文\上海浦东发展银行上海分行信息科技部总经理赵基

根据《中国网民权益保护调查报告（2016）》，有84%的网民曾亲身感受到个人信息泄露的不良影响，网络信息安全挑战对民生的影响不断加深。6月1日《网络安全法》正式施行，进一步完善了个人信息保护规则，确立了关键信息基础设施重要数据跨境传输的规则，将维护网络空间安全上升到国家战略层面。对保障我国网络安全、维护国家稳定具有重大而深远的意义。

银行数字化交易风险和挑战

移动互联网的快速发展，延伸了银行金融服务，推动数字普惠金融发展，大大提升了银行服务效率。据统计，目前国内各家银行电子渠道的交易量占比总量的93%以上，其中移动端（手机银行、移动支付、微信银行等）交易量占60%以上。这也引发了网络欺诈等一系列金融安全问题，犯罪分子利用申请欺诈、数据窃取、木马植入、身份盗用、USBKey劫持、网站钓鱼等技术手段，获取客户交易关键要素，其中无卡交易已成为欺诈增速最快的重灾区。这也给银行如何正确识别客户身份、控制交易入口带来了挑战。

一是银行防范互联网交易风险的控制机制不完善。有的银行还没有建立完整的网上银行客户信息交易监测系统。有的银行网银交易流水缺少IP地址、MAC码等关键信息，难以第一时间再现每笔交易的全貌。

二是银行难以掌握网上交易的实际操作人和交易背景信息。网上银行业务主要通过密钥、数字证书和数字签名的认证完成交易身份确认。这种加密技术相较传统的用户名和密码校验，一方面提升了安全等级，为客户的资金安全提供了保障；另一方面，也为银行确认交易是否由开户人实际操作增加了难度。此外，在网银业务中，无法通过柜员询问并核实客户的交易用途、交易背景、资金来源、交易目的地等详细信息，有时无法追溯每笔交易的详细信息。

三是交易体验欠佳，动态身份确认存在难点。移动支付业务中，一味追求交易便捷性，没有充分评估安全隐患，没有实施动态替换和屏蔽交易关键信息。在密码体系与算法融合方面体验较差，难以实现在账号登录、管理授权、转账汇款、支付交易等多个关键环节的动态身份确认。

银行交易安全控制策略和实践

根据浦发银行“数字化”发展战略，未来面向客户提供的金融服务、服务交付渠道都将以数字化方式体现。总行制定了完整的信息安全管控策略，建立了一套集“用户身份认证和支付安全、个人信息安全、应用数据安全”为一体，具备大数据技术风险感知、实时交易智能侦测功能的风险防控体系，采用多项技术手段保障交易安全。

一是在网上银行交易安全方面，采用多因素动态认证机制，针对不同类型用户采用差异化策略鉴别登录用户身份。

（1）客户端采用全新安全签名控件，防止恶意程序通过浏览器接口或脚本注入读取、篡改网银客户输入控件内容。同时，加密用户密码，对汇款、支付等交易关键字段进行签名和验证，防止密码在传输中被窃取。

（2）采用新型USBKey，密钥对在芯片中生成，禁止以任何形式从USBKey中读取或写入私钥。同时，具备交易指令完整性校验、合法性鉴别和关键交易数据输入确认等功能。

（3）网银系统后端具备完整的安全审计机制，记录客户每次登录行为，包括客户IP地址、物理硬件设备（MAC地址、硬盘编号）等详细信息，用户可自主查询登录、授权和交易等日志信息，及时发现并锁定可疑操作。

（4）即时信息服务机制，通过手机、邮件随时随地及时了解账户资金变化，辅助监控交易安全。

二是构建银行交易实时风控系统。随着移动生态圈金融创新业务的不断涌现，新的支付手段、业务手段在带来便利体验的同时，也导致了风险的倍增。围绕银行产品的欺诈黑色产业链日趋庞大，欺诈领域涉及不同产品、不同渠道和不同设备，银行交易安全面临巨大挑战。

图：实时反欺诈系统技术架构

浦发银行总行建立了新一代企业级交易类反欺诈侦测系统，实现了银行内部全渠道、跨产品、多实体反欺诈信息的整合统一管理。采用数字化技术，推动识别并全貌勾勒客户行为特征。准确识别客户交易全生命周期中的各类行为，如申请、汇款、还款、信息变更、查询、销户等，为数字化银行建立了全渠道、全交易、全流程的屏障。

（1）流式大数据处理技术，有效解决了海量数据和复杂算法环境下的计算效率问题，满足了实时风控系统的响应要求。通过对欺诈交易特征的深入分析，依据交易类型的关联、交易环节的性质、交易元素的特征及客户端环境的变化，特别是本次交易与以往交易行为的差异，在交易过程中建立事中监控系统，预判当前交易风险，阻断高风险交易。

（2）通过人工智能技术，结合机器学习与深度学习，利用银行内部历史数据训练模型，找出风险特征的阈值和关联性，建立企业级规则和模型。针对客户统一视角，统一侦测跨渠道、跨产品交易。

（3）设备指纹技术，通过采集PC、移动设备（WAP、微信H5、移动应用）的网络环境，设备环境，浏览器环境，程序等多要素，综合决策置信度算法，生成设备的惟一标识ID，保障准确性。这也是目前交易反欺诈实时侦测的关键技术。

另外，交易欺诈常常具有异地操作特征，利用归属地解析数据与定位解析数据、代理IP侦测、虚假手机号识别等技术，可有效预警异常环境和异地风险。

综上，要做好银行交易安全防控工作，不但要强化银行系统前台身份鉴别技术，同时也要夯实中台对风险交易的实时监控。通过对全渠道、全交易、全流程数据的统一管理，综合运用加密、认证、大数据和机器学习等技术，对银行交易进行事前和事中保护，可以有效防范风险，保障客户交易资金安全。

2017第二届移动金融安全大会业内唯一一个聚焦移动金融安全的峰会。

议程详情见大会专栏：http://www.mpaypass.com.cn/MFSC2017/