金融安全一體化技術

□ 文/HID Global

過去，金融機構只需專注于對物理資產建立強大的安防系統，實現對相關區域如結算室、金庫等嚴格的出入管理和監控。而隨著互聯網、移動終端、云端數據的接入，為確保金融交易的安全，金融系統迫切地需要將傳統門禁和IT安全整合到一起，抵御全球范圍的最新欺詐問題，使金融機構能夠方便地將網上欺詐保護與安全訪問網上服務和基于云服務的應用程序分層管理，從而為網上銀行、網上金融服務及手機銀行應用提供實時防護，減少金融機構和銀行客戶的風險，協調管理身份和門禁，加強銀行關鍵業務應用訪問的安全性，以提供隨時隨地的安全訪問。

內外安全挑戰

中國金融服務業的高速發展，員工數量的不斷增加，使銀行面臨人事、出入口與考勤管理方面的嚴峻挑戰。例如，工作人員的疏忽或銀行安防設備限制，工作人員在離開工作區未鎖門導致盜賊趁虛而入，在金庫等重要區域，不完善的安全機制也會滋生內外盜。

另外，互聯網、移動設備的發展促使銀行的交易方法發生了顯著改變，（Man-in-the-Browser，MitB）木馬、病毒、鍵盤記錄、后門、瀏覽器重定向和其他惡意軟件等安全威脅要求金融機構既能增加基礎設施的安全性，又能支持客戶安全訪問銀行業務。根據CEB TowerGroup調查顯示，和過去兩年相比，使用網上銀行的客戶幾乎增長了兩倍，單純的門禁管理措施很難支持和保護銀行客戶隨時隨地訪問的安全性，訪問攻擊的頻率和復雜度也在不斷上升。

安全管理的需要分析

根據金融機構的業務特點，營業網點、大樓等辦公場所既要通過門禁系統為從業人員、客戶的人身和財物安全提供保障，實現安全金融服務的要求，又要在新的安全環境下，提供客戶隨時隨地對金融業務的訪問要求。具體要求包括：

● 支持系統安全性及多級別權限的設置，即門禁系統必須支持分層權限設置，能夠限制核心區域的員工進出，能保證卡片與讀卡器間通信的安全可靠，能辨識偽卡——這些都是銀行對辦公場所、儲蓄網點、數據中心及金庫等極高的安防要求，以及對出入口控制、身份驗證、權限設置的嚴格規定；

● 可實現遠程控制與中央管理，即門禁系統應網絡化，能支持遠程實時響應、管理與控制，以及在有網絡的地方即時通過電子地圖查看門禁點的情況；門禁系統所有的出入記錄必須能實時上傳至中央管理站，以便監察；

● 支持多系統聯動，即門禁系統能與其他安防子系統，如消防系統、報警系統整合并協調聯動，更好地保障安全；

● 提高企業綜合管理效率，即門禁系統除了作為企業的安全防范系統，還可以通過整合考勤系統、停車場管理系統、辦公自動化系統、消費系統，提高公司的管理效率并最大化地利用資源；

● 實現高度靈活的互聯網和手機銀行解決方案。滿足客戶對日益增長的新一代安全網上金融服務的需求，防止用戶進行關鍵金融交易業務時受到欺詐攻擊。

基于多層身份驗證的解決方案

多層身份驗證的整體解決方案涵蓋了多種解決方案和技術，包括門禁和桌面登錄、安全發行、及在IT 基礎架構和周邊架構中采用高級簽權機制，從而在門禁、數據和云安防領域提供無縫的體驗。

首先，在門禁系統上，需要采用基于IP 的開放架構，以支持使用新功能，并與消防、報警等系統協調聯動。采用OPIN開放應用程序接口的網絡控制器通過開發工具套件，為門禁系統提供一個開放且可擴展的開發平臺，能配置并實現各類門禁功能，包括遠程管理、實時監控、產生報表和強大的自定義規則引擎（允許使用系統硬件啟動附設的應用程序）。

網絡控制器能直接接入銀行內部網絡實現多級/多點分布式管理，實現對指定區域分級、分時段的通行權限管理，限制相關人員隨意進入銀行重要場所，并根據職位或工作性質確定其通行的級別和允許通行的時段，在重點防范區域，系統能通過設置二道門、雙門互鎖、雙指關聯等方式，防止內外盜。使用加密的TCP/IP 鏈接連接主機和其他設備，能進一步保障信息傳輸的安全。

