党中央、国务院高度重视移动互联网安全。习近平总书记指出,没有网络安全就没有国家安全,就没有经济社会稳定运行。近年来我国相继颁布《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络安全审查办法》等法律法规,为网络安全和信息化建设提供了坚实的法律保障。中国人民银行从政治安全的高度认识防范化解金融风险的极端重要性,统筹金融发展和安全,守住了不发生系统性金融风险的底线;牵头打好防范化解重大金融风险攻坚战,取得了重要的阶段性成果,重点领域的风险得到稳妥处置,金融风险整体收敛、总体可控。
中国互联网金融协会遵照中国人民银行等国家金融管理部门的管理要求,组织开展了移动金融App的行业自律备案工作,指导金融机构加强终端安全、网络安全、身份验证、金融欺诈等方面的安全管理和风险防范,推动提升移动金融App安全防护和抗风险能力,持续为防范行业风险、推动行业安全发展发挥行业自律作用。
本次移动金融App创新实践典型案例入围名单中,多个创新实践案例积极开展了移动金融App安全防护创新工作,覆盖安全合规、风险监测、反欺诈等方面,达到了可借鉴、可复制、可推广的效果。典型案例介绍如下:
典型案例1:中信手机银行零售业务链式反欺诈智能风控体系实践
当前金融行业出现新型诱导型诈骗手段,诈骗团伙通过骗局远程诱导金融消费者自行操作金融App,套取客户资金、诱导客户贷款,对金融反欺诈带来新的挑战。中信银行整合内外部资源,采用组织、制度和技术综合手段,创新建立起以客户为中心的零售业务链式反欺诈智能风控体系,实现对此类欺诈事件的精准防控。主要措施有:
一是完善风险决策内链。秉持动态调整、分级管控的理念,打通多渠道、多场景、客户账户层级的壁垒,结合业务安全组件的部署及应用,实现跨渠道、跨业务感知客户操作风险,以链式防控代替单一场景防控。
二是建立信息共享外链。在保护个人信息前提下,拓展与反诈中心、腾讯和移动等机构合作,通过联邦学习等机器学习技术构建诱导型反诈模型,补全信息链路,将“反诈防火墙”前置到客户受骗的初始阶段。
三是构建风险处置协同链。通过实时通报可疑欺诈交易并管控账户,实现“总行通报、分行下发、支行核实”三级快速联动处置,并与属地反诈中心、派出所联动配合,力争阻拦每一笔诱导欺诈交易,不仅保护客户资金,而且增强客户反诈意识。此外通过运营信息反馈持续优化风控体系,打造闭环的反欺诈运营体系。
图:中信银行零售业务反欺诈运营体系
自2021年5月至今,中信银行依托应用链式反欺诈智能风控体系累计保护客户302人,拦截资金6402万元,取得了良好的反欺诈效果。
典型案例2:翼支付智能风险监控平台
针对支付用户电信诈骗风险,天翼电子商务有限公司基于大数据计算能力、实时清洗能力、流式计算能力、决策管理平台等底层能力,结合自研异常检测、风险时序、虚假证照、知识图谱等AI技术,为反欺诈、反套利业务场景提供精准高效的风险识别能力和实时风险拦截能力,实现立体式的风险感知、可信认证、风险识别、智能决策和自动学习的闭环监控。主要措施有:
一是AI全面赋能反诈,构建反诈大脑。包括事前反诈甄别:通过自研深度学习证件鉴伪能力体系(视觉反诈RiskImage),在商户使用翼支付App进行进件时,对资质内容进行反诈甄别,防范虚假账户实名认证问题;事中异常行为识别:对用户行为轨迹进行时序建模(深度时序模型RiskSeq),实现了反诈技术从独立多时点向时序生命周期的思考转变。
三是基于“业务流+决策流”的高性能实时决策平台建设。自研基于内存的高性能流式决策编排引擎,具备高性能实时决策能力同时还支持模型人员设定资源一键部署各类模型(机器学习模型、深度学习模型)到生产环境,并且具备服务调用监控、限流、灰度发布、横向扩容的功能,在面向突发事件时支持免疫、熔断等特殊场景功能。
