隨著移動(dòng)金融服務(wù)的快速發(fā)展，移動(dòng)金融App逐漸成為人們生活和工作中不可或缺的組成部分。移動(dòng)金融App在為金融消費(fèi)者提供便捷金融服務(wù)的同時(shí)，其自身的安全性也日益引起社會(huì)關(guān)注。金融安全關(guān)乎國(guó)家安全，防范風(fēng)險(xiǎn)是金融業(yè)的永恒主題，加強(qiáng)移動(dòng)金融App的安全防護(hù)已經(jīng)成為推動(dòng)金融創(chuàng)新、促進(jìn)普惠民生的重要任務(wù)和先決條件。

黨中央、國(guó)務(wù)院高度重視移動(dòng)互聯(lián)網(wǎng)安全。習(xí)近平總書記指出，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行。近年來(lái)我國(guó)相繼頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)，為網(wǎng)絡(luò)安全和信息化建設(shè)提供了堅(jiān)實(shí)的法律保障。中國(guó)人民銀行從政治安全的高度認(rèn)識(shí)防范化解金融風(fēng)險(xiǎn)的極端重要性，統(tǒng)籌金融發(fā)展和安全，守住了不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)的底線；牽頭打好防范化解重大金融風(fēng)險(xiǎn)攻堅(jiān)戰(zhàn)，取得了重要的階段性成果，重點(diǎn)領(lǐng)域的風(fēng)險(xiǎn)得到穩(wěn)妥處置，金融風(fēng)險(xiǎn)整體收斂、總體可控。

近年來(lái)金融行業(yè)出臺(tái)相關(guān)標(biāo)準(zhǔn)規(guī)范，持續(xù)加強(qiáng)移動(dòng)金融App安全管理。《中國(guó)人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》要求金融機(jī)構(gòu)加強(qiáng)客戶端軟件設(shè)計(jì)、開發(fā)、發(fā)布、維護(hù)等環(huán)節(jié)的安全管理，構(gòu)建覆蓋全生命周期的管理機(jī)制，切實(shí)保障客戶端軟件安全。落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，采取有效措施防范應(yīng)對(duì)網(wǎng)絡(luò)攻擊，保障相關(guān)系統(tǒng)平穩(wěn)安全運(yùn)行。銀行、保險(xiǎn)和證券等行業(yè)相繼出臺(tái)移動(dòng)應(yīng)用安全相關(guān)標(biāo)準(zhǔn)規(guī)范，為移動(dòng)金融App的信息安全建設(shè)提供標(biāo)準(zhǔn)依據(jù)。

中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)遵照中國(guó)人民銀行等國(guó)家金融管理部門的管理要求，組織開展了移動(dòng)金融App的行業(yè)自律備案工作，指導(dǎo)金融機(jī)構(gòu)加強(qiáng)終端安全、網(wǎng)絡(luò)安全、身份驗(yàn)證、金融欺詐等方面的安全管理和風(fēng)險(xiǎn)防范，推動(dòng)提升移動(dòng)金融App安全防護(hù)和抗風(fēng)險(xiǎn)能力，持續(xù)為防范行業(yè)風(fēng)險(xiǎn)、推動(dòng)行業(yè)安全發(fā)展發(fā)揮行業(yè)自律作用。

本次移動(dòng)金融App創(chuàng)新實(shí)踐典型案例入圍名單中，多個(gè)創(chuàng)新實(shí)踐案例積極開展了移動(dòng)金融App安全防護(hù)創(chuàng)新工作，覆蓋安全合規(guī)、風(fēng)險(xiǎn)監(jiān)測(cè)、反欺詐等方面，達(dá)到了可借鑒、可復(fù)制、可推廣的效果。典型案例介紹如下：

