Fintech與行動化應用時代下的防護新思維

 作者  F5臺灣暨香港區資深技術總監莊龍源

目前金融科技（Fintech）帶動的各項變革正不斷發生，像是第三方支付、P2P放款、區塊鏈、自動投資、虛擬貨幣及其他直接或間接與金融有關的，無一不在衝擊我們的日常金融行為。就如同《Bank3.0：銀行轉型未來式》一書的作者Brett King 所說的：「Banking is no longer a place you go to, but something you do」，甚至他更大膽提出：「未來最大的銀行，將是能透過手機做最多生意的銀行！」

在這一波衝擊之下，金融業者已經沒有辦法如同過去，自行開發所有相關的業務及服務，消費者需要的是高彈性、高便利性，以及簡單方便的服務，而這正也是許多第三方金融服務業者崛起的主要因素。

對於金融業者來說，會是全新且重大的改變，除了需要透過金融科技強化應用服務品質之外，更重要的就是核心系統的改造。這部分的改造不單只是基礎設備的重新優化，資料流型態、網路架構、管理規章、應用服務，甚至是所採用的技術標準，都必須全盤變動，也唯有如此，才能夠打造出全新且符合未來需求的金融產業。

金融科技興起，重新建立金融業資訊架構

過去金融服務的基礎架構設計，是根據系統為主體，每一套系統都會產生自己的一套基礎設備與架構，不但分屬在不同主機內，甚至連資料庫都是各自獨立的，也因此造成業務之間協同不順暢，就像是去銀行辦事情，明明在同一個地點，但是，存款與申辦信用卡卻偏偏要各抽一張號碼牌一樣。

基礎架構的調整與改變，並非只是為了滿足應用服務行動化之類的需求，而是打造出一套全新且具備良好延展性的基礎環境。

新一代的基礎架構則是應該透過虛擬化及開放標準建立完善的後端系統，同時導入雲端化並以應用服務為導向，提供模組化介接外部應用服務的端口，並建立出穩定且安全的Big Data資料庫，如此才能夠在瞬息萬變且要求時效性的競爭市場中，提供高可信度、高可用性及高彈性的IT基礎架構。

而在Bank 3.0中，應用服務的架構也有所變革。過去都是由金融業者自行開發，當每次要開發一套系統，不但要重新建立基礎環境，同時，還要計算各項需求以添增設備。而現在透過金融科技與其他資訊技術，金融業者要開發的各項新應用服務，已經可以與後端基礎設施脫勾，能夠更專注於使用者行為，並設計出最適合消費者使用的服務。

然而，這也讓金融相關的軟體應用開發，成為新的戰場。因為，任何第三方業者，都能打造出令消費者心動的金融應用服務——無論是第三方支付或是投資理財，都可以透過SDN介接到金融業者後端的資料平臺。所以，打破系統之間的藩籬，讓金融業者專心管理好後端的資料平臺，並開放其他應用服務業者介接，如此才能創造新的商業契機。

因此，未來的金融業者需要提供的是一套採用開放架構、同時提供多項API介接，並且具備高度安全性的平臺，原有的專屬系統已經不堪使用。甚至為了因應高度彈性的應用服務，後端伺服器區還必須轉換成雲端架構，透過虛擬化、IP化的方式建構一套完整的私有雲平臺，並與外部公有雲結合，讓服務與資料能夠順利的串接，構成完整的金融服務體系。

現在的消費者需求與技術演進，已經將服務中心從基礎設備，轉移到應用服務上，要求的是效率及品質，而不是由誰推出服務。資料來源：F5

用戶端安全性首重身分識別

不過，在這些數位發展的情況下，同時也為詐欺者提供了多重的數位犯罪管道。我們面對所謂的「數位矛盾」：新的數位連接、工具與平臺讓企業可以即時連接客戶、供應商和夥伴，因此能夠比以往更有效率的涵蓋更廣大市場。急速攀升的安全威脅例如網路間諜、犯罪軟體、網路詐欺、拒絕服務攻擊、以及POS入侵等，使得亞太企業籠罩在不安的陰影下，也使得更多人想要鑽漏洞獲取犯罪利益。但網路犯罪也同時演變成一股強大的阻力，局限了企業的發展潛能。

過去金融業者的區域畫分相當明確，所有交易，都必須在金融業者所管理的地點或人員面前，方能完成，但現在進入新的網路服務時代，一切流程都透過數位化方式進行時，該如何確保交易的安全性？

根據Telstra的行動身分識別研究報告中指出，有62%的金融服務主管認為，他們在身分識別與安全性的投資不夠充分。而對金融機構安全效能感到滿意的消費者不到一半，最主要的原因是：超過三分之一的受訪者都曾經遭遇身分識別竊盜事件。以近年來較知名的事件而言，如2014年JP Morgan的駭客入侵，以及南韓銀行大量信用卡資料竊盜事件，造成了160億美元的損失。

因此最大的問題所在是，我們怎麼管理並驗證消費者的身分。目前在各項網路服務中，我們常見到的驗證模式，像是透過Facebook或Google帳號登入，運用這兩家巨型網路服務業者的身分資料庫，確保用戶端不是虛假或詐騙份子。在金融體系中，也需要同樣類似的驗證方式，才能讓金融服務得以開放。

前面提到新的金融IT環境必須透過虛擬化、雲端化及金融科技等創新技術，重新建立基礎環境，但要如何確保用戶及系統安全性呢？第一步就是透過身分識別機制確認用戶端的真實性。

