浦发银行赵基:构建数字化安全管控体系,保障网络交易安全
2017/10/13 11:35:53

文\上海浦东发展银行上海分行信息科技部总经理赵基

根据《中国网民权益保护调查报告(2016)》,有84%的网民曾亲身感受到个人信息泄露的不良影响,网络信息安全挑战对民生的影响不断加深。6月1日《网络安全法》正式施行,进一步完善了个人信息保护规则,确立了关键信息基础设施重要数据跨境传输的规则,将维护网络空间安全上升到国家战略层面。对保障我国网络安全、维护国家稳定具有重大而深远的意义。

银行数字化交易风险和挑战

移动互联网的快速发展,延伸了银行金融服务,推动数字普惠金融发展,大大提升了银行服务效率。据统计,目前国内各家银行电子渠道的交易量占比总量的93%以上,其中移动端(手机银行、移动支付、微信银行等)交易量占60%以上。这也引发了网络欺诈等一系列金融安全问题,犯罪分子利用申请欺诈、数据窃取、木马植入、身份盗用、USBKey劫持、网站钓鱼等技术手段,获取客户交易关键要素,其中无卡交易已成为欺诈增速最快的重灾区。这也给银行如何正确识别客户身份、控制交易入口带来了挑战。

一是银行防范互联网交易风险的控制机制不完善。有的银行还没有建立完整的网上银行客户信息交易监测系统。有的银行网银交易流水缺少IP地址、MAC码等关键信息,难以第一时间再现每笔交易的全貌。

二是银行难以掌握网上交易的实际操作人和交易背景信息。网上银行业务主要通过密钥、数字证书和数字签名的认证完成交易身份确认。这种加密技术相较传统的用户名和密码校验,一方面提升了安全等级,为客户的资金安全提供了保障;另一方面,也为银行确认交易是否由开户人实际操作增加了难度。此外,在网银业务中,无法通过柜员询问并核实客户的交易用途、交易背景、资金来源、交易目的地等详细信息,有时无法追溯每笔交易的详细信息。

三是交易体验欠佳,动态身份确认存在难点。移动支付业务中,一味追求交易便捷性,没有充分评估安全隐患,没有实施动态替换和屏蔽交易关键信息。在密码体系与算法融合方面体验较差,难以实现在账号登录、管理授权、转账汇款、支付交易等多个关键环节的动态身份确认。

银行交易安全控制策略和实践

根据浦发银行“数字化”发展战略,未来面向客户提供的金融服务、服务交付渠道都将以数字化方式体现。总行制定了完整的信息安全管控策略,建立了一套集“用户身份认证和支付安全、个人信息安全、应用数据安全”为一体,具备大数据技术风险感知、实时交易智能侦测功能的风险防控体系,采用多项技术手段保障交易安全。

一是在网上银行交易安全方面,采用多因素动态认证机制,针对不同类型用户采用差异化策略鉴别登录用户身份。

(1)客户端采用全新安全签名控件,防止恶意程序通过浏览器接口或脚本注入读取、篡改网银客户输入控件内容。同时,加密用户密码,对汇款、支付等交易关键字段进行签名和验证,防止密码在传输中被窃取。

(2)采用新型USBKey,密钥对在芯片中生成,禁止以任何形式从USBKey中读取或写入私钥。同时,具备交易指令完整性校验、合法性鉴别和关键交易数据输入确认等功能。

(3)网银系统后端具备完整的安全审计机制,记录客户每次登录行为,包括客户IP地址、物理硬件设备(MAC地址、硬盘编号)等详细信息,用户可自主查询登录、授权和交易等日志信息,及时发现并锁定可疑操作。

(4)即时信息服务机制,通过手机、邮件随时随地及时了解账户资金变化,辅助监控交易安全。

二是构建银行交易实时风控系统。随着移动生态圈金融创新业务的不断涌现,新的支付手段、业务手段在带来便利体验的同时,也导致了风险的倍增。围绕银行产品的欺诈黑色产业链日趋庞大,欺诈领域涉及不同产品、不同渠道和不同设备,银行交易安全面临巨大挑战。

图:实时反欺诈系统技术架构

浦发银行总行建立了新一代企业级交易类反欺诈侦测系统,实现了银行内部全渠道、跨产品、多实体反欺诈信息的整合统一管理。采用数字化技术,推动识别并全貌勾勒客户行为特征。准确识别客户交易全生命周期中的各类行为,如申请、汇款、还款、信息变更、查询、销户等,为数字化银行建立了全渠道、全交易、全流程的屏障。

(1)流式大数据处理技术,有效解决了海量数据和复杂算法环境下的计算效率问题,满足了实时风控系统的响应要求。通过对欺诈交易特征的深入分析,依据交易类型的关联、交易环节的性质、交易元素的特征及客户端环境的变化,特别是本次交易与以往交易行为的差异,在交易过程中建立事中监控系统,预判当前交易风险,阻断高风险交易。

(2)通过人工智能技术,结合机器学习与深度学习,利用银行内部历史数据训练模型,找出风险特征的阈值和关联性,建立企业级规则和模型。针对客户统一视角,统一侦测跨渠道、跨产品交易。

(3)设备指纹技术,通过采集PC、移动设备(WAP、微信H5、移动应用)的网络环境,设备环境,浏览器环境,程序等多要素,综合决策置信度算法,生成设备的惟一标识ID,保障准确性。这也是目前交易反欺诈实时侦测的关键技术。

另外,交易欺诈常常具有异地操作特征,利用归属地解析数据与定位解析数据、代理IP侦测、虚假手机号识别等技术,可有效预警异常环境和异地风险。

综上,要做好银行交易安全防控工作,不但要强化银行系统前台身份鉴别技术,同时也要夯实中台对风险交易的实时监控。通过对全渠道、全交易、全流程数据的统一管理,综合运用加密、认证、大数据和机器学习等技术,对银行交易进行事前和事中保护,可以有效防范风险,保障客户交易资金安全。

2017第二届移动金融安全大会业内唯一一个聚焦移动金融安全的峰会。

议程详情见大会专栏:http://www.mpaypass.com.cn/MFSC2017/

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消