? 典型案例1：中信手機(jī)銀行零售業(yè)務(wù)鏈?zhǔn)椒雌墼p智能風(fēng)控體系實(shí)踐

當(dāng)前金融行業(yè)出現(xiàn)新型誘導(dǎo)型詐騙手段，詐騙團(tuán)伙通過(guò)騙局遠(yuǎn)程誘導(dǎo)金融消費(fèi)者自行操作金融App，套取客戶資金、誘導(dǎo)客戶貸款，對(duì)金融反欺詐帶來(lái)新的挑戰(zhàn)。中信銀行整合內(nèi)外部資源，采用組織、制度和技術(shù)綜合手段，創(chuàng)新建立起以客戶為中心的零售業(yè)務(wù)鏈?zhǔn)椒雌墼p智能風(fēng)控體系，實(shí)現(xiàn)對(duì)此類欺詐事件的精準(zhǔn)防控。主要措施有：

一是完善風(fēng)險(xiǎn)決策內(nèi)鏈。秉持動(dòng)態(tài)調(diào)整、分級(jí)管控的理念，打通多渠道、多場(chǎng)景、客戶賬戶層級(jí)的壁壘，結(jié)合業(yè)務(wù)安全組件的部署及應(yīng)用，實(shí)現(xiàn)跨渠道、跨業(yè)務(wù)感知客戶操作風(fēng)險(xiǎn)，以鏈?zhǔn)椒揽卮鎲我粓?chǎng)景防控。

二是建立信息共享外鏈。在保護(hù)個(gè)人信息前提下，拓展與反詐中心、騰訊和移動(dòng)等機(jī)構(gòu)合作，通過(guò)聯(lián)邦學(xué)習(xí)等機(jī)器學(xué)習(xí)技術(shù)構(gòu)建誘導(dǎo)型反詐模型，補(bǔ)全信息鏈路，將“反詐防火墻”前置到客戶受騙的初始階段。

三是構(gòu)建風(fēng)險(xiǎn)處置協(xié)同鏈。通過(guò)實(shí)時(shí)通報(bào)可疑欺詐交易并管控賬戶，實(shí)現(xiàn)“總行通報(bào)、分行下發(fā)、支行核實(shí)”三級(jí)快速聯(lián)動(dòng)處置，并與屬地反詐中心、派出所聯(lián)動(dòng)配合，力爭(zhēng)阻攔每一筆誘導(dǎo)欺詐交易，不僅保護(hù)客戶資金，而且增強(qiáng)客戶反詐意識(shí)。此外通過(guò)運(yùn)營(yíng)信息反饋持續(xù)優(yōu)化風(fēng)控體系，打造閉環(huán)的反欺詐運(yùn)營(yíng)體系。

圖：中信銀行零售業(yè)務(wù)反欺詐運(yùn)營(yíng)體系

自2021年5月至今，中信銀行依托應(yīng)用鏈?zhǔn)椒雌墼p智能風(fēng)控體系累計(jì)保護(hù)客戶302人，攔截資金6402萬(wàn)元，取得了良好的反欺詐效果。

? 典型案例2：翼支付智能風(fēng)險(xiǎn)監(jiān)控平臺(tái)

針對(duì)支付用戶電信詐騙風(fēng)險(xiǎn)，天翼電子商務(wù)有限公司基于大數(shù)據(jù)計(jì)算能力、實(shí)時(shí)清洗能力、流式計(jì)算能力、決策管理平臺(tái)等底層能力，結(jié)合自研異常檢測(cè)、風(fēng)險(xiǎn)時(shí)序、虛假證照、知識(shí)圖譜等AI技術(shù)，為反欺詐、反套利業(yè)務(wù)場(chǎng)景提供精準(zhǔn)高效的風(fēng)險(xiǎn)識(shí)別能力和實(shí)時(shí)風(fēng)險(xiǎn)攔截能力，實(shí)現(xiàn)立體式的風(fēng)險(xiǎn)感知、可信認(rèn)證、風(fēng)險(xiǎn)識(shí)別、智能決策和自動(dòng)學(xué)習(xí)的閉環(huán)監(jiān)控。主要措施有：

