随着移动金融服务的快速发展,移动金融App逐渐成为人们生活和工作中不可或缺的组成部分。移动金融App在为金融消费者提供便捷金融服务的同时,其自身的安全性也日益引起社会关注。金融安全关乎国家安全,防范风险是金融业的永恒主题,加强移动金融App的安全防护已经成为推动金融创新、促进普惠民生的重要任务和先决条件。
党中央、国务院高度重视移动互联网安全。习近平总书记指出,没有网络安全就没有国家安全,就没有经济社会稳定运行。近年来我国相继颁布《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络安全审查办法》等法律法规,为网络安全和信息化建设提供了坚实的法律保障。中国人民银行从政治安全的高度认识防范化解金融风险的极端重要性,统筹金融发展和安全,守住了不发生系统性金融风险的底线;牵头打好防范化解重大金融风险攻坚战,取得了重要的阶段性成果,重点领域的风险得到稳妥处置,金融风险整体收敛、总体可控。
近年来金融行业出台相关标准规范,持续加强移动金融App安全管理。《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》要求金融机构加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。落实网络安全主体责任,采取有效措施防范应对网络攻击,保障相关系统平稳安全运行。银行、保险和证券等行业相继出台移动应用安全相关标准规范,为移动金融App的信息安全建设提供标准依据。
中国互联网金融协会遵照中国人民银行等国家金融管理部门的管理要求,组织开展了移动金融App的行业自律备案工作,指导金融机构加强终端安全、网络安全、身份验证、金融欺诈等方面的安全管理和风险防范,推动提升移动金融App安全防护和抗风险能力,持续为防范行业风险、推动行业安全发展发挥行业自律作用。
本次移动金融App创新实践典型案例入围名单中,多个创新实践案例积极开展了移动金融App安全防护创新工作,覆盖安全合规、风险监测、反欺诈等方面,达到了可借鉴、可复制、可推广的效果。典型案例介绍如下:
• 典型案例1:中信手机银行零售业务链式反欺诈智能风控体系实践
当前金融行业出现新型诱导型诈骗手段,诈骗团伙通过骗局远程诱导金融消费者自行操作金融App,套取客户资金、诱导客户贷款,对金融反欺诈带来新的挑战。中信银行整合内外部资源,采用组织、制度和技术综合手段,创新建立起以客户为中心的零售业务链式反欺诈智能风控体系,实现对此类欺诈事件的精准防控。主要措施有:
一是完善风险决策内链。秉持动态调整、分级管控的理念,打通多渠道、多场景、客户账户层级的壁垒,结合业务安全组件的部署及应用,实现跨渠道、跨业务感知客户操作风险,以链式防控代替单一场景防控。
二是建立信息共享外链。在保护个人信息前提下,拓展与反诈中心、腾讯和移动等机构合作,通过联邦学习等机器学习技术构建诱导型反诈模型,补全信息链路,将“反诈防火墙”前置到客户受骗的初始阶段。
三是构建风险处置协同链。通过实时通报可疑欺诈交易并管控账户,实现“总行通报、分行下发、支行核实”三级快速联动处置,并与属地反诈中心、派出所联动配合,力争阻拦每一笔诱导欺诈交易,不仅保护客户资金,而且增强客户反诈意识。此外通过运营信息反馈持续优化风控体系,打造闭环的反欺诈运营体系。
图:中信银行零售业务反欺诈运营体系
自2021年5月至今,中信银行依托应用链式反欺诈智能风控体系累计保护客户302人,拦截资金6402万元,取得了良好的反欺诈效果。
• 典型案例2:翼支付智能风险监控平台
针对支付用户电信诈骗风险,天翼电子商务有限公司基于大数据计算能力、实时清洗能力、流式计算能力、决策管理平台等底层能力,结合自研异常检测、风险时序、虚假证照、知识图谱等AI技术,为反欺诈、反套利业务场景提供精准高效的风险识别能力和实时风险拦截能力,实现立体式的风险感知、可信认证、风险识别、智能决策和自动学习的闭环监控。主要措施有:
一是AI全面赋能反诈,构建反诈大脑。包括事前反诈甄别:通过自研深度学习证件鉴伪能力体系(视觉反诈RiskImage),在商户使用翼支付App进行进件时,对资质内容进行反诈甄别,防范虚假账户实名认证问题;事中异常行为识别:对用户行为轨迹进行时序建模(深度时序模型RiskSeq),实现了反诈技术从独立多时点向时序生命周期的思考转变。
