2.3　信息安全與業(yè)務的關(guān)系：矛盾與共贏

金融行業(yè)的信息安全與業(yè)務的關(guān)系，在某些時候可能是最能融合的，因為金融業(yè)務必須重視風險，否則業(yè)務成果可能付之一炬；但某些時候又可能是矛盾最大的，因為信息安全對業(yè)務必定會有一定的影響和制衡。所以，簡單說，信息安全與業(yè)務是矛盾、是一致還是共贏？可能都不恰當，準確說，應該盡可能化解矛盾，取得最大公約數(shù)的一致，最終才能實現(xiàn)共贏。

1.信息安全與業(yè)務的矛盾性

信息安全與業(yè)務的矛盾，多數(shù)體現(xiàn)在業(yè)務流程的設計方面。業(yè)務部門是必須考慮客戶體驗的，因此處理步驟越便捷、驗證過程越簡單越好。但是從信息安全的角度，有些必要的風險控制措施又不能簡化。

例如，商業(yè)銀行的II、III類電子賬戶的開設就是一個很典型的例子。從客戶體驗和便利性角度，開戶信息及驗證步驟越少越好，但是從信息安全角度，需要客戶提供更多的個人信息，通過人臉識別、短信驗證等步驟，才可以在客戶不跟銀行人員面對面接觸的情況下，正確核驗客戶身份，確保客戶開戶意愿的真實性，既能保護客戶不被假冒開戶，也能夠防止客戶抵賴。

客戶轉(zhuǎn)賬或支付是第二個典型的例子。為了給客戶更便捷的體驗，有些金融企業(yè)采用一個認證因素（例如靜態(tài)密碼、指紋等）即可完成轉(zhuǎn)賬或支付類交易，但這會給某些攻擊者可乘之機，因為靜態(tài)密碼很容易通過撞庫等攻擊方式獲取，而客戶指紋信息也可以被復制。因此從信息安全的角度，必須采用兩種以上不同類別的認證因素，方可完成轉(zhuǎn)賬或支付這類對客戶賬戶余額有改變的“動賬”類交易，但這樣顯然會影響到客戶體驗。

2.信息安全與業(yè)務的一致性

金融行業(yè)的業(yè)務，可以說都是與風險相關(guān)的，高收益的背后往往是以承受的高風險為代價，所以開展業(yè)務的同時，必須盡可能采取措施使得風險最小化，這一點跟信息安全管理目標是一致的。

信息安全與業(yè)務的一致性，體現(xiàn)在事前預防、事中攔截、事后告警等方面。例如，通過業(yè)務風控系統(tǒng)的建設，可以實現(xiàn)以下目標：

·事前預防。在客戶身份驗證的同時，通過預先設立的黑名單，與客戶身份證、手機號等進行匹配，對于命中的直接拒絕開戶或交易；在信貸審批之前，運行風險模型，對于符合高風險特征的不予審批通過。

·事中攔截。通過預先建立的風控規(guī)則，與客戶開戶或交易行為進行比對，對于符合風險模型的（如同一個IP地址短時間內(nèi)集中開戶或交易，同一個手機號同時開立多個賬戶等）進行交易攔截。

·事后告警。通過設立告警規(guī)則，提供告警信息，出具風險報表，提供給業(yè)務部門進行處理；在信貸放款后對客戶信息持續(xù)跟蹤，對于可能出現(xiàn)還款風險的客戶提前采取措施。

3.信息安全與業(yè)務的共贏

要實現(xiàn)信息安全與業(yè)務的共贏，首要的就是雙方先改變心態(tài)，停止爭執(zhí)，朝著一個目標方向努力，爭取最大公約數(shù)，取得風險和效益的平衡。具體來說，常見的兼顧風險和效益的方式包括：

·風險分類。信息安全人員和業(yè)務人員要一起對風險進行分類分級，根據(jù)風險的大小及發(fā)生頻率，優(yōu)先化解高風險或者高頻交易風險；同時調(diào)研了解同業(yè)采用的方式，學習同業(yè)經(jīng)驗，尋找是否有更好的風險管控措施。

·“前輕后重”。所謂“前輕”，就是對于直接提供客戶體驗的前端來說，在滿足監(jiān)管要求的前提下，設計盡可能簡單的規(guī)則，例如客戶信息遵循“必須知道、最小原則”，身份驗證方式遵循“夠用就好原則”。但這個必須與強大的后臺相配套，也就是說，后臺的風控必須到位（即“后重”），要有黑名單或灰名單客戶，要有風險監(jiān)測模型，要有緊急情況下一鍵關(guān)停規(guī)避風險的功能，否則就會留下巨大的風險缺口。

·客戶風險等級分類。對于金融企業(yè)的客戶，要有分類分級管控的技術(shù)方案，通過運行一定規(guī)則對客戶進行分類，對于風險等級為“低”的“白名單”客戶，身份驗證措施可以非常簡單，保證客戶的良好體驗；對于風險等級為“中”的客戶，可以多增加一個身份驗證措施；對于風險等級為“高”的客戶，可以直接要求面核面簽；對于有過不良記錄的“黑名單”客戶，可以直接拒絕服務。

·額度管控。從交易金額的角度控制，針對不同的金額設置不同的安全管控措施。例如，對于小額的交易，可以采用免密免簽或者簡單驗證因素的方式；對于大額的交易，必須使用數(shù)字證書或者動態(tài)令牌、U盾等方式驗證身份；對于其他交易，可以采用靜態(tài)密碼+短信動態(tài)驗證碼/指紋/人臉識別等雙因素驗證身份。