信息化觀察網(wǎng)

近些年來，隨著移動(dòng)互聯(lián)網(wǎng)的普及和線上數(shù)據(jù)的飛速積累，數(shù)據(jù)安全和隱私保護(hù)逐漸成為全民關(guān)心的重要話題。“大數(shù)據(jù)時(shí)代無隱私”，數(shù)據(jù)安全隱患愈漸突出，也成為業(yè)內(nèi)人士深知的事實(shí)。特別是在信用卡消費(fèi)等金融領(lǐng)域，消費(fèi)者在享受刷卡便捷的同時(shí)，因數(shù)據(jù)泄露導(dǎo)致信用卡被盜刷的事件屢有發(fā)生。

對(duì)金融類企業(yè)而言，重要信息的泄露不僅帶來用戶被騷擾的風(fēng)險(xiǎn)，更可能直接造成巨額經(jīng)濟(jì)損失。如何有效保護(hù)用戶隱私信息，保證自身和用戶的數(shù)據(jù)安全，成為所有企業(yè)必須解決的一道難題。解決這一難題，需要從技術(shù)、服務(wù)和管理三方面同時(shí)入手：技術(shù)上，要建立起科學(xué)有效的信息安全保障體系；服務(wù)上，要緊隨時(shí)代發(fā)展趨勢(shì)，將移動(dòng)端服務(wù)逐步精細(xì)化；管理上，更要以高標(biāo)準(zhǔn)提供信息安全服務(wù)。如此多管齊下，才能有效保證數(shù)據(jù)安全，在信息安全方面建立起具有競(jìng)爭(zhēng)力的企業(yè)品牌。光大銀行信用卡就是個(gè)很好的代表案例。

不一樣的技術(shù)：建立科學(xué)有效的信息安全保障體系

何謂“科學(xué)有效的信息安全保障體系”？簡(jiǎn)言之，就是以技術(shù)手段，通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，降低安全風(fēng)險(xiǎn)到可接受的程度，確保信息系統(tǒng)的保密性、完整性和可用性。

在信息安全保障體系的建立上，光大銀行信用卡進(jìn)行了長(zhǎng)期探索。特別不一樣的是，光大銀行信用卡不只著眼于技術(shù)本身，還將相關(guān)技術(shù)進(jìn)行了系統(tǒng)化、場(chǎng)景化的應(yīng)用：通過全站HTTPS、密碼控件與卡片限額設(shè)置等技術(shù)，構(gòu)筑起信息安全保護(hù)的系統(tǒng)“防火墻”。

全站HTTPS是一種堪稱全方位的安全保護(hù)措施，讓客戶全程都在HTTPS協(xié)議的保護(hù)下訪問網(wǎng)站，避免信息泄漏、防止信息篡改、確保站點(diǎn)安全、屏蔽騷擾攻擊、加密數(shù)據(jù)傳輸，有效防止各類網(wǎng)站的釣魚木馬及黑客竊密。

目前，各類App幾乎都需要用戶提供各種數(shù)據(jù)才能使用，這在客觀上顯著增加了用戶隱私信息泄露的風(fēng)險(xiǎn)。一臺(tái)手機(jī)、pad或其他設(shè)備如果存在漏洞，就有可能被不法者利用，把用戶的視頻、音頻等私密信息泄露出去，而全站HTTPS可有效解決這一問題。光大銀行信用卡地帶（xyk.cebbank.com）所采用的正是全站HTTPS的技術(shù)，它降低了網(wǎng)站訪問者信息被泄露的風(fēng)險(xiǎn)，提升了用戶對(duì)網(wǎng)站的信任度，有力保護(hù)用戶隱私。

為解決業(yè)界普遍存在的IE瀏覽器網(wǎng)銀密碼被盜難題，光大銀行信用卡針對(duì)IE瀏覽器卡片激活密碼，設(shè)置了專門的支持密碼控件，保護(hù)用戶交易密碼安全。

過去用戶在不慎遺失卡片或者出現(xiàn)盜刷時(shí)，需要鎖定卡片來制止或減少資金損失，而鎖定卡片往往需要撥打客服電話，操作過程較長(zhǎng)。時(shí)間越久，資金損失的風(fēng)險(xiǎn)越高。為此，光大信用卡通過自助渠道，快速實(shí)現(xiàn)卡片交易止付，保證用戶資金安全。

隨著自身業(yè)務(wù)的不斷發(fā)展，光大銀行的客戶基數(shù)、系統(tǒng)應(yīng)用更新速度、各板塊各流程間的協(xié)調(diào)性要求顯著增強(qiáng)，對(duì)數(shù)據(jù)安全的要求也越來越高。為加強(qiáng)互聯(lián)網(wǎng)環(huán)境下的安全管理，光大銀行的互聯(lián)網(wǎng)系統(tǒng)開展了上線前的安全測(cè)試以及上線后的滲透測(cè)試工作。通過模仿黑客攻擊的技術(shù)手段，對(duì)應(yīng)用系統(tǒng)的源代碼安全、配置安全進(jìn)行綜合性檢測(cè)，發(fā)現(xiàn)系統(tǒng)可能存在的安全隱患并提供解決建議，有效增強(qiáng)系統(tǒng)安全度。目前，光大的信用卡地帶、陽光惠生活A(yù)PP等互聯(lián)網(wǎng)系統(tǒng)均已納入執(zhí)行。

