百度金融张凯:互联网金融安全防护体系的五个要素
2016/12/9 16:20:30

文/百度金融安全负责人 张凯

支付安全是金融安全的重中之重,是网络反欺诈的主战场之一,作为互联网基因与传统金融模式的融合者,互联网金融机构更了解网络环境和技术手段,维护支付安全是我们义不容辞的使命。百度金融高度重视金融安全,致力于成为一家真正意义的金融科技公司。我们积极响应政府号召,提出从账号、业务、风控、安全、合规五个方面建立防护体系,全方位扞卫用户的支付安全。

数据+ 技术为账号添加“防盗窗”

据中国互联网络信息中心发布的最新数据显示,截至2016 年6 月,我国网民规模达7.10 亿,庞大的网络用户群体,成为互联网黑灰产业违法犯罪的目标。各种社交网络、邮箱等账户的背后往往隐藏着用户身份、密码等重要信息,盗取账号信息成为黑灰产业最易接近的突破口。网络黑产在上游通过病毒、木马、钓鱼等手段来获取信息,有些获取来的信息并不能直接使用,于是进入“中游”清洗数据,用户的资产损失也就从此开始。清洗后的可用数据,就到了下游开始进行一次或多次贩卖,利用诈骗等手段来攫取利益。

百度通过数据和技术手段实现账号的保护。在数据方面,多源获取有效信息并应用于账号安全的防护。首先是用户的账号数据,包括用户的手机信息、设备指纹、地理信息、操作的时间信息等;另外是通过从业机构及行业上下游获取的各种黑产数据,包括黑产IP、黑产的手机号、以及已经外泄的社工库;第三个是用户的行为数据,比如用户经常习惯性的登录行为、操作行为、状态行为等,所有的数据在一起形成了账号系统风控模型的基础。

在技术方面,则充分借助百度的技术优势为账户护航,在常规账号风控模型识别恶意攻击的基础上,还增加了人脸识别、手写识别等百度独具优势的人工智能技术,可以做到交叉认证“你的账户是你的账户”。2016 年又被行业称作人工智能元年,在《麻省理工科技评论》评选的“全球最聪明的50 家公司”榜单上,百度排名第二。在手写识别领域,百度在2016 年度ICDAR 最具挑战的自然场景类文字识别任务上取得了4 项世界第一。在人脸识别技术两个最为权威的国际评测FDDB 与LFW 中,百度都斩获了第一名。在百度人工智能的加持下,百度金融将把多种生物特征识别技术运用到账户登录、验证上,这将极大程度地提高账号安全系数。

做用户的“守门人”、商户的“防火墙”

账号之上就是业务,每个支付业务背后都关联着金融需求。7 月1 日,央行颁布的《非银行网络支付管理办法》正式生效,“最严新规”要求对用户的支付宝、百度钱包等支付账户进行实名认证,此举可基于身份证认证同步关联用户个人在公安系统、银行系统的信息,建立强金融账户。此外,对账户行为和数据进行详细管理也必不可少,包括各种交易记录、用户行为数据、绑撤卡信息等等,做到随时备查。安全方面也有各种强化措施,包括支付密码、短信校验、敏感数据加密、采用专用的安全数据库存储等。百度金融通过实名认证、账户管理、安全措施三个维度,在支付业务中实现用户账户安全的建设,在看不见的地方成为用户的“守门人”。此外,在底层的技术和数据之上,用户也需要能感受到的“安全感”,百度钱包日前推出的“账户安全险”,就是在账户的防盗窗外又加了个实实在在的“安全网”。

用户账户频遭攻击的背后,是黑产联合商户进行B、C端联动诈骗的日益猖獗。要防止这种情况发生,也需要为商户打造安全“防火墙”:第一是严格把控商户的准入资质,进行基于各项基础信息和资质信息的准入审核;第二是对商户交易行为、资金帐户状态进行严格的管控,包括突发事件时对商户账户的冻结;第三是通过登录密码、支付密码、安全问题、安全邮箱等多重的安全措施保证商户账户本身的安全性。

