□ 文/HID Global

過去，金融機構(gòu)只需專注于在周邊建立強大的安防系統(tǒng)，實現(xiàn)對相關(guān)區(qū)域如結(jié)算室，金庫等進行嚴格出入管理和監(jiān)控。而隨著互聯(lián)網(wǎng)、移動終端，云端的數(shù)據(jù)的接入，為確保金融交易的安全訪問，金融系統(tǒng)迫切地需要將傳統(tǒng)上獨立的門禁和IT安全整合到一起，協(xié)調(diào)管理身份和門禁，加強銀行關(guān)鍵業(yè)務(wù)應用訪問的安全性，以提供隨時隨地的安全訪問。

內(nèi)外安全挑戰(zhàn)

銀行性質(zhì)敏感且有利可圖，因而易成為攻擊目標，內(nèi)外安全隱患重重。金融機構(gòu)網(wǎng)點分散，綜合管理、實時且有效的監(jiān)管難度大，這使得銀行上級領(lǐng)導不能夠即時了解所轄分行各員工的具體動向及各網(wǎng)點的實際操作情況，給銀行內(nèi)部的經(jīng)濟作案有機可乘。而中國金融服務(wù)業(yè)的高速發(fā)展，員工數(shù)量的不斷增加，也使銀行面臨人事、出入口與考勤管理方面的嚴峻挑戰(zhàn)。例如，工作人員的疏忽或銀行安防設(shè)備限制，工作人員在離開工作區(qū)未鎖門導致盜賊趁虛而入，在金庫等重要區(qū)域，不完善的安全機制也會滋生內(nèi)外盜。

另外，互聯(lián)網(wǎng)、移動設(shè)備的發(fā)展促使銀行的交易方法發(fā)生了顯著改變。根據(jù)CEB Tower Group調(diào)查顯示，和過去兩年相比，使用網(wǎng)上銀行的客戶幾乎增長了兩倍，單純的門禁管理措施很難支持和保護銀行客戶隨時隨地訪問的安全性，訪問攻擊的頻率和復雜度也在不斷上升。涉及的攻擊方式包括瀏覽器中間人攻擊（Man-in-the-Browser，MitB）木馬、病毒、鍵盤記錄、后門、瀏覽器重定向和其他惡意軟件。因此，要求金融機構(gòu)既能增加基礎(chǔ)設(shè)施的安全性，又能支持客戶安全訪問銀行業(yè)務(wù)。

安全管理的需要分析

根據(jù)金融機構(gòu)的業(yè)務(wù)特點，營業(yè)網(wǎng)點、大樓等辦公場所既要通過門禁系統(tǒng)為從業(yè)人員、客戶的人身和財物安全提供保障，實現(xiàn)安全金融服務(wù)的要求，又要在新的安全環(huán)境下，提供客戶隨時隨地對金融業(yè)務(wù)的訪問要求。具體要求包括：

● 支持系統(tǒng)安全性及多級別權(quán)限的設(shè)置，即門禁系統(tǒng)必須支持分層權(quán)限設(shè)置，能夠限制核心區(qū)域的員工進出，能保證卡片與讀卡器間通信的安全可靠，能辨識偽卡——這些都是銀行對辦公場所、儲蓄網(wǎng)點、數(shù)據(jù)中心及金庫等極高的安防要求，以及對出入口控制、身份驗證、權(quán)限設(shè)置的嚴格規(guī)定。

● 可實現(xiàn)遠程控制與中央管理，即門禁系統(tǒng)應網(wǎng)絡(luò)化，能支持遠程實時響應、管理與控制，以及在有網(wǎng)絡(luò)的地方即時通過電子地圖查看門禁點的情況；門禁系統(tǒng)所有的出入紀錄必須能實時上傳至中央管理站，以便監(jiān)察。

● 支持多系統(tǒng)聯(lián)動，即門禁系統(tǒng)能與其他安防子系統(tǒng)，如消防系統(tǒng)、報警系統(tǒng)整合并協(xié)調(diào)聯(lián)動，更好地保障安全。

