近几年来,电子商务发展迅猛,从而带动了网上支付、移动支付的发展。目前无论是大型的银行和中小银行,还是券商、保险公司在移动安全方面的建设都颇为引人关注,目前金融行业面临安全威胁趋势也呈现出一些新的特征。
这些机构在运用和推动移动金融方面的进度,都非常快。从一个侧面来看,安卓应用市场的App的增长量非常快,今年已经超过70万个了,大概两年前才10万个。
同时,很多金融企业开始在内部的OA或者应用平台,采取移动终端进行办公。比如采购iPad、iPhone,作为终端办公的手段拓展。这一方面,已经有一些大银行有这样的动作了。包括一些券商也在内部开发了一些App。
在外部来讲,移动金融,作为交易客户端,比如说银行,还有包括券商、保险,他们现在开发了一系列的交易客户端,推向整个市场。已经有很多的客户在采用。对于内部和外部,安全威胁是有差别性的。
对于内部来说,现在很多金融企业用到内部办公,移动平台之后,会面临一个很大的问题——移动终端在外部网络使用及安装非企业应用带来的风险。由于移动终端的特性,用户可能会在外部网络使用,在这个过程中移动终端很可能会被恶意程序攻击,从而感染病毒,一旦染毒的移动终端接入到企业内部网络,就可能会导致恶意程序在内网传播,甚至会导致网络瘫痪。另外一个方面由于移动终端用户可能会自行安装一些非企业内部的应用,比如用户安装一些市场上的App,这些App装完之后,没有办法识别App里面是否内嵌了恶意程序。App嵌一些恶意程序的话,带到金融机构的IT网络里面,可能会形成潜伏式的攻击。就是App的攻击潜伏在里面,搜集用户的信息和用户密码。搜集完之后,用户脱离内部网络使用3G,或者外部网络的时候,这些数据会被转发出来。
趋势科技(中国区)高级产品经理 刘政平
所以,我们注意到,对于内部办公来说,由于移动设备是个人在使用,而且不像传统的PC终端比较固定,比较标准化,安全配置、策略都比较强势。导致了他们现在使用新兴的Mobile的终端,面临完全不同以往的非标准化或者去标准化的挑战。这是内部安全面临的严重威胁。
还有一点,就是移动的应用在金融领域,现在是面向业务场景的,比如OA是一种场景,银行支行网点的业务展示也是一种场景。现在已经有些银行在支行网点,开始给一些大客户经理配发iPad作为一种业务展示的手段。随时而来的问题就是,这些移动设备怎么管理更安全。
所以,一方面这种移动设备管理的去标准化,不像传统PC管理那么标准化。还有就是移动应用基于不同的业务形态,管理要求也是有差别的。在安全的配置,安全要求上面,也会有一些定制化和个性化。
对于外部来说,网上银行、手机银行,已经是成为各大银行的发展重点目标了。包括券商网上交易也占80%的量。当手机银行成为新一代的银行交易模式,银行对它的依赖度就会很高。
最近一些大的银行都在布局移动金融,已经投入大量资源进行研发。这方面,安全怎么做?也是一个挑战。现在不管是iOS系统,还是安卓系统,有很多应用都是被越狱、被破解,因此带来了很多不可控的因素。
举个例子来说,一旦被越狱和破解,刷机之后,内部中了一个恶意程序,比如说针对金融应用的恶意程序被植入之后,很有可能会导致客户交易的账号、密码被窃取。而这种案件在去年和今年已经有发生了,趋势科技认为这个也是未来主要安全威胁的发展方向,就是定向的攻击一些客户的手机交易端。
一方面,要从内部完善新一代的Mobile设备安全管控、包括管理流程。另一方面,要从外部对客户的交易平台安全进行提升,在这两个方面采取不同的策略、新的管理流程,这是一个必然的发展趋势。
趋势科技建议,针对目前移动设备平台很分散、应用众多的特点。金融企业首先要从内部将离散的平台、非统一标准的平台集成到一个安全管控的平台上,形成统一的安全管控。从外部来讲,也要不断强化交易平台的安全保护和安全管控。围绕着保护移动终端的数据安全目标,企业的移动终端安全管理战略需要从移动设备管理、移动系统安全及移动应用管理这三个层面进行思考。通过部署趋势科技移动终端安全管理企业版(Trend Micro Mobile Security),金融企业能够保护大量智能终端和移动设备,并拥有完全的可视性和控制管理,允许员工可以自由地在跨物理、虚拟、移动和云环境自由共享数据及网络资源。不仅能够降低企业部署成本和减少管理移动设备的复杂度,避免机密数据外泄,同时确保移动设备能够安全的存取访问企业网络资源。