技术是业务的基石,大数据风控是支付安全的基石。大数据风控最重要的是两点,一是足够“大”的数据,二是足够“强”的算法,两者缺一不可。一般来说,越完善的数据越能够提升我们风控系统准确率,降低我们的“误杀率”,提升用户体验。以百度金融的大数据风控举例:百度自身拥有日响应60 亿次的搜索数据、贴吧社交数据、糯米外卖的O2O 数据、百度地图的LBS 数据,以及百度钱包、理财等金融数据,这些数据构成了百度自己的多维数据生态,此外,还有银行、运营商、各安全厂商、数据公司等同业数据进来,进一步丰富百度风控数据的来源。

大数据分析和人工智能是百度的传统技术优势,在足够大的数据基础上,我们通过深度神经网络DNN、梯度迭代决策树GBDT、逻辑回归 LR、最小邻居法 kNN 等算法,构建百度的大数据风控模型,为包括支付在内的各个金融业务提供安全保护伞。此外,为应对电信欺诈,百度金融有针对性地建立了专业的反欺诈模型,在大数据风控的基础上增加了信用和催收的数据、商铺行为数据、注册绑卡的用户数据,以及公安、银行同业等外部数据,优化反欺诈算法,运用于百度钱包、糯米、外卖等产品中。

所有的技术支撑、数据扩容都离不开科技基因。百度人工智能、大数据等技术基因全面注入百度金融后,与实际金融业务产生了积极的化学反应。这些技术通过在具体金融业务的普及和应用,可以帮助突破行业瓶颈、升级传统金融服务。

体系、技术、合规,一样不能少

在支付业务体系之外,还需要一条独立于账号、业务、风控外的警戒线,这条“警戒线”不是简单的警报,而是用来判断这个业务系统是否存在隐患的“体检表”。一般来说,安全事件有单点突发的表象,但安全的防御一定是立体的、系统化的。在百度的金融安全实践中,我们形成了“四类安全体系”、“十大安全防护技术”。“四大安全体系”包括安全渗透体系、安全审计体系、安全管理体系、应急响应体系,分别覆盖黑盒渗透、白盒审计、内部安全管理、紧急事件止损修复四个维度。“十大安全防护技术”包括环境安全、机制安全、代码安全、外库安全、算法安全、通信安全、数据安全、认证安全、框架安全、系统安全。比如,我们都知道http 地址不安全、https 安全,但是为什么https 是安全的,怎么部署和校验才能让https 真正做到安全,这就是我们安全防护技术要考虑的问题。

合规管理是企业内部的一项核心风险管理活动,也是支付安全体系的重要防线之一。在组织架构上,百度金融精心部署了合规管理的三道防线。第一道防线是业务部门,负责落实安全技术;第二道防线是安全部门、风控部门、合规部门,进行内部自查,确保业务团队正确、完整的实现了安全防御;第三道防线是内审部门和特邀的外审机构,对前两道防线进行监督、事后的抽查审计。此外,百度金融还积极参加了各项安全认证,配合政策进行自查,参加行业协会共御行业风险,进行安全管理,提升安全系数。安全不是一个结果,而是一个不断发展和对抗的过程,静态的系统难以抵挡不断演进的黑产攻击手段。

支付安全和金融安全是一整套系统:从账号入口开始进行数据分析,并进行技术手段应对;在业务层面要完成用户和商户的支付安全防护;业务的背后是大数据风控和反欺诈模型进行专业应对;在业务之外是全面的安全管理体系和安全技术攻防;最后通过各项合规认证和自查,持续提升安全系数。百度金融致力于成为一家真正意义的金融科技公司,通过领先的人工智能技术建立支付安全架构,实践全链条立体防护体系,积极相应政策号召,合力构建电信网络欺诈风险管理体系,与各方携手合作,共筑支付安全防线。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消