互联网为金融业实现信息化和数字化提供了得天独厚的条件。近年来,互联网金融来势汹汹,不断蚕食当前金融市场的“长尾客户”,以支付宝公司的余额宝为例,互联网金融短期内吸纳了巨量活期资金,对传统银行造成了显著冲击。面对互联网企业的频繁发力,传统银行也在积极寻求通过信息化与自身优势结合,争取更过市场份额。随着Apple Pay、Samsung Pay等支付手段的在华落地,以及在跨行转账、无卡取现等业务的推出,互联网金融领域的争夺已进入到白热化阶段。传统银行如何能够在这一领域发挥自己的专长,来自应用交付领导厂商F5公司的中国区区域技术经理陈亮先生提出了自己的见解。
作为服务金融客户十余载的“应用交付老兵”,陈亮先生认为,传统银行与互联网企业实质上更应该被描述为“竞合关系”、甚至是互惠的合作关系。从角色上讲,互联网企业提供了服务与接口,而真正的资金池与现金交易,按照我国现行规定最终还需要银行业务来实现。简单而言,一个用户通过任意客户端完成的带有资金流动的应用,几乎都有互联网企业和银行的共同参与。所以我们可以看到,在这个应用交付的链条中,负责管理资金的银行势必承担着更大的安全责任。陈亮先生指出,由于现在设计资金流动的互联网应用层出不穷,接入设备的种类与数量也在指数级上升,无论由于用户使用不当,还是钓鱼页面、虚假app的大行其道,最终信息泄露的结果,都可能是用户的直接经济损失,而这些经济损失绝大多数情况都直接发生在银行端。所以,这种端到端、由应用引起的安全隐患,传统的防火墙与网络安全措施很难规避。这就要求传统银行能够拥有更加主动可控、且具备弹性的应用安全解决方案来应对这些挑战。
陈亮表示,F5既相信“站得高看得远”,也相信“站得近看得清”。作为与应用距离最近的厂商,F5一直致力于帮助银行与金融客户随时随地安全、快速高可用的交付应用,从而提升最终用户的使用体验。举例来讲,在这种端到端的应用链中,F5的端到端安全解决方案可以从用户端的app就开始进行安全防护:通过F5 Websafe在用户端保护敏感信息不被窃取,在传输时通过SSL加密保证信息的安全,直到银行端服务器通过F5 ASM进行进一步认证才可以对用户的资金进行授权交易。而这一系列加密策略的主动权,则完全掌握在金融用户的手中。此外,F5还提供了专门针对移动设备的应用安全解决方案,通过F5 MobileSafe, 金融客户能过获得防钓鱼、恶意软件嗅探、防止自动交易以及客户敏感信息保护等多角度防卫机制,并可以主动智能的解除在用户移动设备上发现的本地威胁,同时不会以任何方式改变用户体验。MobileSafe 既可单独使用,也可与F5 WebSafe 结合使用,能够避免基于移动设备的身份盗用,并实时防止移动钓鱼、木马和嫁接等攻击。它可为移动应用的使用提供实时保护,并在防止身份盗用和账户窃取的同时保护信息和证书。通过这些基于应用的安全解决方案,金融用户可以在最大程度上保障最终用户的财产安全。
陈亮先生最后强调,不同于互联网企业,金融行业关系到整个国家的经济命脉,一旦金融系统的核心业务出了问题,与一个互联网金融客户的核心系统出问题的严重程度完全不在一个层面。从应用出发看安全,将是未来很长一段时间内的大势所趋。