0
雷鋒網編者按:近年來,金融機構已然成為網絡攻擊的重災區,如堪比好萊塢大戲的“SWIFT驚天大劫案”、銀行行長出售征信查詢賬號的“521侵犯公民個人信息案”等。在12月1日由中治研和梆梆安全承辦的金融級應用安全研討會中,來自中國建設銀行廣州開發中心的廖敏飛,介紹了建行在移動安全建設方面的情況。雷鋒網在不改變原意的基礎上做了部分編輯,與讀者共饗。
以下為演講全文。
我的題目是“移動金融安全應用治理”。
演講分為四個部分,互聯網+金融級移動安全的監管治理;智能的總控架構;應用實踐;創新展望。
在移動安全中,根據中國支付清算協會的報告,現在移動金融用戶最關心的問題是安全的隱患,包括電信詐騙,二維碼被偷,還有信息泄漏等,我們所做的移動安全的事情都是基于《中國金融業信息技術“十三五”發展規劃》,里面提出安全保障體系更加完善是我們的重點發展的目標。
其實大家都已經有一個感受,就是外面的用戶為什么會用到金融級的移動安全,是因為銀行代表了一個比較安全的形象,銀行的安全責任是非常重大的,如果有一點點的閃失就會導致客戶出現很大的資金還有信息的安全問題。
這邊是目標,我們是銀行,所以第一點肯定是保障客戶的資金安全,還有要保護客戶的信息安全,還有保障我們系統的安全運行。
其中有一些技術子目標和安全子目標要說一下,技術子目標比如說國產化,這個我相信大家也是折騰了好多年了;還有利用生物技術、人工智能進行安全防控,安全子目標例如全生命周期的數據保護,抵御網絡客戶端的攻擊,還有我們要精確地識別身份,都是需要做到的一個子目標。
建行在銀行類APP的活躍客戶量是排名第一的,活躍量超4000萬,我們服務領域率也是占第一位,是10.7。
第二個說一下移動安全的智能總控架構,這是總體的圖,根據事前防御、事中控制和事后防控,主要的目標是安全與體驗并重,這兩個都要。
要簡化事前,智慧事中和強化事后,這就是總體的內容,這是金融級移動端安全的防護體系。
基于軟件生命周期的整個流程,包括從數據分析到開發實施,到投產檢測,到安全運營,這里面的每一個環節都會涉及。例如現在看到的加殼、漏洞掃描、安全檢測等,其實都是分布在整個生命周期的每一個環節里面。
智能總控架構分為三大模塊,有一個終端的中央智能安全云服務作為中央大腦,有各個安全組件提供服務,有后臺進行監控,通過這些來進行安全移動端的監控。
特別說明一下,現在建行實施了新一代以后,所有服務都是以組件化提供,會有一個安全的組件專門提供給全渠道所有的系統去進行調用,提供服務和保護,所有移動安全里面的所有的APP,都是通過這個組件來進行統一的調度和服務的。
通過大數據分析,人工智能加上這些因素,是一個統一的平臺,進行處理以后,會反饋到相應的交易系統。
下面我就根據上面描述的一些目標、架構,說一下金融級應用安全的應用實踐,這些年來究竟做了什么樣的工作。
我們希望做到的目標是企業級的安全認證,就是剛才說的組件化,然后智慧認證,是大數據和人工智能的,一定是智慧的,客戶不需要自己去選擇,希望客戶能夠自動地感受到我們的安全服務,而且一定是便捷、安全的體驗。
這里面總共有三個核心環節,一個是身份識別的認證,一個是證書簽名,還有一個是監測管理,這幾個要素,因為大家都是專家了,估計大家應該都知道我說的這些技術的核心環節是什么意思。
這里面我跟大家說一下在今年年底華為的發布會上推出了手機盾,這個產品填補了什么東西呢,就是移動端原來在簽名這塊是比較薄弱的,大家都知道,用一些短信的方式來保證安全,如果根據簽名法是需要有更強的一些認證手段,但是客戶體驗一直以來都是很嚴重的問題,客戶不想帶更多的硬件。
比如帶一個手機,其它東西丟到家里面不用了,所以我們就創新地推出了手機盾,這個SE的芯片全部植入到華為手機里面,我們直接調用,客戶只需要帶一臺手機就能夠完成簽名,它是無感的,對客戶來說基本上就是相當于普通的一些互聯網上的操作,就完事了,但是安全級別就達到了跟以前的盾一樣的安全級別。
這里面我挑了重點的跟大家說一下,全流程防控里面有智慧認證,生物技術識別,手機盾和大數據檢測平臺。
這是都已經落地并且已經準備往外推廣,或者已經推廣的一些技術。
智慧認證是什么意思呢,就是說其實這個東西在好多年前已經開始了,通過學習、挖掘數據以后,希望能夠自動地分析客戶的安全等級,對客戶進行一個標簽,然后對客戶的行為、數據進行分析。
