梆梆资讯

梆梆资讯

5G赋能金融行业中的安全探索

2020-09-18

5G为银行业带来的价值

5G 属于通信技术范畴,除了通信产业本身,5G 并不能单独发挥作用,而是需要与其它基建层技术和通用技术(如边缘计算、视觉技术、传感技术、AR/VR 等)结合,作用于不同产业。

金融业经历了电子化、信息化、数字化发展阶段,目前逐步在向智能化迈进。5G对于金融领域的影响主要体现在两个方面:一是前台服务持续优化。大数据、人工智能、VR/AR、多媒体等技术在银行网点前台得以灵活运用,通过场景化、智能化,为客户带来了沉浸式服务体验与情感化交互体验,打通线上线下一体化服务渠道。二是中后台集中化、智能化趋势明显。通过5G融合技术,实现量化风控,增强风险的识别、预警与防治能力;利用新技术提高决策效率、优化服务支撑,提升管理效率的同时实现成本降低。

另外,基于5G 网络的技术特性,以及网络切片、能力开放等创新功能,金融业能够打造定制化的“行业专网”服务,更好地满足金融服务的安全性和灵活性需求;5G+IoT能够打破时空界限,更好的满足小微企业、三农、广泛个人客户的金融服务诉求,在输出经营服务能力的同时,助力小微客户提升经营管理能力。


“5G+银行”典型场景

智慧网点

智慧网点在原有传统银行网点功能的基础上,通过5G与音视频、VR/AR、人工智能、生物识别、边缘计算、微表情识别等技术的融合运用,打造了从网点外到网点内的一整套客户服务。通过协同、共享建立了智慧高效与娱乐互动兼备的客户服务场所;通过远程数据服务平台,能够开展业务办理远程指导及远程审核等业务,实现网点无人化、客户自助化。通过物联网智能终端与管理后台,实现智慧网点的设备管理、运营管理、安防监控、行为分析等的统一管控。目前,中国银行、建设银行、工商银行、农业银行、浦发银行等均陆续推出了各具特色的智慧网点。

国内5G网点推出时间及其特色功能(来源:《5G时代银行创新白皮书》)


开放银行
“开放银行是一种协作的商业模式,通过 API在两个或以上非附属关联公司直接分享银行数据,以增强市场的功能。”
——麦肯锡

开放银行的出发点实际上就是场景金融,通过金融业务加业务场景实现高效的开放银行服务,以SDK/API/H5等形式将自身的金融业务落地到具体的场景中去,深化银行与第三方机构业务连接和合作,将金融服务能力与客户的生活、生产场景深度融合,从而优化资源配置、提升服务效率,实现双方或多方合作、共赢。从目前银行业的技术实现来看,常见的开放银行业务有以下三种方式:(1)SDK:商业银行的合作伙伴通过SDK调用标准API,快速接入银行产品和服务;商业银行提供开发包,场景平台根据需要开发标准化接口,提供部分定制化能力。(2)API:提供一组可以直接获取银行产品和服务的数据接口,合作伙伴可通过该接口把银行产品和服务嵌入自身产品中;商业银行提供产品和服务接口,由场景平台根据需求定制,定制化程度最高。(3)H5:提供连接到银行产品和服务的访问链接;商业银行提供标准化产品,不提供定制化能力。
“5G+银行”的安全挑战

5G网络具有增强移动宽带(Enhanced Mobile Broadband,eMBB)、高可靠低时延通信(Ultra-reliable and Low Latency Communications,uRLLC)以及海量机器类通信(Massive Machine Type Communication,mMTC)的特性,与4G网络相比,更大规模的物联网应用,庞大的设备数量和复杂的接入网络,也使得基于5G网络的金融应用场景面临更大的安全挑战。
5G终端多样化带来的安全问题
智慧网点中除了使用传统的智能手机外,亦引入了大量的新型终端,不同防护水平的海量设备接入、金融新应用的智能设备等都存在不同程度的安全隐患。智慧网点需要使用AR/VR、VTM、智能摄像头、门禁、智慧屏、智能机器人等多种类型的终端联网设备,一旦这些终端被入侵利用,形成规模化的设备僵尸网络,将成为新型高容量DDoS攻击源,进而对用户应用、后台系统等发起攻击;智能终端自身不可避免地存在恶意程序,固件漏洞,窃听、篡改用户信息等威胁;此外,智能终端具有类型异构、海量数据类型异构、应用场景多元化等特征,但缺乏统一的安全标识和认证管理机制,这也增加了网络安全管理的难度。

边缘计算带来的安全问题
5G 网络通过边缘计算(MEC)就近处理海量数据,边缘计算节点可以定制开发更多的金融业务,但也给接入管理提出了更高的要求。边缘节点可能因为存在漏洞被攻击者所控制,对5G边缘计算过程中的信息安全造成威胁,从而形成窃听,或者假冒终端或MEC节点向核心网发起DDoS攻击。