● 提高企業(yè)綜合管理效率，即門禁系統(tǒng)除了作為企業(yè)的安全防范系統(tǒng)，還可以通過整合考勤系統(tǒng)、停車場管理系統(tǒng)、辦公自動化系統(tǒng)、消費系統(tǒng)，提高公司的管理效率并最大化地利用資源。

● 實現(xiàn)高度靈活的互聯(lián)網(wǎng)和手機銀行解決方案。滿足客戶對日益增長的新一代安全網(wǎng)上金融服務(wù)的需求，防止用戶進行關(guān)鍵金融交易業(yè)務(wù)時受到欺詐攻擊。

多層身份驗證的整體解決方案

多層身份驗證的整體解決方案涵蓋了多種解決方案和技術(shù)，包括門禁和桌面登錄、安全發(fā)行及在IT基礎(chǔ)架構(gòu)和周邊架構(gòu)中采用高級簽權(quán)機制，從而在門禁、數(shù)據(jù)和云安防領(lǐng)域提供無縫的體驗。

首先，在門禁系統(tǒng)上，需要采用基于IP 的開放架構(gòu)，以支持使用新功能，并與消防、報警等系統(tǒng)協(xié)調(diào)聯(lián)動。采用OPIN開放應用程序接口的網(wǎng)絡(luò)控制器通過開發(fā)工具套件，為門禁系統(tǒng)提供一個開放且可擴展的開發(fā)平臺，能配置并實現(xiàn)各類門禁功能，包括遠程管理、實時監(jiān)控、產(chǎn)生報表和強大的自定義規(guī)則引擎（允許使用系統(tǒng)硬件啟動附設(shè)的應用程序）。

網(wǎng)絡(luò)控制器能直接接入銀行內(nèi)部網(wǎng)絡(luò)實現(xiàn)多級/多點分布式管理，實現(xiàn)對指定區(qū)域分級、分時段的通行權(quán)限管理，限制相關(guān)人員隨意進入銀行重要場所，并根據(jù)職位或工作性質(zhì)確定其通行的級別和允許通行的時段，在重點防范區(qū)域，系統(tǒng)能通過設(shè)置二道門、雙門互鎖、雙指關(guān)聯(lián)等方式，防止內(nèi)外盜。使用加密的TCP/IP 鏈接連接主機和其他設(shè)備，能進一步保障信息傳輸?shù)陌踩?/p>

其次，利用非接觸智能卡進行聯(lián)合身份識別管理，用戶通過中央身份驗證后登錄多個應用程序，在各種應用中采用多層安全保護，包括門禁、云端和設(shè)備上的數(shù)據(jù)保護。這種方式超越簡易的密碼驗證，確保了個人信息的真實性并應付對于如今五花八門的高級持續(xù)性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設(shè)備(Bring Your Own Device， BYOD)模式的相關(guān)風險。同時，納入多因子身份驗證方式還能進一步增強安全，實現(xiàn)用戶用一張智能卡執(zhí)行電腦登錄和注銷操作，為云安全訪問設(shè)置了一道較強身份驗證的安全防線。

智能卡通過加密和密鑰技術(shù)來確保用戶在特定時間內(nèi)擁有正確的密鑰，是聯(lián)合身份識別的理想方式，金融機構(gòu)能通過添加證卡數(shù)據(jù)進行身份管理，并添加額外的這些額外的身份驗證因素包含持卡人“擁有”之物（證卡）、“所知”之信息（密碼）以及持卡人個人特征（生物識別數(shù)據(jù)），能阻止未經(jīng)授權(quán)的人員使用卡片和讀卡器；并對卡片上存儲的數(shù)據(jù)加密，以進一步增強對卡片上信息的保護。高安全性智能卡基礎(chǔ)平臺的部署，不僅能夠提高金融機構(gòu)的風險管理水平，而且符合現(xiàn)行立法或監(jiān)管機構(gòu)的法規(guī)要求。

此外，智能卡具備集成多種應用的能力。單一智能卡解決方案除了能做到中央管理外，將門禁和電腦登錄桌面集成到一張智能卡，還能使員工無需隨身攜帶不同類卡完成各類應用，例如門禁、電腦登錄，考勤和安全打印管理系統(tǒng)及小額電子支付，及在智能卡嵌入其他應用，包括生物識別技術(shù)。隨著虛擬憑證卡技術(shù)的發(fā)展，該技術(shù)不僅支持多應用并能夠移植到NFC手機。