二是“信息流+资金流”的融合反诈,发挥差异化金融反诈优势。基于自身资金流数据构建了大规模领域知识图谱,覆盖充值、转账、消费、提现等主要的资金流关系,营销活动的助力关系和推荐关系,设备登录、IP关联等关系场景。
三是基于“业务流+决策流”的高性能实时决策平台建设。自研基于内存的高性能流式决策编排引擎,具备高性能实时决策能力同时还支持模型人员设定资源一键部署各类模型(机器学习模型、深度学习模型)到生产环境,并且具备服务调用监控、限流、灰度发布、横向扩容的功能,在面向突发事件时支持免疫、熔断等特殊场景功能。
图:翼支付智能风险监控平台自动化决策流程
翼支付智能风险监控平台助力翼支付实施金融反诈,保障用户资金安全,助力翼支付反诈运营降本增效,并实现规模化推广,提升行业反诈能力,取得了良好的实践效果。
• 典型案例3:中国建设银行为移动金融业务“E路护航”
建设银行移动安全风险监测及防护平台,是针对含App、小程序、web等平台的移动终端渠道,与安全防护系统及业务系统联动,利用多数据源进行风险挖掘分析、聚集分析及快速阻断的智能安全防护平台。平台主要亮点有:
一是防御针对生物特征识别认证的攻击。通过分析终端特征、用户行为和异常使用数据,发现正在进行生物特征攻击的风险终端设备,有效拦截及封禁的黑产风险用户及设备。
二是防范黑客逆向及越权攻击。通过分析软件、操作系统特征、设备调试及外设特征、设备运动特征,发现黑客逆向分析及攻击设备,进行情报分析及阻断,从源头阻断黑产链。
三是“薅羊毛”营销防欺诈防护。通过“薅羊毛”风险设备识别、风险客户识别、风险操作识别、团伙及社区识别,发现和阻断“薅羊毛”行为。
四是黑产成果输出、同业共享。在保障隐私数据安全前提下,通过监管态势感知共享平台进行情报共享,将风险分析能力进行输出,助力提升行业风险防范能力。
平台自上线以来,在识别生物特征识别攻击、黑客攻击、薅羊毛行为等方面成效显著,挽回了大量的客户资金损失,实践效果良好。
• 典型案例4:微信支付打击电信网络诈骗成果
腾讯公司整合内部多团队反诈技术能力打击电信诈骗,在微信红包、转账、面对面收款多场景中开展风险挖掘、精准拦截、可疑交易分级处置,形成了一套覆盖事前、事中、事后各环节的聚合风控“组合拳”。主要措施包括:
一是推出微信支付“钱袋子守护计划”。整合内部多团队的反诈技术能力,成立反欺诈专项,推出“钱袋子守护计划”:(1)聚合安全服务,覆盖从以支付为主,到支付、收款、出入资等的全支付业务场景,不断沉淀恶意挖掘模型,实现从交易到账户、从个人到团伙、从单场景到全场景的资金风险的深度、全方位挖掘;(2)构建了一套支付拦截策略模型,限制恶意支付,冻结被骗资金,减少用户损失,同时通过数据训练不断优化机器自动审核能力,持续提升审核和处置效率;(3)对欺诈的风险程度进行综合评估和风险分级;(4)开展大额诈骗专项治理、青少年诈骗专项治理,对被骗青少年开展用户关怀计划。
二是建设“腾讯卫士”公益性综合安全服务平台。平台以开放小程序形式链接海量用户,提供报案指引、防骗大讲堂、经验分享、风险预警等反诈服务,一站式处理微信、QQ、公众号等腾讯全业务场景的违法违规举报,打造全民公共治理平台;警企合作定期开展专项治理,形成腾讯卫士分析挖掘、安全团队策略研判、助力警方刑事打击的治理全链条,精准打击电信诈骗行为。
三是深化反诈宣传,强化防骗意识。(1)制作反诈主题公益宣传片,通过微信朋友圈公益广告、公安部刑侦局、国家反诈中心等多个渠道投放宣传;(2)联合微信支付、微信安全中心、QQ、腾讯卫士、腾讯手机管家等多渠道上线反诈专区。反诈宣传总触达用户量超17亿人次。
借助以上综合措施,微信支付在打击电信网络诈骗方面取得了扎实成效,有力保护了用户资金安全,并促进了全民反诈意识的提升,实践效果良好。
• 典型案例5:交通银行买单吧在安全防护领域的应用实践
交通银行在买单吧App建设中把信息安全放在首要位置,按照监管要求持续强化App全生命周期安全管理,不断提升信息安全水平,形成了多维立体的五层安全防护体系。
图:买单吧App立体安全防护体系