一是AI全面賦能反詐，構(gòu)建反詐大腦。包括事前反詐甄別：通過(guò)自研深度學(xué)習(xí)證件鑒偽能力體系（視覺(jué)反詐RiskImage），在商戶使用翼支付App進(jìn)行進(jìn)件時(shí)，對(duì)資質(zhì)內(nèi)容進(jìn)行反詐甄別，防范虛假賬戶實(shí)名認(rèn)證問(wèn)題；事中異常行為識(shí)別：對(duì)用戶行為軌跡進(jìn)行時(shí)序建模（深度時(shí)序模型RiskSeq），實(shí)現(xiàn)了反詐技術(shù)從獨(dú)立多時(shí)點(diǎn)向時(shí)序生命周期的思考轉(zhuǎn)變。

二是“信息流+資金流”的融合反詐，發(fā)揮差異化金融反詐優(yōu)勢(shì)?；谧陨碣Y金流數(shù)據(jù)構(gòu)建了大規(guī)模領(lǐng)域知識(shí)圖譜，覆蓋充值、轉(zhuǎn)賬、消費(fèi)、提現(xiàn)等主要的資金流關(guān)系，營(yíng)銷活動(dòng)的助力關(guān)系和推薦關(guān)系，設(shè)備登錄、IP關(guān)聯(lián)等關(guān)系場(chǎng)景。

三是基于“業(yè)務(wù)流+決策流”的高性能實(shí)時(shí)決策平臺(tái)建設(shè)。自研基于內(nèi)存的高性能流式?jīng)Q策編排引擎，具備高性能實(shí)時(shí)決策能力同時(shí)還支持模型人員設(shè)定資源一鍵部署各類模型（機(jī)器學(xué)習(xí)模型、深度學(xué)習(xí)模型）到生產(chǎn)環(huán)境，并且具備服務(wù)調(diào)用監(jiān)控、限流、灰度發(fā)布、橫向擴(kuò)容的功能，在面向突發(fā)事件時(shí)支持免疫、熔斷等特殊場(chǎng)景功能。

圖：翼支付智能風(fēng)險(xiǎn)監(jiān)控平臺(tái)自動(dòng)化決策流程

翼支付智能風(fēng)險(xiǎn)監(jiān)控平臺(tái)助力翼支付實(shí)施金融反詐，保障用戶資金安全，助力翼支付反詐運(yùn)營(yíng)降本增效，并實(shí)現(xiàn)規(guī)模化推廣，提升行業(yè)反詐能力，取得了良好的實(shí)踐效果。

? 典型案例3：中國(guó)建設(shè)銀行為移動(dòng)金融業(yè)務(wù)“E路護(hù)航”

建設(shè)銀行移動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)及防護(hù)平臺(tái)，是針對(duì)含App、小程序、web等平臺(tái)的移動(dòng)終端渠道，與安全防護(hù)系統(tǒng)及業(yè)務(wù)系統(tǒng)聯(lián)動(dòng)，利用多數(shù)據(jù)源進(jìn)行風(fēng)險(xiǎn)挖掘分析、聚集分析及快速阻斷的智能安全防護(hù)平臺(tái)。平臺(tái)主要亮點(diǎn)有：

一是防御針對(duì)生物特征識(shí)別認(rèn)證的攻擊。通過(guò)分析終端特征、用戶行為和異常使用數(shù)據(jù)，發(fā)現(xiàn)正在進(jìn)行生物特征攻擊的風(fēng)險(xiǎn)終端設(shè)備，有效攔截及封禁的黑產(chǎn)風(fēng)險(xiǎn)用戶及設(shè)備。

二是防范黑客逆向及越權(quán)攻擊。通過(guò)分析軟件、操作系統(tǒng)特征、設(shè)備調(diào)試及外設(shè)特征、設(shè)備運(yùn)動(dòng)特征，發(fā)現(xiàn)黑客逆向分析及攻擊設(shè)備，進(jìn)行情報(bào)分析及阻斷，從源頭阻斷黑產(chǎn)鏈。