例如，HID Global的iCLASS SE平臺和iCLASS Seos證卡技術(shù)使用Secure Identity Object (SIO)新數(shù)據(jù)模型，該數(shù)據(jù)模型可以在任何設(shè)備上代表許多形式的身份信息，這些設(shè)備能夠在公司的Trusted Identity Platform (TIP)的安全邊界和中央身份驗證管理生態(tài)系統(tǒng)內(nèi)工作。SIO可以支持任何數(shù)據(jù)段，包括用于門禁、小額電子支付、生物識別、PC登錄和許多其他應用的數(shù)據(jù)。TIP和SIO的集成不僅提高了安全性，而且提供了適應未來需求的靈活性，例如，為ID卡添加新應用。此外，iCLASS Seos憑證卡可以移植到滿足門禁環(huán)境中的智能手機內(nèi)部，為用戶提供無障礙的體驗，因為他們可以在幾乎很少丟失或遺忘的設(shè)備上攜帶許多門禁應用的虛擬憑證卡。

為了進一步優(yōu)化卡片安全，新出現(xiàn)的可視技術(shù)能為智能卡添加個性化的企業(yè)LOGO 及其它防偽元素，如高分辨率圖像，光變油墨，全息圖或激光刻蝕的永久個人化特征，使偽造和篡改根本行不通。目前的桌面證卡打印機/編碼器能夠為機構(gòu)提供單一的解決方案，能同時實現(xiàn)打印和編碼，為智能卡添加智能卡芯片、磁條和其它數(shù)字編碼等。例如，HID FARGO?旗下證卡打印機能夠大批量生產(chǎn)憑證卡的大型集中式打印機的可靠性以及先進性特征與分布式打印模型低成本、小占用面積的要求結(jié)合到一起，滿足金融機構(gòu)制作個性化員工卡的各種要求。

最后，保護新一代網(wǎng)上金融服務(wù)的安全多重安全方法包括多因子身份驗證、設(shè)備身份驗證、瀏覽器保護和交易身份驗證。該方法采用集成式通用身份驗證平臺以及實時威脅檢測功能。HID Global的ActivID身份驗證產(chǎn)品為普及實現(xiàn)可信網(wǎng)上交易提供五層驗證，實現(xiàn)真正多因子驗證：強大用戶身份驗證；高級設(shè)備身份驗證；瀏覽器惡意軟件保護；交易級別身份驗證/模式化智能；應用程序加固。該多層方法使金融機構(gòu)能夠方便地將網(wǎng)上欺詐保護與安全訪問網(wǎng)上服務(wù)和基于云服務(wù)的應用程序分層管理。HID Global通過集成式身份驗證平臺提供統(tǒng)一的方法，這樣組織可以輕松地管理眾多用戶和不同設(shè)備的憑證卡，同時提供始終如一并且便利的保護，從而抵御金融機構(gòu)在全球范圍內(nèi)面臨的最新欺詐問題。

總結(jié)

金融領(lǐng)域所面對的嚴峻的設(shè)施與數(shù)據(jù)安全挑戰(zhàn)，單靠傳統(tǒng)的門禁已經(jīng)不能滿足行業(yè)發(fā)展的需要，建立通用的身份驗證解決方式是最理想的方式：（1）支持樓宇、網(wǎng)絡(luò)以及云端服務(wù)和資源的綜合安全訪問；（2）支持移動密鑰，可以通過智能手機或平板電腦方便和安全地訪問；（3）提供多重因子身份驗證功能，實現(xiàn)最有效地威脅防護；（4）能夠與支持近場通訊技術(shù)（NFC）的筆記本電腦、平板電腦和手機互操作，實現(xiàn)最佳安全性和用戶體驗。通用的身份驗證解決方案能夠保障IT和物理基礎(chǔ)設(shè)施的安全，同時又能夠作為集成解決方案的一部分，實現(xiàn)與傳統(tǒng)卡和NFC設(shè)備的互操作。