導入引擎以后,希望能夠智能地判別它是否安全。所以在這個基礎之上,客戶有可能在某一些環節里面,作為一個安全的客戶是什么都不需要輸入就能夠做一些交易。但是在我們認為他有問題的情況下,會對個客戶有安全的架構措施,甚至我們會阻斷交易,讓人工去介入,進行核實和處理,這就是我們智慧認證核心的一個目標。
這套系統其實一直在完善,它是一個全流程的過程,有技術參與、有業務參與,各平臺全部參與以后才能達到目標,當然這還需要進一步地完善,但一直都是向這個目標去靠近。
在事前防控方面我們有手機盾和生物特征識別,生物特征這方面是這樣的,我們統一個生物技術的組件平臺,會把所有的生物技術都融入到一個平臺里面去,是企業級的,全行的全部的生物技術都是到這個平臺,現在有聲紋、虹膜、指紋、人臉,還有正在做的一些擊鍵行為,都是生物識別技術的其中一環。
有一個好處就是從單模態可以變成多模態。舉個例子,我可以通過人臉和虹膜的雙模態來進行認證,這有什么好處呢,因為人臉距離遠也可以識別,但是它的精度可能有問題;虹膜要求距離短才能識別,但它的精度很高,如果這兩者結合起來,利用兩個認證的各自的好處,就可以提升識別率。
與此同時,所有的算法都是可插拔式的,把它做到同一個平臺里面去,現在可以把很多的生物技術算法放在一個平臺里面進行處理。
我們做了一個調研,超過70%的用戶是接受生物技術進行移動身份識別,支付身份識別和加密認證的,它有安全、便捷、靈活的這幾個優點,但建行認為生物技術由于它存在識別率的問題,算法有一些天然的問題,所以把它作為一個輔助安全手段,不是一個主手段,就必須得結合一些主手段來進行同時使用,我們才能使用這個生物技術的識別,或者再加上一些風控的措施。
這里面我給大家截屏的這都是我們已經上線的一些指紋、聲紋,還有人臉識別,都是在移動端,手機銀行和各種各樣的移動 APP 里面都已經開始使用了。這是我們所推的剛才我說的手機盾,這個手機盾的概念將來會擴展到很大的一個方面,它不光是一個手機上的問題,還有SE安全芯片,都是將來能夠使用的一個產品。
現在手機盾已經經過第三方的檢測,它的安全等級應該是相當于現在的二代盾。
這里提一下移動安全的監測平臺,這也是一個獨立的平臺,這個平臺里面呢,把移動里面所有的數據、行為,包括各種各樣的數據都放到這個平臺里面去,然后進行一個學習還有分析、建模。這個平臺里面充分利用了大數據里面很多的技術,包括一些機器學習,包括實時分析,包括各種各樣的可視化的技術這些我們都會用到。
再提一點,這個所謂的移動監測平臺并不是意味著我們只處理手機,實際上這個平臺是可以馬上拓展的,在做的過程之中我們已經預留了可穿戴設備還有物聯網,還有其它的各種各樣能夠采集的地方我們都已經預留了,通過這些所謂的泛指的移動端,把這些數據拿到我們的云里面去以后,就可以進行一個威脅識別監測,各種各樣的智能風控的調節,還有攻擊的一些潛在工具的預警這些工作。
大家看看這個圖,就是現在正在使用的監測平臺里面其中一個頁,可以對移動客戶端的安全,客戶的安全,客戶的交易安全進行一個監控,這個平臺里面的數據是全行全渠道所有的移動APP和剛才我說的將來互聯網和設備全部的數據。
剛才說了一些安全上實踐的東西,下面想跟大家分享一下在金融級應用安全創新的展望,我們未來會構建以公有云共享安全服務生態,最主要的觀念就是共享,希望這些已經成熟的或者正在做的技術,能夠共享給第三方,嵌入到各個第三方的平臺、渠道,整合各種各樣的安全,這些技術上的能力,整合起來,形成一個統一的共享服務。 
希望將來身份認證是人工智能化,認證方式應該是無感的,希望客戶不需要攜帶任何東西,不需要按任何按鈕,不需要做任何動作就完成了認證,如果客戶不是我們所認為的安全客戶,會自動進行處理,這是最希望達到的結果。
我們也希望安全系統是人工智能化的,或者所有的東西都是智慧、智能、自動化的。
行長向我們提出的一個要求,就是安全與體驗并重,不能為了保安全就把體驗搞差了,不能把客戶趕跑了,剛才提到了我們的工作的目標就是無感,包括不要攜帶,不要影響客戶。包括剛才我說的人工智能化,其實這些東西都不是為了使用這些工具,是為了達到最后的目標,讓客戶感到安全的同時,一定要超簡操作,一定要便捷交易。
以上演講來自金融級應用安全研討會
演講者:中國建設銀行 廖敏飛
雷鋒網整理
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