不一樣的移動(dòng)服務(wù)：移動(dòng)APP的深度場(chǎng)景化服務(wù)

在體驗(yàn)至上的當(dāng)代，任何技術(shù)落實(shí)到應(yīng)用層面，都要基于對(duì)消費(fèi)場(chǎng)景的深刻理解。在現(xiàn)代金融服務(wù)如信用卡消費(fèi)中，場(chǎng)景化的深度服務(wù)能力甚至先于技術(shù)，技術(shù)只是服務(wù)的一部分。特別不一樣的是，除了重視技術(shù)本身的場(chǎng)景化應(yīng)用外，光大還對(duì)場(chǎng)景化的深度服務(wù)本身做了研究，在移動(dòng)互聯(lián)網(wǎng)時(shí)代以“陽光惠生活”APP為核心，建立起移動(dòng)端的深度場(chǎng)景化服務(wù)體系。

譬如，為降低信用卡被盜刷的潛在風(fēng)險(xiǎn)，光大信用卡將額度設(shè)置做得更加精細(xì)化：“陽光惠生活”APP和信用卡地帶網(wǎng)站提供全面的限額服務(wù)，用戶可以根據(jù)自身需求，設(shè)置單筆、每日累計(jì)賬單周期內(nèi)消費(fèi)的網(wǎng)上支付限額，以及每日累計(jì)、賬單周期內(nèi)消費(fèi)的筆數(shù)、賬單周期內(nèi)ATM取現(xiàn)總額等多種設(shè)置項(xiàng)。通過精細(xì)化的技術(shù)支撐，滿足了用戶在各種消費(fèi)場(chǎng)景下的需求，最大程度減少信息泄露帶來的損失。

在用戶使用手機(jī)銀行客戶端的過程中，需要鍵盤輸入的往往都是關(guān)鍵、敏感的信息，如登錄密碼、支付密碼、賬戶和資金信息等，容易被木馬病毒盜取。針對(duì)偽基站群發(fā)“釣魚”短信、木馬軟件復(fù)制手機(jī)信息、消費(fèi)時(shí)卡片信息泄露導(dǎo)致被盜刷等行為，“陽光惠生活”APP采取了一系列技術(shù)防護(hù)手段：在客戶輸入密碼時(shí)采用自定義隨機(jī)鍵盤，防止木馬監(jiān)聽，讓木馬病毒無計(jì)可施；在客戶登錄APP支付時(shí)，以交易密碼及V+預(yù)留手機(jī)號(hào)動(dòng)態(tài)密碼的雙因素驗(yàn)證，為用戶的用卡安全保駕護(hù)航。

值得重視的是，Android移動(dòng)客戶端由于其開源性，導(dǎo)致其在所有架構(gòu)層次上都存在一些根本性的安全問題，存在被破解、篡改、盜版、釣魚欺詐、內(nèi)存調(diào)試、數(shù)據(jù)竊取等各類安全風(fēng)險(xiǎn)。為此，“陽光惠生活”APP對(duì)Android版采取了安全加固措施：基于源代碼加密和防篡改技術(shù)，保證用戶使用的手機(jī)客戶端始終為官方純凈版本，防止客戶端反編譯、被惡意篡改、鍵盤劫持、數(shù)據(jù)文件泄露、代碼安全及重要協(xié)議保護(hù)等，杜絕來自篡改版、二次打包版、釣魚應(yīng)用的威脅。同時(shí)，還將客戶的卡號(hào)、有效期、證件號(hào)、姓名等信息進(jìn)行脫敏處理，進(jìn)一步防范風(fēng)險(xiǎn)。

傳統(tǒng)的交易通知僅限于短信，需要有運(yùn)營(yíng)商信號(hào)才能接收，而不少用戶早已習(xí)慣看微信、推送，很少看短信。對(duì)此，“陽光惠生活”APP會(huì)及時(shí)推送各類通知，方便在出國、飛機(jī)、高鐵等場(chǎng)景下，客戶能夠隨時(shí)知悉卡片的資金交易情況。

“陽光惠生活”APP支持“單點(diǎn)登錄”，禁止同一個(gè)賬號(hào)在兩臺(tái)設(shè)備中登錄，新設(shè)備登錄時(shí)會(huì)提醒上一臺(tái)設(shè)備，同時(shí)可以查詢歷史登錄信息，讓客戶隨時(shí)了解資金使用情況，進(jìn)一步保證資金安全。

