《移动金融安全分论坛》,科技创新下的安全与风控
移动支付网 2018/5/2 9:42:02

4月25日下午,由北京网络信息安全技术创新产业联盟、移动支付网联合主办的移动金融安全分论坛在北京新世纪日航饭店隆重召开。2018第二届中国移动金融发展大会主要聚焦政策趋势、金融科技、大数据和交通支付,而移动金融安全分论坛则将重点放在了“安全”上面。

移动金融面临的安全风险

如果说“创新”是移动金融的生命的话,那么“安全可控”便是为其保驾护航的保护伞,安全离不开政策保障和技术支持。国家高度重视金融支付安全,金融宏观管理和监管单位积极研究制订相关标准和管理规范,推动移动金融技术创新遵循安全可控原则健康发展。

来自中国人民银行金融信息中心信息安全部袁惠萍主任,作为监管层领导分享了对于移动金融安全风控的看法。

随着中国移动互联网、移动支付的发展,除了我们一直关注的金融安全之外,移动金融也成为了当前最应该关注的突出方向。她表示,银行在发展移动金融安全时应该“两条腿走路,两条腿都要稳”,不仅传统的产品需要符合国家网络安全的规定,创新产品技术也要符合相关规定。

另外,她认为移动金融的安全除了与支付安全相关之外,也与终端安全息息相关。因此,不仅需要从云端、软件层面去解决支付安全问题,还需要在手机端、POS端等终端设备上去解决硬件安全问题。

来自中国信息安全测评中心的安全专家杨永生,也对此表示了认同。他介绍,移动金融支付产品目前面临着安全风险,比如钓鱼网络、页面劫持、暴力破解等传统金融安全,还有中间人攻击、信息泄露、重放攻击、DOS攻击等等各种风险。

因此,他表示首先移动金融产品的设计需要重视安全问题,避免不必要的安全缺陷;其次从事安全开发的人员非常重要,需要具有相应的网络安全知识;最后无论哪种移动金融产品都需要重视安全测试,尤其是厂商要进行严格的产品安全自测。

由《网络安全法》到金融安全的思考

安全的可控一方面离不开相关部门的监管,另一方面也离不开法律法规的约束。随着我国对网络安全的重视程度不断提高,《网络安全法》也应运而生。

来自亚信安全的技术总监吴刚表示,网络安全法的诞生对于金融行业的合规性具有重要的引导意义。同时他对网络安全法关于金融行业的关键点进行了解读,包括:网络安全等级保护制度、关键信息基础设施、个人信息保护、网络运营者、敏感数据的存管、安全产品认证和法律责任。针对这些关键点,他总结企业以及金融机构的关注点:1、遵循网络安全等级保护制度;2、安全保障三同步原则;3、网络安全检测预警和通报;4、个人信息安全防护措施;5、安全事件应急预案和演练;6、安全工作内部审计。

天融信移动安全产品线总监张超则从传统网络安全出发,分析了移动金融安全的新思考。他认为,移动支付一定要安全先行,要以安全为前提,来加快普及移动支付的发展。他总结道,目前移动支付的安全方向包括:移动金融终端安全、移动APP安全、移动网络流量安全以及基于云的移动大数据态势感知的要求。因此,他认为目前关于移动金融安全的前沿技术主要包括:移动用户/终端的可信认证、金融APP全生命周期安全防护技术、金融业务终端安全防护技术以及综合安全防护技术等。

恒安嘉新金融行业技术总监王嘉表示,网络安全与风控经历了几个重要的阶段,包括2005年以前的传统金融业务阶段、2005年以后网贷盛行、第三方支付发展的阶段、2013年互联网金融得到迅猛发展,银行业步入线上创新时期以及如今的移动互联网让移动终端成为了金融入口。因此,在互联网高速发展的当下,他认为如何根据用户数据建立完善的风控模型是网络安全的核心。

金融科技下,银行业的安全体系建设

银行业在整个金融安全的体系中占据着核心的地位,随着金融科技的发展,金融机构如何顺势而为成为了当下值得关注的问题。

天融信信息安全顾问蔺晓阳认为,商业银行面临的安全压力主要来源于两个方面,一个是国家层面的安全要求,另一个是新技术业务的安全挑战。随后他分析了商业银行的漏洞成因,包括:第三方IT组件漏洞、危险配置,自研发应用系统的业务逻辑缺陷,自研发应用系统的技术性缺陷和未知漏洞等。因此他认为,银行业一方面要持续维护纵深防御体系、完善开发应用体系,另一方面要引入威胁情报的安全运营,利用威胁情报发现入侵。

爱加密解决方案专家魏超介绍了科技金融背景下银行业所面临的安全风险、业务风险、运营风险、未知风险等,他认为科技金融风险防护的关键要素包括网安法、筹保2.0、行业法规等政策因素,数据驱动安全、威胁感知响应、智能主动防御等意识因素。因此,他表示银行业要从安全态势感知、智能机器学习、聚合安全数据、业务安全画像等感知方面,端到端的安全防护方面以及以业务为核心的风险管理快速响应方面,构建全面的科技安全防护体系。

另外,天融信安全技术顾问李跃忠则从移动安全人才培养的角度诠释了网络安全的重要性,他认为无论是移动安全、网络安全还是信息安全,最关键的因素是“人”。最后他总结了几点关于安全的心得,一、攻击未必是最好的防御,但不了解攻的防是缺乏针对性的,很难做到有效防护;二、靠黑客来保障安全是不靠谱的,安全风险的降低不是靠单打独斗。


展开全文
相关阅读
资讯查询取消