工商银行廖志江:移动金融安全领域的实践与思考


2017-7-11 19:45

7月7日-8日,由北京移动金融产业联盟、中国人民银行宁波市中心支行联合承办的“支付安全研讨会”在宁波顺利召开。中国工商银行信息科技部高级经理廖志江在会上介绍了移动金融目前所面临的安全威胁,分享了工商银行对移动金融安全的一些探索及建议。

中国工商银行信息科技部高级经理廖志江

中国工商银行信息科技部高级经理廖志江

目前移动金融安全所面临的挑战包括:一是操作系统风险,二是恶意程序的风险,三是操作环境的风险。安全防护难点主要体现在以下四个方面:

1、 攻击面多。苹果iOS和Android操作系统具有庞大的代码量,支持复杂多样的功能,攻击面较多;

2、 攻防能力不对等。金融应用遵守最小授权的原则,而恶意程序诱导用户提升自身权限,权限级别高于金融应用,攻防能力不对等;

3、 终端识别可信度低。终端信息通过系统API获取,较低可信级别的系统,获取的终端信息可信度较低,金融应用无法准确识别终端;

4、 金融行业推行强认证介质便携性低。高安全级别的认证介质需额外携带,不满足小额便捷的需求,适用于大额、低频率的使用需求。

面对安全风险威胁,工行做了两方面的探索:

一是按照全生命周期安全控制、统一安全管控、安全与易用有效平衡,构建移动金融立体安全防护体系;

二是创新移动金融安全防护技术,利用大数据分析技术,建设反欺诈系统,进行反欺诈模型监控和名单监测,基于名单库、事件库、模型库,实现规则/模型的灵活定制。

廖志江介绍,确保用户资金与信息的安全,工行积极探索新技术在移动支付领域的运用,进行多因子安全防护技术研究。比如:国密算法改造、密码升级、生物识别、SE、TEE、量子通信等。

目前,移动金融服务创新层出不穷,金融科技发展日新月异,移动安全架构须紧随业务和技术发展趋势持续转型和优化提升,对于新技术的应用,廖志江也给出了三点建议:

1、谨慎使用生物特征。生物特征是属于敏感的信息,如果生物特征信息丢失,危害性比密码还要严重。要制定生物特征所配套的应用规范,承担社会责任,保护用户信息安全;

2、推动TEE产业建设。完善TEE技术设施,搭建TEE技术设施和应用平台,帮助银行快速拓展相关应用,提升移动金融终端环境安全性并提升客户体验;

3、促进反欺诈联动机制。加强欺诈黑名单设备等信息共享,降低欺诈风险,确保用户资金安全。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606