华为为民生银行移动安全保驾护航

2013-12-05 09:37:43 作者：来源：CTI论坛评论：0 　点击：

　　客户背景

　　中国民生银行于1996年1月12日在北京正式成立，是中国首家主要由非公有制企业入股的全国性股份制商业银行。作为中国银行业改革的试验田，民生银行锐意改革、积极进取，业务不断地拓展，规模不断地扩大，效益逐年递增，保持了快速健康的发展势头，为推动中国银行业的改革创新做出了积极贡献。现代银行需紧随信息技术发展，不断再造自我，服务于客户。今天，随着移动智能终端的普及和3G/4G/WiFi的大力发展，移动应用商店的快速普及，NFC近场支付技术发展，以及消费者对安全移动支付的需求增加，金融服务渠道向移动渠道延伸成为银行业新时代标志之一，移动金融时代全面到来。使用移动智能终端及无线互联技术能够开展更多的移动业务，比如移动营销、移动OA、手机银行等。而发展银行移动业务首先就要考虑安全问题，需要构建移动安全平台，为移动业务的发展保驾护航，使移动业务平稳安全运行。

　　客户面临的挑战

　　民生银行通过BYOD模式处理普通的非涉密移动办公事务，包括收发邮件、事务提醒、访问OA系统、待办审批、即时通信（含即时消息、语音通信、数据会议、视频会议等）、移动社区、移动微博以及通用的移动展业业务，确保随时随地使用自己的移动终端提升办公效率。

　　通过配机具备更高的安全性和定制化特性，用于访问BYOD终端无权限的移动应用以及用于销售时展示企业的良好形象。其目标是：（1）在安全许可范围内，提升移动办公自由度，例如除具备BYOD的办公能力外，还可以访问企业内的PC远程桌面或桌面云，以及访问较关键的企业应用。（2）通过配机标准化配置和统一指导，提升移动展业过程中的营销专业化程度，展示民生银行的高品质移动创新者形象。

　　2种模式均可以通过3G/4G/WiFi做为传输通道进行访问内网，因此如何安全的访问内网将面临如下挑战：

　　不可信终端接入：在传统终端的内外网接入场景下，一般都需要通过安全准入检查，才可接入企业内网。而未实施有效的认证和安全检查的移动终端，如不加控制，则可以绕过限制，直接进入企业内网，使未经授权或染毒的终端接入到企业内网，造成非法用户的访问、攻击或木马、病毒的入侵，从而为内网带来安全威胁。

　　不可信网络传输：在外网移动过程中，尤其是公共场所进行移动办公时，公共WIFI热点可能存在AP伪造、欺骗、嗅探监听的风险，黑客通过引诱或监视用户上网，进行账号的窃取或者企业机密数据的监听。

　　非法的新攻击源：新的移动接入方式可能遭受新的攻击威胁，包括来自移动互联网的攻击和在企业WLAN发起的攻击，由于新系统的脆弱性，业务可能遭受严重的干扰。

　　主动或被动信息泄密：当业务开放给移动终端接入时，业务系统中的敏感数据下载到移动终端本地。而移动终端的位置不确定性以及高遗失率和易交换等特点，使得信息扩散尤为便利，从而导致泄密的概率大大增加。

　　不严密的应用管控：在企业业务移动化的冲击下，信息安全制度落后于移动业务的建设速度，应用未经合理合规的安全评估，即开放给了用户，可能造成移动用户具有越权访问高机密数据的权限。不合理的访问权限和未实施的审计措施，最终导致泄密事件的发生。

　　解决方案

　　员工们期望他们的装备能够随时随地访问公司的数据资源。开放这些访问权限显然有利于提高雇员的工作效率，与企业利益一致；但同时也会带来安全隐患，如何扩展这个安全体系的防护功能来确保安全性和合法性，这是民生银行IT安全专家们面临的难题。华为BYOD解决方案给出了从终端到网络，再到应用、数据中心的端到端信息安全防护的解决方案。通过部署华为自研的AnyOffice安全客户端平台，实现智能终端设备上数据的加密保存；独有的沙箱技术确保公私数据在智能终端上的安全隔离。通过集成高开放度的华为安全SDK开发包，支撑客户高效的应用开发，并通过应用专属的VPN技术实现在网络上的高安全传输；在企业的应用数据中心，华为自研的移动安全接入管控平台提供全生命周期的终端安全管控，应用管理。

　　今天，新的MDM工具集可以根据公司需要来精准管控这些花样翻新的移动设备，控制设备在企业内的功能范围，巩固安全性。据Nemertes Research统计，当前有超过一半的公司（56%）在使用MDM系统，84%的公司希望在2014年年底之前完成MDM部署。而民生银行通过使用华为MDM实现了更具有银行特色，更为先进严格的安全控制。华为MDM具有支持国密；支持与CFCA对接；在移动终端的WiFi接入采用证书认证方式，可以有效的防止WiFi口令方式的破解攻击；并可以通过网关访问地图服务器网站，使内网的管理员可以查看GPS定位地图信息等针对银行业的特性。除此之外，移动金融发展迅速，移动业务变化很快，华为公司具备快速定制开发能力。当前华为已经为民生快速定制开发了民生新闻应用、限制特定WIFI连接、预置地址、定制客户端Logo和标题、基于位置的安全管控等功能，能够满足民生的移动业务的快速变化需求。华为具备全球交付的技术服务能力，能够为民生员工和客户在世界各地使用民生移动业务时提供及时的技术支持服务，从而为民生的全球化发展提供有力的技术支撑。这使银行客户通过使用华为先进的，而且是可定制，并且是有保证的产品，安心的完成移动化部署。

　　客户价值

　　专业创造价值、创新成就未来。今天，没有银行可以脱离开信息应用技术了，“信息技术与业务相融合”已经成为银行重要的发展思路之一。那么在移动互联网时代，银行服务渠道向移动化迁移势在必行。民生移行通过使用华为产品建立了自己的安全平台，在终端，网络，业务3维建立了立体的安全防护，杜绝了仿冒申请和个人信息泄露。最终使得移动业务可以放心开展，移动开卡从申请到完成审批在15分钟内完成，有效申请率达到90%,无纸化办公，使办公流程简化大大节省了人力成本，移动办公作为网点的补充，无形中增加了营业网点数量，打破业务办理空间限制，延长了金融服务时间。从而完成了：