其次，利用非接觸智能卡進行聯合身份識別管理，用戶通過中央身份驗證后登錄多個應用程序，在各種應用中采用多層安全保護，包括門禁、云端和設備上的數據保護。這種方式超越簡易的密碼驗證，確保了個人信息的真實性并應付對于如今五花八門的高級持續性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設備(Bring Your Own Device， BYOD)模式的相關風險。同時，納入多因子身份驗證方式還能進一步增強安全，實現用戶用一張智能卡執行電腦登錄和注銷操作，為云安全訪問設置了一道較強身份驗證的安全防線。

智能卡通過加密和密鑰技術來確保用戶在特定時間內擁有正確的密鑰，是聯合身份識別的理想方式，金融機構能通過添加證卡數據進行身份管理，并添加額外的這些額外的身份驗證因素包含持卡人“擁有”之物（證卡）、“所知”之信息（密碼）以及持卡人個人特征（生物識別數據），能阻止未經授權的人員使用卡片和讀卡器；并對卡片上存儲的數據加密，以進一步增強對卡片上信息的保護。高安全性智能卡基礎平臺的部署，不僅能夠提高金融機構的風險管理水平，而且符合現行立法或監管機構的法規要求。

此外，智能卡具備集成多種應用的能力。單一智能卡解決方案除了能做到中央管理外，將門禁和電腦登錄桌面集成到一張智能卡，讓員工只需一張卡片便能完成各類應用，例如門禁、電腦登錄，考勤和安全打印管理系統及小額電子支付，及在智能卡嵌入其他應用。隨著虛擬憑證卡技術的發展，該技術不僅支持多應用并能夠移植到智能手機。

例如，HID Global的iCLASS SE平臺和iCLASSSeos證卡技術使用Secure Identity Object(SIO)新數據模型，該數據模型可以在任何設備上代表許多形式的身份信息。SIO可以支持任何數據段，包括用于門禁、小額電子支付、生物識別、PC登錄和許多其他應用的數據。SIO不僅提高了安全性，而且提供了適應未來需求的靈活性，例如，為ID卡添加新應用。此外，iCLASSSeos憑證卡可以移植到滿足門禁環境中的智能手機內部，為用戶提供無障礙的體驗，因為他們可以在幾乎很少丟失或遺忘的設備上攜帶許多門禁應用的虛擬憑證卡。

為了進一步優化卡片安全，新出現的可視技術能為智能卡添加個性化的企業LOGO 及其它防偽元素，如高分辨率圖像、光變油墨、全息圖或激光刻蝕的永久個人化特征，使偽造和篡改根本行不通。目前的桌面證卡打印機/編碼器能夠為機構提供單一的解決方案，能同時實現打印和編碼，為智能卡添加智能卡芯片、磁條和其它數字編碼等。例如，HID FARGO?旗下證卡打印機能夠大批量生產憑證卡的大型集中式打印機的可靠性以及先進性特征與分布式打印模型低成本、小占用面積的要求結合到一起，滿足金融機構制作個性化員工卡的各種要求。

最后，保護新一代網上金融服務的安全多重安全方法包括多因子身份驗證、設備身份驗證、瀏覽器保護和交易身份驗證。該方法采用集成式通用身份驗證平臺以及實時威脅檢測功能。HID Global的ActivID身份驗證產品為普及實現可信網上交易提供五層驗證，實現真正多因子驗證：強大用戶身份驗證；高級設備身份驗證；瀏覽器惡意軟件保護；交易級別身份驗證/模式化智能；應用程序加固。該多層方法使金融機構能夠方便地將網上欺詐保護與安全訪問網上服務和基于云服務的應用程序分層管理。HID Global通過集成式身份驗證平臺提供統一的方法，這樣組織可以輕松地管理眾多用戶和不同設備的憑證卡，同時提供始終如一并且便利的保護，從而抵御金融機構在全球范圍內面臨的最新欺詐問題。

結束語

金融領域所面對的嚴峻設施與數據安全挑戰，單靠傳統的門禁已經不能滿足行業發展的需要，建立通用的身份驗證解決方式是最理想的方式：a) 支持樓宇、網絡以及云端服務和資源的綜合安全訪問；b) 支持移動密鑰，可以通過智能手機或平板電腦方便和安全地訪問；c) 提供多重因子身份驗證功能，實現最有效地威脅防護；d) 能夠與支持近場通訊技術（NFC）的筆記本電腦、平板電腦和手機互操作，實現最佳安全性和用戶體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全，同時又能夠作為集成解決方案的一部分，實現與傳統卡和NFC設備的互操作。