互联网金融圈地运动进行中，随着高科技应用的日益平民化，移动支付成为新的金融界战场。在信用不足、假冒盛行的地区，升级借记卡和信用卡的安全科技，似乎更受到传统金融服务机构的青睐。

尽管“道高一尺，魔高一丈”，借助领先的信息安全科技，例如使用电子芯片技术，让防范的成本远低于伪造和冒用的成本，进而可以帮忙防范支付卡领域的犯罪活动。可是千万不要简单地认为金融诈骗理就是诈骗团伙偷偷复制磁条银行卡，只要在新卡中弄个防复制芯片就可有效解决。

即使加入了多重身份验证措施，金融犯罪活动仍然导出不穷。问题在哪儿？昆明亭长朗然科技有限公司的金融行业信息安全观察员James Dong表示：我们需要跳出圈子之外来看，不管互联网金融还是移动支付，核心竞争力在效率和便利性。说的直白一点，要相对的安全，就直接弄个存折，卡都别要。

互联网支付和在线金融很在意的就是便利和安全的平衡，消费者方便了，诈骗分子也方便了。因为他们可以通过各种渠道各种方式获取帐户访问权限和采取相关的交易操作。如何在方便消费者的同时，有效防范诈骗分子呢？还是得靠信用体系的建立，李嘉诚一句话可值千金，不用写个条人们都信得过；内地某市某官发公文、盖公章、弄抵押，效果就像放个屁。官员尚且如此，躲在暗处的犯罪分子又如何能用技术手段防得了呢？

您开了张电子芯片信用卡，设置了保护密码，犯罪分子不复制了行么？转而用木马感染终端计算设备如何？冒充公检法诈骗您转账如何？偷拍录制下您的信用卡号码和验证码再到互联网上销售怎么办？说到底，技术手段加强之外，还是得加强终端消费者的安全防范意识。

确保安全万无一失是人们的美好愿望，甚至被人们当做口号和政治任务。可是从科学角度讲，安全事故无法百分百避免，安全事故后的应急响应便成为一项关键安全控管流程。

旨在降低可能损失的应急响应流程在最后的输出往往是事件的根本原因分析和防范未然之道。不可否认，信息安全事故的原因往往都是人为的，即使是信息系统或者外界环境方面的因素，往往也会有适当的防范和补救方案。说到底，不管什么因素，都需要流程方面的防范措施，通过有效的流程控管和优化，可以在很大程度上减少安全事故的发生，并且降低可能造成的损失。

如何知晓在信息安全管理流程上缺乏什么呢？如何知道将如何改善安全作业流程呢？这不是看表面拍脑袋想当然的事情，需要科学的调研、分析和总结。内部人员能隐约觉察出问题的原因，但是可能并非所称的根源root cause。即使有明眼人能看出来，可能也局限于自身的地位或办公室政治因素而避开不谈。所以，再讲到改善流程，则希望渺茫，无疑让人们为安全事故所付出的代价付之东流。

当局者迷，旁观者清。安全负责人无疑需要请来外部第三方的审核队伍，帮忙找寻安全管理流程中的不足之处，并加以咨询和探讨。安全事故五花八门，起因似乎也是如此。但是在专业的安全审核人员看来，微小的失误和明显的过失还是有很大区别的。

流程评审的关键已经不再是看看文档，不少公司的文档只是文档，缺乏真实性。现场巡查、人员走访和随机抽检才是发现安全问题和隐患的关键。昆明亭长朗然科技有限公司信息安全咨询顾问James Dong说：一名懂信息安全的负责任的审核员足够，沟通交流出期望的输出，比如找出安全管理流程中的哪些不足甚至错误之处，与行业最佳实践的差距，以及改进建议。

通常第三方中立的信息安全审核人员并不会受制于内部环境的束缚，所以能够较为客观和中立地给出审核报告。当然在提及改进方案之时，往往也会提供专业的建议，比如推荐一些产品和服务。这都无可厚非，而且确实在很大程度上能够为供需双方牵线搭桥。

总之，一起安全事故的起因看似聚集在一个点，其实并非孤立的，要进行全面的安全管理流程审核分析，才是防范同类安全事故再次发生的正确措施。当然，要让信息安全委员会成员们以及相关的决策者们认识到这一点，还需要足够的安全观念碰撞和沟通交流。无疑，在安全认知的校正和安全观念的启蒙方面，针对管理层的信息安全意识宣导课程可以帮上忙。