固然我們可以透過雙重驗證、生理特徵驗證或是其他技術確認使用者身分，但還是需要一定技術與管理才能確保整條通道上的安全性，這時導入同盟（Federation）技術，並透過此技術串連點到點的完整路徑，並整合加密、資料驗證、甚至是廣域網路加速等技術，才能有效確保交易的安全。

簡單的說，新型態的網路金融服務在建立與用戶端之間的通道時，首先就必須先建立點到點的加密通道。接下來則是驗證對方身分是否真實存在，而且還需要驗證對方所使用的設備是否安全；當以上步驟皆確認為真後，才能真正允許該用戶使用金融服務，也才能確保金融體系的安全性。

除了身分竊取之外，在網路上常見的資料竊取、資料偽造及詐欺等相關金融犯罪行為，在行動網路上會更為變本加厲，同時因為行動網路的特殊性，網路安全威脅也會有全新面貌出現。

為了確保金融業務推廣到行動網路及設備的安全性，我們則應更加注意從資料串接端口到行動裝置的通道安全性、行動裝置應用程式安全性、使用者身分識別正確性，以及異常行為偵測等。

無論我們透過金融科技處理何種業務，最重要的第一個步驟就是驗證用戶端是否為本人。而這個「本人」不但指的是自然人本人，也包含了該行動裝置。在電腦上，如果要透過網路銀行交易，我們都會使用IC卡搭配專屬密碼以驗證使用者是否為本人。但在行動裝置上我們就必須另外下載相關憑證，同時採用互動式驗證及生理識別技術等方式驗證身分。

一套好的用戶端防護系統最少要能做到連線時避免中間人攻擊（MitM attack）、DNS Spoofing與憑證偽造（certificate forging）等攻擊。甚至要進一步利用用戶端檢測與查核等機制，確保行動裝置本身的安全性，避免從系統底層發生的各項入侵或攻擊事件。

行動裝置的安全策略

行動裝置的安全性從BYOD在企業中開始盛行時，就已經不斷被人提及，如果要應用到金融科技年代則需要更強大的安全保護措施，同時需要結合手機設備商及第三方安全防護業者，透過全方位的資安整合方能打造完善的用戶端防護措施。

另外無論採用何種行動網路，從資料串接端口到行動裝置之間都應該採用安全的加密技術。現在由於手機運算能力及網路傳輸速率大幅提高，就算透過加密通道也不會影響整體傳輸；如果使用專屬的App連線的話，更可以編寫專屬的加密方式，才能進一步確保資料傳輸時的安全性。

透過雲端聯合登入平臺，我們可以建構單一登入的環境，減少建立身分驗證系統的負擔，同時讓系統得以精簡化，提高用戶體驗並增加執行效率。資料來源：F5

邊界改變，讓安全防護需提升至應用層

不過也因為架構上的改變，安全管控更顯的格外重要，一臺好的應用程式防火牆（Application Firewall）是不可或缺的一環。透過應用程式防火牆的管控機制，我們不但可以過濾各種應用層的有害封包，同時也能分析使用者行為是否異常，協助阻擋DoS/DDoS攻擊，並導入政策規則以避免各種不當使用。

另外可與應用程式防火牆整合的用戶端安全軟體，也能協助保障用戶端設備的安全性，除了檢核用戶端設備是否處於安全狀態之下，也能提供更安全有保障的連線通道，避免發生中間人系列的攻擊事件發生。

網路詐欺是未來金融科技需注意的環節，需要全方位安全整合

網路詐欺部分則是另一項值得令人擔憂的攻擊模式，它可以從技術層面或是行為層面竊取使用者的各項資料甚至金錢。目前已經有多種資安技術能夠辨識並杜絕可能發生的攻擊，這些攻擊包含惡意軟體、中間人攻擊、瀏覽器中間人攻擊、零時詐欺手法及釣魚攻擊等。除了能夠有效防範外部攻擊並偵測連線狀態異常之外，也可以避免用戶誤點惡意或釣魚網址，有效保障行動用戶的安全性。

金融產業由於其業務的特殊性，一直以來都是駭客覬覦的目標。過去金融產業可以透過封閉式架構與網路，阻絕外部的各項入侵，但是隨著越來越開放的網路環境與服務體系，金融產業採取開放式架構的風潮已不可擋，所以，在此狀況之下，如何既安全又不影響使用效能，就成為了金融產業資訊部門的重大目標。

要踏入金融科技的領域，第一步必須重新檢視現有的應用服務與軟體，無論是從核心的資料庫或伺服器，到銜接外部的網頁、應用伺服器或應用程式等。在資料流上每一個環節中，都不能容許任何的安全疏失，並且需要定期檢測並更新，以免造成安全防護上的漏洞。

舊有的安全防護系統自然還可以延續保護固有的系統架構，但是全新導入的部分則必須額外考量新體系所可能出現的危害。就以手機上常見的行動網路銀行為例，除了在規範中設定透過網路銀行僅能支援部分業務，如繳交個人信用卡款、轉帳至約定帳號並加上金額限制之外，還應該增加強制登出、用戶端設備檢測及雙重密碼驗證等方式，以確保用戶端不會因為手機或密碼遺失而遭人濫用。

從封閉型資訊架構轉而採用開放式資訊架構，金融產業所遭遇到的衝擊是前所未見的。除了內部使用的系統之外，其他應用服務都需要重新編寫並檢視其安全性，同時更重要的是需要定期檢視並測試，確保安全無虞，才能讓使用者安心，並成為金融科技的受益者。