三是“薅羊毛”營(yíng)銷防欺詐防護(hù)。通過(guò)“薅羊毛”風(fēng)險(xiǎn)設(shè)備識(shí)別、風(fēng)險(xiǎn)客戶識(shí)別、風(fēng)險(xiǎn)操作識(shí)別、團(tuán)伙及社區(qū)識(shí)別，發(fā)現(xiàn)和阻斷“薅羊毛”行為。

四是黑產(chǎn)成果輸出、同業(yè)共享。在保障隱私數(shù)據(jù)安全前提下，通過(guò)監(jiān)管態(tài)勢(shì)感知共享平臺(tái)進(jìn)行情報(bào)共享，將風(fēng)險(xiǎn)分析能力進(jìn)行輸出，助力提升行業(yè)風(fēng)險(xiǎn)防范能力。

平臺(tái)自上線以來(lái)，在識(shí)別生物特征識(shí)別攻擊、黑客攻擊、薅羊毛行為等方面成效顯著，挽回了大量的客戶資金損失，實(shí)踐效果良好。

? 典型案例4：微信支付打擊電信網(wǎng)絡(luò)詐騙成果

騰訊公司整合內(nèi)部多團(tuán)隊(duì)反詐技術(shù)能力打擊電信詐騙，在微信紅包、轉(zhuǎn)賬、面對(duì)面收款多場(chǎng)景中開展風(fēng)險(xiǎn)挖掘、精準(zhǔn)攔截、可疑交易分級(jí)處置，形成了一套覆蓋事前、事中、事后各環(huán)節(jié)的聚合風(fēng)控“組合拳”。主要措施包括：

一是推出微信支付“錢袋子守護(hù)計(jì)劃”。整合內(nèi)部多團(tuán)隊(duì)的反詐技術(shù)能力，成立反欺詐專項(xiàng)，推出“錢袋子守護(hù)計(jì)劃”：（1）聚合安全服務(wù)，覆蓋從以支付為主，到支付、收款、出入資等的全支付業(yè)務(wù)場(chǎng)景，不斷沉淀惡意挖掘模型，實(shí)現(xiàn)從交易到賬戶、從個(gè)人到團(tuán)伙、從單場(chǎng)景到全場(chǎng)景的資金風(fēng)險(xiǎn)的深度、全方位挖掘；（2）構(gòu)建了一套支付攔截策略模型，限制惡意支付，凍結(jié)被騙資金，減少用戶損失，同時(shí)通過(guò)數(shù)據(jù)訓(xùn)練不斷優(yōu)化機(jī)器自動(dòng)審核能力，持續(xù)提升審核和處置效率；（3）對(duì)欺詐的風(fēng)險(xiǎn)程度進(jìn)行綜合評(píng)估和風(fēng)險(xiǎn)分級(jí)；（4）開展大額詐騙專項(xiàng)治理、青少年詐騙專項(xiàng)治理，對(duì)被騙青少年開展用戶關(guān)懷計(jì)劃。

二是建設(shè)“騰訊衛(wèi)士”公益性綜合安全服務(wù)平臺(tái)。平臺(tái)以開放小程序形式鏈接海量用戶，提供報(bào)案指引、防騙大講堂、經(jīng)驗(yàn)分享、風(fēng)險(xiǎn)預(yù)警等反詐服務(wù)，一站式處理微信、QQ、公眾號(hào)等騰訊全業(yè)務(wù)場(chǎng)景的違法違規(guī)舉報(bào)，打造全民公共治理平臺(tái)；警企合作定期開展專項(xiàng)治理，形成騰訊衛(wèi)士分析挖掘、安全團(tuán)隊(duì)策略研判、助力警方刑事打擊的治理全鏈條，精準(zhǔn)打擊電信詐騙行為。

三是深化反詐宣傳，強(qiáng)化防騙意識(shí)。（1）制作反詐主題公益宣傳片，通過(guò)微信朋友圈公益廣告、公安部刑偵局、國(guó)家反詐中心等多個(gè)渠道投放宣傳；（2）聯(lián)合微信支付、微信安全中心、QQ、騰訊衛(wèi)士、騰訊手機(jī)管家等多渠道上線反詐專區(qū)。反詐宣傳總觸達(dá)用戶量超17億人次。