图:翼支付智能风险监控平台自动化决策流程
翼支付智能风险监控平台助力翼支付实施金融反诈,保障用户资金安全,助力翼支付反诈运营降本增效,并实现规模化推广,提升行业反诈能力,取得了良好的实践效果。
典型案例3:中国建设银行为移动金融业务“E路护航”
建设银行移动安全风险监测及防护平台,是针对含App、小程序、web等平台的移动终端渠道,与安全防护系统及业务系统联动,利用多数据源进行风险挖掘分析、聚集分析及快速阻断的智能安全防护平台。平台主要亮点有:
一是防御针对生物特征识别认证的攻击。通过分析终端特征、用户行为和异常使用数据,发现正在进行生物特征攻击的风险终端设备,有效拦截及封禁的黑产风险用户及设备。
二是防范黑客逆向及越权攻击。通过分析软件、操作系统特征、设备调试及外设特征、设备运动特征,发现黑客逆向分析及攻击设备,进行情报分析及阻断,从源头阻断黑产链。
三是“薅羊毛”营销防欺诈防护。通过“薅羊毛”风险设备识别、风险客户识别、风险操作识别、团伙及社区识别,发现和阻断“薅羊毛”行为。
四是黑产成果输出、同业共享。在保障隐私数据安全前提下,通过监管态势感知共享平台进行情报共享,将风险分析能力进行输出,助力提升行业风险防范能力。
平台自上线以来,在识别生物特征识别攻击、黑客攻击、薅羊毛行为等方面成效显著,挽回了大量的客户资金损失,实践效果良好。
典型案例5:交通银行买单吧在安全防护领域的应用实践
交通银行在买单吧App建设中把信息安全放在首要位置,按照监管要求持续强化App全生命周期安全管理,不断提升信息安全水平,形成了多维立体的五层安全防护体系。
图:买单吧App立体安全防护体系
此外,买单吧不定期进行扫描渗透测试,进行漏洞评估、行为监控和深度分析等多维度安全评测。检测评估常态化,建立并不断完善安全测试、评估规范和机制,逐步形成规范化的安全测试和评估体系。
典型案例6:北京银行“京行企业银行”App健全移动金融安全体系
1.移动客户端安全性
“京行企业银行”App客户端采用业界领先的加固技术,获得CNCERT认证,实现反编译与反汇编保护、客户端防篡改保护、客户端防注入保护、客户端反调试保护、客户端本地数据与资源文件加密保护、SO库绑定保护、运行时环境检测技术等,有效提升App运行安全。
同时应用代码混淆工具,采用主流编译器技术,通过控制流扁平化、虚假控制流、控制流间接化、等效转换指令、字符串加密、分裂基本块等混淆方式,实现IPA混淆保护功能,强化移动金融的安全环境。
在客户端SDK的管理上,采用移动安全服务和技术的综合安全解决方案,涵盖病毒扫描、网址检测、短信拦截、号码识别、垃圾清理、流量校准、伪基站、WiFi检测等功能,能全方位消除移动风险,深度保障用户的安全体验。
在客户端加密保护方面,采用国家密码局制定的标准国产密码算法,对App数据进行加密传输,在应用方面具有较高的安全性,在技术方面具有高度保密性,有效保障金融数据的信息安全。
2.移动支付安全性
密码盾主要解决大额低频结算,采用蓝牙KEY的数字证书存储方式,通过蓝牙将密码盾与移动设备连接,实现用户身份识别和数字认证的交互过程,保障移动端支付安全,是现阶段最优的移动支付安全认证策略。
手机盾解决小额高频结算,应用TEE+SE和密钥分散、协同签名等移动终端数字证书技术,基于可信任执行环境(TEE)与安全模块(SE)相结合的应用技术,克服硬件设备在移动端安全部署的弊端,摆脱物理硬件困扰,保证数字证书私钥的使用安全和用户使用环境的可信性,提升移动端支付安全认证效率。