2.3 信息安全与业务的关系:矛盾与共赢

金融行业的信息安全与业务的关系,在某些时候可能是最能融合的,因为金融业务必须重视风险,否则业务成果可能付之一炬;但某些时候又可能是矛盾最大的,因为信息安全对业务必定会有一定的影响和制衡。所以,简单说,信息安全与业务是矛盾、是一致还是共赢?可能都不恰当,准确说,应该尽可能化解矛盾,取得最大公约数的一致,最终才能实现共赢。

1.信息安全与业务的矛盾性

信息安全与业务的矛盾,多数体现在业务流程的设计方面。业务部门是必须考虑客户体验的,因此处理步骤越便捷、验证过程越简单越好。但是从信息安全的角度,有些必要的风险控制措施又不能简化。

例如,商业银行的II、III类电子账户的开设就是一个很典型的例子。从客户体验和便利性角度,开户信息及验证步骤越少越好,但是从信息安全角度,需要客户提供更多的个人信息,通过人脸识别、短信验证等步骤,才可以在客户不跟银行人员面对面接触的情况下,正确核验客户身份,确保客户开户意愿的真实性,既能保护客户不被假冒开户,也能够防止客户抵赖。

客户转账或支付是第二个典型的例子。为了给客户更便捷的体验,有些金融企业采用一个认证因素(例如静态密码、指纹等)即可完成转账或支付类交易,但这会给某些攻击者可乘之机,因为静态密码很容易通过撞库等攻击方式获取,而客户指纹信息也可以被复制。因此从信息安全的角度,必须采用两种以上不同类别的认证因素,方可完成转账或支付这类对客户账户余额有改变的“动账”类交易,但这样显然会影响到客户体验。

2.信息安全与业务的一致性

金融行业的业务,可以说都是与风险相关的,高收益的背后往往是以承受的高风险为代价,所以开展业务的同时,必须尽可能采取措施使得风险最小化,这一点跟信息安全管理目标是一致的。

信息安全与业务的一致性,体现在事前预防、事中拦截、事后告警等方面。例如,通过业务风控系统的建设,可以实现以下目标:

·事前预防。在客户身份验证的同时,通过预先设立的黑名单,与客户身份证、手机号等进行匹配,对于命中的直接拒绝开户或交易;在信贷审批之前,运行风险模型,对于符合高风险特征的不予审批通过。

·事中拦截。通过预先建立的风控规则,与客户开户或交易行为进行比对,对于符合风险模型的(如同一个IP地址短时间内集中开户或交易,同一个手机号同时开立多个账户等)进行交易拦截。

·事后告警。通过设立告警规则,提供告警信息,出具风险报表,提供给业务部门进行处理;在信贷放款后对客户信息持续跟踪,对于可能出现还款风险的客户提前采取措施。

3.信息安全与业务的共赢

要实现信息安全与业务的共赢,首要的就是双方先改变心态,停止争执,朝着一个目标方向努力,争取最大公约数,取得风险和效益的平衡。具体来说,常见的兼顾风险和效益的方式包括:

·风险分类。信息安全人员和业务人员要一起对风险进行分类分级,根据风险的大小及发生频率,优先化解高风险或者高频交易风险;同时调研了解同业采用的方式,学习同业经验,寻找是否有更好的风险管控措施。

·“前轻后重”。所谓“前轻”,就是对于直接提供客户体验的前端来说,在满足监管要求的前提下,设计尽可能简单的规则,例如客户信息遵循“必须知道、最小原则”,身份验证方式遵循“够用就好原则”。但这个必须与强大的后台相配套,也就是说,后台的风控必须到位(即“后重”),要有黑名单或灰名单客户,要有风险监测模型,要有紧急情况下一键关停规避风险的功能,否则就会留下巨大的风险缺口。

·客户风险等级分类。对于金融企业的客户,要有分类分级管控的技术方案,通过运行一定规则对客户进行分类,对于风险等级为“低”的“白名单”客户,身份验证措施可以非常简单,保证客户的良好体验;对于风险等级为“中”的客户,可以多增加一个身份验证措施;对于风险等级为“高”的客户,可以直接要求面核面签;对于有过不良记录的“黑名单”客户,可以直接拒绝服务。

·额度管控。从交易金额的角度控制,针对不同的金额设置不同的安全管控措施。例如,对于小额的交易,可以采用免密免签或者简单验证因素的方式;对于大额的交易,必须使用数字证书或者动态令牌、U盾等方式验证身份;对于其他交易,可以采用静态密码+短信动态验证码/指纹/人脸识别等双因素验证身份。