借助以上綜合措施，微信支付在打擊電信網(wǎng)絡(luò)詐騙方面取得了扎實(shí)成效，有力保護(hù)了用戶資金安全，并促進(jìn)了全民反詐意識(shí)的提升，實(shí)踐效果良好。

? 典型案例5：交通銀行買單吧在安全防護(hù)領(lǐng)域的應(yīng)用實(shí)踐

交通銀行在買單吧App建設(shè)中把信息安全放在首要位置，按照監(jiān)管要求持續(xù)強(qiáng)化App全生命周期安全管理，不斷提升信息安全水平，形成了多維立體的五層安全防護(hù)體系。

圖：買單吧App立體安全防護(hù)體系

在終端安全層面，交通銀行對(duì)終端進(jìn)行安全加固，防止二次打包、重簽名、惡意反編譯和代碼分析調(diào)試，并實(shí)時(shí)監(jiān)測(cè)和告警運(yùn)行環(huán)境風(fēng)險(xiǎn)，保護(hù)App運(yùn)行環(huán)境的安全。在業(yè)務(wù)安全層面，引入安全鍵盤技術(shù)，防截屏、錄屏以及屏幕共享等多項(xiàng)校驗(yàn)手段，進(jìn)行應(yīng)用安全防護(hù)；對(duì)高風(fēng)險(xiǎn)業(yè)務(wù)場(chǎng)景，增加數(shù)字證書、人臉識(shí)別等驗(yàn)證手段。在網(wǎng)關(guān)防護(hù)層面，規(guī)范對(duì)接標(biāo)準(zhǔn)，增加API授權(quán)認(rèn)證機(jī)制，實(shí)施防重放功能，防止短期內(nèi)大量惡意重放攻擊。在數(shù)據(jù)安全層面，實(shí)現(xiàn)數(shù)據(jù)防篡改、數(shù)據(jù)加密、密鑰安全交換，并通過(guò)國(guó)密算法進(jìn)行統(tǒng)一的數(shù)據(jù)加解密。在通信安全層面，采用Https/SSL的標(biāo)準(zhǔn)安全協(xié)議進(jìn)行數(shù)據(jù)傳輸，保護(hù)信道安全。

交通銀行制定第三方軟件安全管理規(guī)范，建立統(tǒng)一標(biāo)準(zhǔn)的引入流程，嚴(yán)格規(guī)范第三方軟件的引入。對(duì)提供方、引入方、安全管理方、運(yùn)行維護(hù)方、配置管理方等都提出安全管理要求。尤其對(duì)于引入的各類SDK，要求具備安全抗破解能力，滿足用戶隱私政策等監(jiān)管要求，以及兼容性和安全性等相關(guān)標(biāo)準(zhǔn)。要求提供方在提供和更新SDK前提供有效測(cè)試評(píng)估報(bào)告。對(duì)SDK在個(gè)人信息采集和用戶權(quán)限申請(qǐng)方面，要求做到符合隱私要求和數(shù)據(jù)上送要求。同時(shí)通過(guò)第三方安全檢測(cè)確保SDK的安全性及隱私合規(guī)性。

買單吧結(jié)合FIDO技術(shù)建立指紋登錄，采用移動(dòng)身份認(rèn)證與生物特征識(shí)別相結(jié)合，通過(guò)App內(nèi)置的指紋識(shí)別功能，做到指紋認(rèn)證。在App內(nèi)集成FDIO SDK，通過(guò)FIDO SDK結(jié)合硬件設(shè)備內(nèi)嵌的安全芯片，完成消息加密和身份鑒別流程，安全級(jí)別遠(yuǎn)遠(yuǎn)高于傳統(tǒng)安全認(rèn)證方式。