边缘节点通过近场无线通信技术与海量、异构、资源受限的智能终端建立连接,终端与边缘节点间存在着众多不安全的通信协议(如:ZigBee、蓝牙等),缺少加密认证等措施,易于被窃听和篡改; 另外,在边缘计算环境下,需要解决动态、异构的大规模设备用户身份管理与接入访问控制,节点间切换的快速认证等问题。

云端开放接口带来的安全问题
基于5G网络的开放特性以及金融行业的特殊性,各大银行均提供了丰富的 API 开放接口满足金融各类场景的对接需求。开放银行模式下,接口开放也扩大了黑客的攻击范围、增加了系统漏洞,加大了数据泄漏的风险,第三方平台或应用可以访问来自银行的数据,一旦发生黑客攻击造成数据泄露,将可能导致客户信息暴露,甚至可能导致该途径的所有账户信息外泄。此外,非授权的第三方通过破解篡改SDK或非法集成SDK,调用行方提供的业务接口,极可能导致非法获取客户敏感信息、接口逻辑暴露带来的爬虫、撞库等行为。

5G+银行安全对策分析

解决终端可信问题
(1)对终端设备的固件进行安全检测
物联网市场的迅速发展,导致智能终端数量剧增,同时也带来了较大的安全隐患,例如使用简单密码、通信过程未加密、使用硬编码密码等。大多数的物联网设备开发者基于已有模块或开源代码进行二次开发/碎片代码适配,加上设计开发人员安全意识薄弱,导致出厂的固件存在各种各样的潜在安全隐患。

因此,有必要采用安全检测手段,从固件代码安全、配置风险、漏洞等多个维度识别和分析物联网设备固件可能存在的风险漏洞,提前发现安全问题,提升物联网设备的安全强度,避免固件漏洞被恶意利用导致信息泄露、设备功能故障等,同时降低厂商的更新、回收和升级成本。

(2)建立硬件信任
通过TEE或SE内置信任根(RoT)服务集,验证关键系统组件是采用经授权和可验证的代码安全启动的,从而确保硬件基础架构和其上运行的软件保持预期的可信任状态。确保终端设备采用正确的固件启动,而不会被低级的恶意软件感染;同时,能够提供加密且唯一的可信标识,验证终端设备的合法性,并提供设备的接入可信与安全FOTA服务。

(3)确保代码安全
对终端程序进行代码混淆、防逆向、防篡改、防调试、防破解等安全操作,为物联网应用构建基于源码层、编译中间层、编译执行层的立体防御体系,充分保护终端程序安全,防止各类针对物联网终端设备的破解和攻击。

解决接入访问可信问题
软件定义边界(Software Defined Perimeter,SDP)是零信任安全理念的落地技术架构,最早由云安全联盟(CSA)于2013年提出,其中心思想是通过软件的方式,在移动+云时代,构建起一个虚拟的边界,利用基于身份的访问控制,来应对边界模糊化带来的权限控制粒度粗、有效性差的问题,以此达到保护组织数据安全的目的。SDP“最小化攻击面”、“分离访问控制和数据信道”、“先鉴权后连接”等特性,能够有效解决身份验证、访问控制等问题。
解决开放接口安全问题
(1)通过密码学技术与API网关实现接口的安全防护

使用令牌技术建立API接口的可信身份,实现对服务和数据资源等进行访问控制。

使用加密和数字签名技术,保证数据传输与使用安全。

API漏洞识别。使用检测嗅探器对API进行安全检测,实时追踪API是否被非法攻击以及漏洞被利用情况。

使用API安全网关控制和管理API接口的使用情况,对用户进行身份认证。

通过对API接口的访问频率进行限制,避免API出现被攻击或拒绝服务的情况。

(2)保障数据隐私安全

安全多方计算具有输入隐私性、计算正确性以及去中心化特征,能够在保护数据隐私的基础上使用数据,在开放银行需要开放数据进行联合分析、数据查询、可信交换等场景下,安全多方计算提供了一种新的计算模式,一方面可以充分实现数据持有节点间互联合作,另一方面又可以保证信息的安全性。

引入新的体系架构——区块链物联网(Blockchain of Things,BoT)
降低成本:“去中心化”降低中心化架构的高额运维成本;

隐私保护:区块链中所有数据都经过加密处理,客户数据和隐私更加安全;

设备安全:身份权限管理和多方共识机制有助于识别非法节点,阻止恶意节点的接入和作恶;

追本溯源:链式结构和不可篡改特性,有助于构建可证可溯的电子证据存证;

网间协作:分布式架构和主体对等特性,有助于打破信息孤岛,促进信息的横向流动和网间协作。


5G网络将极大地拓展金融业的服务边界,为银行数字生态及客户服务体验带来无限可能。随着5G、物联网等多种新技术的应用条件逐步成熟,未来金融领域会出现更多新场景、 新业态、新模式。安全作为金融科技生产力要素的重要一环,众多5G+银行业务场景推进的关键之一就在于风险隔离手段以及安全保障是否到位。梆梆安全始终致力于程序安全与程序质量的研究,保障金融科技创新应用的安全是我们矢志不渝的追求,梆梆安全希望与众多金融机构一起不断提升新兴技术的安全能力,真正做到保护用户的智能生活。


 

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1