這些基于技術(shù)手段、豐富消費(fèi)場(chǎng)景的舉措，讓光大贏得了社會(huì)的認(rèn)可與消費(fèi)者的信賴。在新華網(wǎng)主辦的2016年“3·15”金融消費(fèi)者權(quán)益保護(hù)高峰論壇榮獲“消費(fèi)者權(quán)益保護(hù)優(yōu)秀獎(jiǎng)”。

不一樣的管理：以國際標(biāo)準(zhǔn)提升信息安全服務(wù)

由于信息安全的相關(guān)法律和市場(chǎng)環(huán)境尚待完善，當(dāng)前我國市場(chǎng)上的信息泄露現(xiàn)象，很多時(shí)候不僅是技術(shù)缺失的原因，也與企業(yè)內(nèi)部的管理疏漏，乃至管理混亂、縱容販賣信息有關(guān)。

光大銀行信用卡對(duì)此早有清醒認(rèn)識(shí)，并不斷提升管理的標(biāo)準(zhǔn)化、規(guī)范化水平，提供更好的信息安全服務(wù)。特別不一樣的是，光大銀行信用卡以國際標(biāo)準(zhǔn)嚴(yán)格自律，率先在國內(nèi)同行中引入ISO管理思想，2006年9月，中國光大銀行信用卡中心正式通過ISO9001質(zhì)量管理體系國際認(rèn)證，并連續(xù)11年通過審核，以質(zhì)量管理體系為基準(zhǔn)，持續(xù)提升我中心服務(wù)質(zhì)量。2007年，信用卡中心正式通過ISO27001信息安全管理體系國際認(rèn)證，成為國內(nèi)第一家通過此項(xiàng)認(rèn)證的信用卡中心，并連續(xù)10年通過認(rèn)證。

據(jù)悉，ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，是目前被全球各國普遍認(rèn)同的權(quán)威標(biāo)準(zhǔn)。光大銀行遵循ISO27001綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，通過確定信息安全管理體系范圍，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和控制措施等一系列手段，使信用卡達(dá)到動(dòng)態(tài)、系統(tǒng)、以預(yù)防為主的信息安全管理方式，對(duì)消費(fèi)者的信息安全進(jìn)行了系統(tǒng)管理。

內(nèi)部流程管控方面，光大銀行信用卡從國家、行業(yè)和自身的多個(gè)維度出發(fā)，搭建起符合“基礎(chǔ)法律規(guī)范、行業(yè)通用標(biāo)準(zhǔn)、企業(yè)最佳實(shí)踐”的管理架構(gòu)，建立起個(gè)人信息的分類保護(hù)機(jī)制、完善泄露危機(jī)應(yīng)急預(yù)案?？梢哉f，光大銀行信用卡在一定程度上提高了征信機(jī)構(gòu)和數(shù)據(jù)信息行業(yè)的準(zhǔn)入門檻。

在打造自身防火墻的同時(shí)，光大銀行也致力于幫助消費(fèi)者提升安全防范意識(shí)，營(yíng)造更加健康良好的市場(chǎng)生態(tài)。2016年，光大銀行制作的三部信用卡安全用卡宣傳動(dòng)畫片被北京銀監(jiān)局推薦在全轄范圍內(nèi)宣傳播放，吸引了業(yè)內(nèi)眾多同行學(xué)習(xí)借鑒。2017年6月，北京銀監(jiān)局和秉正促進(jìn)中心聯(lián)合主辦“金融知識(shí)進(jìn)萬家”授課案例大賽，光大銀行“認(rèn)清電信詐騙”視頻短片獲得二等獎(jiǎng)和個(gè)人風(fēng)采獎(jiǎng)，通過各種案例，普及金融知識(shí)，為消費(fèi)者的用卡安全保駕護(hù)航。

也正因?yàn)槿绱?，?015年到2017年，光大銀行信用卡中心的消費(fèi)者權(quán)益保護(hù)工作，連續(xù)3年被北京銀監(jiān)局評(píng)級(jí)為一級(jí)。

從世界范圍看，加強(qiáng)信息保護(hù)、提升數(shù)據(jù)安全已是大勢(shì)所趨，有效的數(shù)據(jù)保護(hù)，一定程度上已成企業(yè)品牌的生命線。對(duì)此，光大銀行信用卡部相關(guān)負(fù)責(zé)人表示：將繼續(xù)深入實(shí)施品牌戰(zhàn)略和標(biāo)準(zhǔn)化戰(zhàn)略，進(jìn)一步優(yōu)化和完善信息安全管理體系，立足行業(yè)、專注行業(yè)，將信息安全管理納入信用卡產(chǎn)品的研發(fā)、生產(chǎn)、經(jīng)營(yíng)、管理和服務(wù)等各個(gè)環(huán)節(jié)，全面提升核心競(jìng)爭(zhēng)力，以自我的超越和客戶的信賴，鑄就光大安全品牌。