此外，買單吧不定期進(jìn)行掃描滲透測(cè)試，進(jìn)行漏洞評(píng)估、行為監(jiān)控和深度分析等多維度安全評(píng)測(cè)。檢測(cè)評(píng)估常態(tài)化，建立并不斷完善安全測(cè)試、評(píng)估規(guī)范和機(jī)制，逐步形成規(guī)范化的安全測(cè)試和評(píng)估體系。

? 典型案例6：北京銀行“京行企業(yè)銀行”App健全移動(dòng)金融安全體系

1. 移動(dòng)客戶端安全性

“京行企業(yè)銀行”App客戶端采用業(yè)界領(lǐng)先的加固技術(shù)，獲得CNCERT認(rèn)證，實(shí)現(xiàn)反編譯與反匯編保護(hù)、客戶端防篡改保護(hù)、客戶端防注入保護(hù)、客戶端反調(diào)試保護(hù)、客戶端本地?cái)?shù)據(jù)與資源文件加密保護(hù)、SO庫(kù)綁定保護(hù)、運(yùn)行時(shí)環(huán)境檢測(cè)技術(shù)等，有效提升App運(yùn)行安全。

同時(shí)應(yīng)用代碼混淆工具，采用主流編譯器技術(shù)，通過(guò)控制流扁平化、虛假控制流、控制流間接化、等效轉(zhuǎn)換指令、字符串加密、分裂基本塊等混淆方式，實(shí)現(xiàn)IPA混淆保護(hù)功能，強(qiáng)化移動(dòng)金融的安全環(huán)境。

在客戶端SDK的管理上，采用移動(dòng)安全服務(wù)和技術(shù)的綜合安全解決方案，涵蓋病毒掃描、網(wǎng)址檢測(cè)、短信攔截、號(hào)碼識(shí)別、垃圾清理、流量校準(zhǔn)、偽基站、WiFi檢測(cè)等功能，能全方位消除移動(dòng)風(fēng)險(xiǎn)，深度保障用戶的安全體驗(yàn)。

在客戶端加密保護(hù)方面，采用國(guó)家密碼局制定的標(biāo)準(zhǔn)國(guó)產(chǎn)密碼算法，對(duì)App數(shù)據(jù)進(jìn)行加密傳輸，在應(yīng)用方面具有較高的安全性，在技術(shù)方面具有高度保密性，有效保障金融數(shù)據(jù)的信息安全。

2. 移動(dòng)支付安全性

北京銀行始終關(guān)注移動(dòng)金融的安全性，與權(quán)威數(shù)字認(rèn)證機(jī)構(gòu)合作，采用密碼盾物理加密設(shè)備與手機(jī)盾軟證書相結(jié)合的方式，能夠兼顧企業(yè)日常小額高頻結(jié)算、大額資金安全結(jié)算等需求，在支付安全性與支付便捷性尋求平衡點(diǎn)。

密碼盾主要解決大額低頻結(jié)算，采用藍(lán)牙KEY的數(shù)字證書存儲(chǔ)方式，通過(guò)藍(lán)牙將密碼盾與移動(dòng)設(shè)備連接，實(shí)現(xiàn)用戶身份識(shí)別和數(shù)字認(rèn)證的交互過(guò)程，保障移動(dòng)端支付安全，是現(xiàn)階段最優(yōu)的移動(dòng)支付安全認(rèn)證策略。

手機(jī)盾解決小額高頻結(jié)算，應(yīng)用TEE+SE和密鑰分散、協(xié)同簽名等移動(dòng)終端數(shù)字證書技術(shù)，基于可信任執(zhí)行環(huán)境（TEE）與安全模塊（SE）相結(jié)合的應(yīng)用技術(shù)，克服硬件設(shè)備在移動(dòng)端安全部署的弊端，擺脫物理硬件困擾，保證數(shù)字證書私鑰的使用安全和用戶使用環(huán)境的可信性，提升移動(dòng)端支付安全認(rèn)證效率。

本文轉(zhuǎn)載目的在于知識(shí)分享，版權(quán)歸原作者和原刊所有。如有侵權(quán)，請(qǐng)及時(shí)聯(lián)系我們刪除。