构建智慧安全体系助力金融科技创新

科技创新必然带来新的风险，当前商业银行金融科技创新步伐持续加快，系统的复杂性、用户的多样性、应用环境的差异性对网络安全提出了更高的要求。面对这些挑战，建设银行将持续优化智慧安全体系，不断提升安全服务和保障能力。

中国建设银行信息技术管理部总经理 金磐石

　　科技是现代金融的核心竞争力。近年来， 互联网、大数据、云计算、人工智能、生物特征识别等前沿技术与现代金融业务有机结合，迸发出强大的创新活力，移动金融、电子支付、网络信贷、智慧银行等金融科技应用不断涌现，显著提升金融服务效率、降低服务成本，深刻改变了人们的生产生活方式。全天候、多渠道的金融科技在带给客户方便快捷体验的同时，也给不法分子作案提供了便利条件，黑客攻击、网络诈骗等安全风险越来越突出，各类安全事件层出不穷。面对金融科技蓬勃发展大潮，建设银行坚持科技创新和网络安全同步发展，明确自身战略定位和发展重点，深入分析金融科技创新趋势下面临的网络安全问题，探究问题根源，构建了智慧型、主动式安全防护体系，为金融科技创新保驾护航。

一、金融科技的机遇与网络安全挑战

　　金融科技给银行带来三大发展机遇。一是科技与金融紧密结合，大大拓宽了客户服务范围。以建设银行“小微快贷”为例，对于小企业，传统的信贷调查方式，成本效益不成比例，但金融科技的发展改变了这种局面，通过搭建互联网平台，利用大数据技术，对小企业交易信息及社会化信息进行在线分析，能准确识别客户并判断客户信用情况、在线审批和发放贷款。二是提供了更为丰富灵活的服务方式。移动互联网、微信等渠道，使得实时为客户服务成为现实，以建设银行为例，手机银行已服务超过2.4 亿客户，网银支付、账号支付、快捷支付、扫码支付、云闪付等构成完善的支付产品体系， 能够充分满足客户在不同应用场景、不同风险偏好下的产品选择。大数据、人工智能技术的应用，可根据客户行为偏好，为客户组合定制产品，让每个客户都能体验到VIP 级“贴心”服务。三是有力支撑银行经营转型。目前建设银行已累计投放智慧柜员机近6 万台，可“一站式”为用户提供两百余项常用业务办理功能，柜面业务迁移率达81%，释放了数万名前台柜员，为员工走出柜台参与营销奠定了基础。

　　然而，金融科技的广泛应用，既带动互联网经济快速发展，也催动黑客产业不断壮大，以盗取资金为目的的常规攻击不断衍变，高级持续威胁(APT)、病毒木马等攻击手段花样翻新，使得金融科技面临严峻安全挑战。一是网络攻击影响越来越大。2016 年2 月，孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭到不法分子攻击，失窃8100 万美元，不法分子收集信息、入侵、盗取资金、洗钱等手法非常专业。2016 年7 月，不法分子攻击台湾某银行自助渠道系统，远程控制ATM 设备自动吐钞，60 小时内狂扫7000 万元新台币现金。2017 年5 月12 日晚，全球大规模爆发“永恒之蓝” 勒索蠕虫病毒，中毒机器的磁盘文件被加密，只有支付赎金才能解密恢复，100 多个国家和地区的几十万台电脑遭受攻击。二是网络数据泄露愈演愈烈，随着互联网用户与银行客户信息的“大同”，特别是邮箱、微博等密码与网银密码一致，任何一家互联网平台出现客户信息泄露，都可能被不法分子用来进行关联分析，进而利用这些信息实施欺诈或暴力猜解客户网银密码，威胁银行客户资金安全。三是有组织的电信网络诈骗越来越专业。当前电信网络诈骗已经成为社会公害，且从广撒网式的“盲骗”转向“精准诈骗”，呈现跨渠道、长期潜伏、专业剧本化趋势。据报道，网络电信诈骗已形成完整的黑色产业链，网络诈骗从业人数超过160 万人，诈骗“年产值”高达上千亿元。要确保金融科技的平稳健康发展，必须妥善解决好网络安全的问题。

二、智慧安全保障体系建设思路

　　基于对金融科技“全渠道、普惠、智慧”特点的深入分析和网络安全形势的清醒判断，总结金融安全发展趋势集中在三个方面：一是移动互联网金融的发展将十分重视用户体验，安全与用户体验的平衡是未来趋势。二是电子渠道威胁将愈演愈烈，跨渠道的攻击将是未来趋势，企业级、全渠道的安全策略动态快速调整势在必行。三是单纯的安全产品已不足以应对威胁，灵活可定制的安全服务才是未来的发展趋势。为此，建设银行依托新一代核心系统建设的契机，从安全架构顶层设计入手，充分结合金融科技应用场景，坚持安全与用户体验并重，树立并践行“安全即服务”理念，充分运用威胁情报、大数据挖掘、智能风控等技术，建立纵深“多层水闸式”的防控体系，可实时、动态调整安全防护策略， 做到信息安全智慧防控。具体建设中遵循如下原则。

　　1. 降低业务风险

　　建设“灵活、可配置”的安全服务，全面支撑业务未来创新和快速发展需要，减少新型业务产品安全风险。以电子渠道交易风险为切入点，加强风险监控，在客户交易行为、客户属性、商户属性等方面明确防控规则，保障资金交易安全。以推进信息资产集中管控为突破点，解决客户敏感信息泄露风险，全面提升数据安全管控能力，实现数据安全管理的全生命周期覆盖，保障客户信息资产安全。

