趨勢科技劉政平:移動安全要形成統一的安全管控
近幾年來,電子商務發展迅猛,從而帶動了網上支付、移動支付的發展。目前無論是大型的銀行和中小銀行,還是券商、保險公司在移動安全方面的建設都頗為引人關注,目前金融行業面臨安全威脅趨勢也呈現出一些新的特征。
這些機構在運用和推動移動金融方面的進度,都非常快。從一個側面來看,安卓應用市場的App的增長量非常快,今年已經超過70萬個了,大概兩年前才10萬個。
同時,很多金融企業開始在內部的OA或者應用平臺,采取移動終端進行辦公。比如采購iPad、iPhone,作為終端辦公的手段拓展。這一方面,已經有一些大銀行有這樣的動作了。包括一些券商也在內部開發了一些App。
在外部來講,移動金融,作為交易客戶端,比如說銀行,還有包括券商、保險,他們現在開發了一系列的交易客戶端,推向整個市場。已經有很多的客戶在采用。對于內部和外部,安全威脅是有差別性的。
對于內部來說,現在很多金融企業用到內部辦公,移動平臺之后,會面臨一個很大的問題——移動終端在外部網絡使用及安裝非企業應用帶來的風險。由于移動終端的特性,用戶可能會在外部網絡使用,在這個過程中移動終端很可能會被惡意程序攻擊,從而感染病毒,一旦染毒的移動終端接入到企業內部網絡,就可能會導致惡意程序在內網傳播,甚至會導致網絡癱瘓。另外一個方面由于移動終端用戶可能會自行安裝一些非企業內部的應用,比如用戶安裝一些市場上的App,這些App裝完之后,沒有辦法識別App里面是否內嵌了惡意程序。App嵌一些惡意程序的話,帶到金融機構的IT網絡里面,可能會形成潛伏式的攻擊。就是App的攻擊潛伏在里面,搜集用戶的信息和用戶密碼。搜集完之后,用戶脫離內部網絡使用3G,或者外部網絡的時候,這些數據會被轉發出來。
所以,我們注意到,對于內部辦公來說,由于移動設備是個人在使用,而且不像傳統的PC終端比較固定,比較標準化,安全配置、策略都比較強勢。導致了他們現在使用新興的Mobile的終端,面臨完全不同以往的非標準化或者去標準化的挑戰。這是內部安全面臨的嚴重威脅。
還有一點,就是移動的應用在金融領域,現在是面向業務場景的,比如OA是一種場景,銀行支行網點的業務展示也是一種場景。現在已經有些銀行在支行網點,開始給一些大客戶經理配發iPad作為一種業務展示的手段。隨時而來的問題就是,這些移動設備怎么管理更安全。
所以,一方面這種移動設備管理的去標準化,不像傳統PC管理那么標準化。還有就是移動應用基于不同的業務形態,管理要求也是有差別的。在安全的配置,安全要求上面,也會有一些定制化和個性化。
對于外部來說,網上銀行、手機銀行,已經是成為各大銀行的發展重點目標了。包括券商網上交易也占80%的量。當手機銀行成為新一代的銀行交易模式,銀行對它的依賴度就會很高。
最近一些大的銀行都在布局移動金融,已經投入大量資源進行研發。這方面,安全怎么做?也是一個挑戰。現在不管是iOS系統,還是安卓系統,有很多應用都是被越獄、被破解,因此帶來了很多不可控的因素。
舉個例子來說,一旦被越獄和破解,刷機之后,內部中了一個惡意程序,比如說針對金融應用的惡意程序被植入之后,很有可能會導致客戶交易的賬號、密碼被竊取。而這種案件在去年和今年已經有發生了,趨勢科技認為這個也是未來主要安全威脅的發展方向,就是定向的攻擊一些客戶的手機交易端。
一方面,要從內部完善新一代的Mobile設備安全管控、包括管理流程。另一方面,要從外部對客戶的交易平臺安全進行提升,在這兩個方面采取不同的策略、新的管理流程,這是一個必然的發展趨勢。
趨勢科技建議,針對目前移動設備平臺很分散、應用眾多的特點。金融企業首先要從內部將離散的平臺、非統一標準的平臺集成到一個安全管控的平臺上,形成統一的安全管控。從外部來講,也要不斷強化交易平臺的安全保護和安全管控。圍繞著保護移動終端的數據安全目標,企業的移動終端安全管理戰略需要從移動設備管理、移動系統安全及移動應用管理這三個層面進行思考。通過部署趨勢科技移動終端安全管理企業版(Trend Micro Mobile Security),金融企業能夠保護大量智能終端和移動設備,并擁有完全的可視性和控制管理,允許員工可以自由地在跨物理、虛擬、移動和云環境自由共享數據及網絡資源。不僅能夠降低企業部署成本和減少管理移動設備的復雜度,避免機密數據外泄,同時確保移動設備能夠安全的存取訪問企業網絡資源。
