是最快的，这些机构在创新、可靠和现代化的安全系统上投入巨大。调查显示，全球50家最安全的银行中，亚洲银行的安全性排名令人印象深刻。

其中，新加坡星展银行（DBS Bank）排在第12位，新加坡华侨银行（OCBC Bank Singapore）、韩国开发银行（Korean Development Bank）、新加坡大华银行（United Overseas Bank）和韩国进出口银行（Export-Import Bank of Korea）分别位列第14至第17（参见2016年9月的《全球金融（Global Finance）》杂志）。

银行业是网络监管最严格的行业之一，金融机构已经达成共识——有责任为客户的账户和数据严格保密。他们采用了业界最新、最强大的安全措施和最牢固的IT基础设施，保护数据安全、做好风险控制和保密管理是行业的“标配”。

这也意味着，包括电商、零售、制造、教育、医疗、政府、交通与物流、能源等行业在内的其他行业机构，在网络安全方面都应该向银行、保险、证券业学习，通过最佳实践打造严格的合规体系，建立和实施合乎自身业务需求的IT安全措施。下面我们来看看来自金融业企业用户的实用经验分享。

建立多层级的安全防御

网络安全的本质在于对抗，对抗的本质在于攻防两端的能力较量。在防御保护方面，安全保护层越多，犯罪分子就越难以攻破、进入、访问应用和数据。以新加坡星展银行为例，网上银行业务要求消费者完成双重身份验证，不仅要求输入密码和用户名，还增加了一个额外的安全层，需要输入只有消费者自己才知道的私密信息。更多的安全层能为用户转账、支付账单等日常交易的安全奠定基础。一些针对性很强的恶意软件，虽然也有可能绕过多重身份验证，但是企业用户还可以部署更加严格的安全系统，以技术对技术，加大防御以阻止网络犯罪。

检测和预防机制，确保客户免受欺诈

除了提供强大的身份验证工具，很多银行还提供了双向提示信息，几乎能实时通知客户可疑操作的发生，并要求客户做出快速回应，以确保银行能够确认某项交易是否合规。比如，提示客户发生了额度异常的交易或者在国外发生了某笔交易。

这项机制对于电商行业尤其值得借鉴，他们一直都是数据泄漏事件的重灾区。如eBay就被黑客窃取了大约1.45亿条包括密码在内的客户数据，导致了大量用户损失发生。所幸在各种事故后，电商行业的网络安全防护体系也在不断加固。2016年，亚马逊就曾向用户发送电子邮件，提醒快速重置密码，原因就是部分用户的安全证书可能存在漏洞。

同时，银行在检测和预防机制上的经验，也可以用于实体店零售商。他们时常发售购物卡等消费储值卡，也应该采取更加严格的安全措施，包括提供PIN码和使用基于芯片的“智能卡”（欧洲已经在使用这种类型的智能卡代替购物储值卡了）。

当然，信用卡欺诈仍然是全世界与卡有关的最重大问题之一，但是采取“更加智能的”安全措施至少可以减轻用户损失。

与客户有效沟通，加强风险意识

电商巨头亚马逊的提示邮件也从另一个方面突显了与用户沟通交流、及时发出提示信息的必要性。前不久，总部位于比利时布鲁塞尔的全球银行间金融电讯协会（SWIFT）向其客户广而告之，在之前发现的几起欺诈性付款的恶性案件中，由于本地支付基础设施中存在的漏洞，而导致客户的利益遭受损失。SWIFT迅速启动了与最终客户的沟通工作，提高了客户的网络安全风险意识，进一步增强安全防范，切实维护自身合法权益。

当银行业和其他行业企业面对安全风险时，也可以采取相应沟通措施，提醒客户有效保护自身财产安全。不仅要与客户保持日常沟通交流，而且要加强客户的安全风险意识，告知攻击发生后可以迅速采取哪些行动，避免损失的发生。无论哪个行业，可信的沟通交流都是让客户备受保护的关键。

未来，金融行业还会面临不断的挑战，毕竟网络犯罪一旦成功，带来的金钱收益不可估量。攻防的对峙将会非常激烈。银行还会继续采用最为严格的网络安全标准，使用最有威慑力的安全工具、技术和服务。其他行业可以不断学习这些攻防两端能力较量的最佳实践。如多层身份验证、检测和预防系统以及与客户的交流沟通等，都是适用于所有行业的网络安全策略，可以更好地保护移动应用安全、保护客户的个人信息免受关键漏洞等影响。

总体来说，企业的网络安全防护正在进入“新常态”，如何以技术对技术、以技术管技术，借鉴各行各业的最佳实践，规避安全风险，是所有企业必须具备的新技能。