在终端安全层面,交通银行对终端进行安全加固,防止二次打包、重签名、恶意反编译和代码分析调试,并实时监测和告警运行环境风险,保护App运行环境的安全。在业务安全层面,引入安全键盘技术,防截屏、录屏以及屏幕共享等多项校验手段,进行应用安全防护;对高风险业务场景,增加数字证书、人脸识别等验证手段。在网关防护层面,规范对接标准,增加API授权认证机制,实施防重放功能,防止短期内大量恶意重放攻击。在数据安全层面,实现数据防篡改、数据加密、密钥安全交换,并通过国密算法进行统一的数据加解密。在通信安全层面,采用Https/SSL的标准安全协议进行数据传输,保护信道安全。
交通银行制定第三方软件安全管理规范,建立统一标准的引入流程,严格规范第三方软件的引入。对提供方、引入方、安全管理方、运行维护方、配置管理方等都提出安全管理要求。尤其对于引入的各类SDK,要求具备安全抗破解能力,满足用户隐私政策等监管要求,以及兼容性和安全性等相关标准。要求提供方在提供和更新SDK前提供有效测试评估报告。对SDK在个人信息采集和用户权限申请方面,要求做到符合隐私要求和数据上送要求。同时通过第三方安全检测确保SDK的安全性及隐私合规性。
买单吧结合FIDO技术建立指纹登录,采用移动身份认证与生物特征识别相结合,通过App内置的指纹识别功能,做到指纹认证。在App内集成FDIO SDK,通过FIDO SDK结合硬件设备内嵌的安全芯片,完成消息加密和身份鉴别流程,安全级别远远高于传统安全认证方式。
此外,买单吧不定期进行扫描渗透测试,进行漏洞评估、行为监控和深度分析等多维度安全评测。检测评估常态化,建立并不断完善安全测试、评估规范和机制,逐步形成规范化的安全测试和评估体系。
• 典型案例6:北京银行“京行企业银行”App健全移动金融安全体系
1. 移动客户端安全性
“京行企业银行”App客户端采用业界领先的加固技术,获得CNCERT认证,实现反编译与反汇编保护、客户端防篡改保护、客户端防注入保护、客户端反调试保护、客户端本地数据与资源文件加密保护、SO库绑定保护、运行时环境检测技术等,有效提升App运行安全。
同时应用代码混淆工具,采用主流编译器技术,通过控制流扁平化、虚假控制流、控制流间接化、等效转换指令、字符串加密、分裂基本块等混淆方式,实现IPA混淆保护功能,强化移动金融的安全环境。
在客户端SDK的管理上,采用移动安全服务和技术的综合安全解决方案,涵盖病毒扫描、网址检测、短信拦截、号码识别、垃圾清理、流量校准、伪基站、WiFi检测等功能,能全方位消除移动风险,深度保障用户的安全体验。
在客户端加密保护方面,采用国家密码局制定的标准国产密码算法,对App数据进行加密传输,在应用方面具有较高的安全性,在技术方面具有高度保密性,有效保障金融数据的信息安全。
2. 移动支付安全性
北京银行始终关注移动金融的安全性,与权威数字认证机构合作,采用密码盾物理加密设备与手机盾软证书相结合的方式,能够兼顾企业日常小额高频结算、大额资金安全结算等需求,在支付安全性与支付便捷性寻求平衡点。
密码盾主要解决大额低频结算,采用蓝牙KEY的数字证书存储方式,通过蓝牙将密码盾与移动设备连接,实现用户身份识别和数字认证的交互过程,保障移动端支付安全,是现阶段最优的移动支付安全认证策略。
手机盾解决小额高频结算,应用TEE+SE和密钥分散、协同签名等移动终端数字证书技术,基于可信任执行环境(TEE)与安全模块(SE)相结合的应用技术,克服硬件设备在移动端安全部署的弊端,摆脱物理硬件困扰,保证数字证书私钥的使用安全和用户使用环境的可信性,提升移动端支付安全认证效率。
展开全文
- 移动支付网 | 2022/11/2 11:21:56
- 移动支付网 | 2022/11/1 15:51:57
- 移动支付网 | 2022/10/8 16:40:02
- 移动支付网 | 2022/10/8 16:28:27
- 移动支付网 | 2022/7/26 10:45:50
- 移动支付网 | 2022/5/31 17:14:16
- 移动支付网 | 2022/4/22 11:25:38
- 移动支付网 | 2022/3/31 14:21:03
- 移动支付网 | 2021/12/10 11:11:57
- 移动支付网 | 2021/8/13 19:41:06
- 移动支付网 | 2022/11/7 11:59:11
- 移动支付网 | 2022/11/4 14:28:04
- 移动支付网 | 2022/11/1 15:48:13
- 移动支付网 | 2022/10/31 16:04:04
- 移动支付网 | 2022/10/31 15:06:35