　　2. 提升用户体验

　　以客户为中心，实现透明、一站式的用户登录服务，提高用户体验和黏度。平衡安全与用户体验，以客户风险等级为基础采取针对性的安全防护措施，提供差异化的安全服务。平衡安全与服务效率，保证业务服务高效的同时提供完备适当的安全服务，实现风险控制与业务发展价值最大化。

　　3. 强化企业级架构管控

　　通过制定完备、有效、精细、流程清晰的安全策略管理机制，强化企业级安全管控能力。针对客户、渠道、产品制定安全策略，明确各种业务场景的安全模式。建设统一、标准、独立的安全架构技术组件，集中为上层应用提供完备的安全服务。

三、智慧安全保障体系建设成果

　　1. 构建SECaaS 基础平台，将安全智慧融入信息系统

　　基于“安全即服务(SECaaS)”的设计理念，建设银行构建了SECaaS 安全基础平台。该平台采用面向服务架构、云计算、组件化、可视化开发等技术，将安全功能从应用中解耦，实现安全功能的组件化、标准化和参数化，形成以客户认证、密码服务、安全监控、安全策略管理等7 个安全组件为核心，以290 余个安全服务为代表的“安全功能库”。所有安全功能由策略管理中心动态调配，可依据所面临的风险，智能匹配适用的安全策略，启动相应的安全功能，从而灵活应对已知和未知威胁带来的风险。以加密服务为例，应用组件只需调用一个加密的服务功能，即可用加密组件进行数据加密。后台复杂的安全逻辑，包括采用何种算法，如何协商、生成、更新和交换密钥等，都被安全服务封装起来。更形象地说，表面上看业务应用就是用了加密服务去加密一条数据，但后台其实已经实现了国密算法的选择和改造以及复杂的密钥管理过程。因为是以服务的方式提供安全功能，业务应用可专注业务功能开发，无需关注安全服务的具体实现方式。

　　SECaaS 安全技术基础平台有力支撑了建设银行信息系统的安全运行，目前客户认证服务认证交易量日均4000 万笔，密钥管理服务交易日均21 万笔，安全监控服务日均采集日志2600 万笔，交易日志处理日均1440 万笔，安全策略管理中心日均交易5 万笔，高峰期最高可达12 万笔。

　　2. 建立智慧型、主动式交易风控体系，保障客户资金安全

　　依托SECaaS 安全平台，建设银行实现了网上交易风险管控由传统的被动式应对到主动式防控的转变，建立了智能化网络风险防控体系。首先通过对各个渠道的历史交易数据、历史安全事件和互联网上发生的信息泄露事件进行梳理分析和数据搜集、挖掘，形成客户账户分级模型;然后将账户分级模型加载到安全策略管理中心，由安全策略管理中心根据账户分级动态调整各个安全服务，同时配合安全监控组件对各个渠道的业务交易进行全方位、全流程的交易监控，基于差异化的交易风险安全策略库，运用智能的关联分析、风险估值等手段，预警交易中的潜在风险，并联动自动化的应对机制和人工参与等处置措施，完成风险交易智能化处理，在风险交易尚未导致客户资金损失前进行处置，做到“事中”控制风险。近三年，建设银行智能风控体系主动识别、拦截和处置网络金融渠道风险交易累计近10 万笔，避免客户资金损失近7 亿元， 为打造网络安全交易环境、保障客户资金账务安全发挥了重要作用。

　　3. 积极应用安全新技术，以安全创新促金融创新

　　金融科技快速发展的同时，也涌现出越来越多的安全新技术。为不断丰富安全服务和功能，有力支持业务创新，建设银行持续开展手机盾、生物特征等安全新技术的研究与应用，并根据交易环境和风险评估情况实施智慧认证，进一步提升用户体验。

　　一是在业内率先与手机厂商合作进行手机盾的研究与应用，实现客户私钥在手机eSE 安全芯片中生成且不可导出，手机提供的TEE 可信环境独占手机显示屏，智能反显交易签名，确保所见即所签，达到与二代网银盾同等的安全级别。同时，客户开通手机盾无需到网点，在线即可完成签约和激活，而且存放于手机芯片中，无需额外硬件，大大提高了易用性。

　　二是积极开展生物特征识别技术的研究，先后完成指纹、声纹、人脸等识别技术的应用与投产，其中手机银行指纹认证在2.4 亿手机银行客户中全面推广，人脸识别在全国10 万台ATM 设备上支持刷脸取款，手机银行声纹认证近100 万客户主动开启使用。

　　三是基于丰富的认证措施及各认证措施易用性情况，推出智慧认证服务功能。根据客户的交易位置、交易设备、交易金额等要素对当前的交易风险进行评估，对于高风险交易增加认证措施，对于中风险交易保持认证措施，对于低风险交易减免认证措施，在提升用户体验的同时，防控交易风险。

四、未来工作展望

　　科技创新必然带来新的风险，当前商业银行金融科技创新步伐持续加快，系统的复杂性、用户的多样性、应用环境的差异性对网络安全提出了更高的要求。面对这些挑战，建设银行将持续优化智慧安全体系，不断提升安全服务和保障能力。

　　一是持续提升主动智慧风控能力。探索建立基于大数据和人工智能技术的主动式安全态势感知模型，深入挖掘冒用他人开立账户、贩卖银行卡等行为，提前、主动发现和应对安全威胁。持续完善风控大脑，精准判别账户所有者，基于历史数据对账户所有者建立立体化的识别方式，让账户后台根据账户、设备、位置、行为、关系以及偏好等形成一个具有判断力、识别力的大脑，确保只有合法用户使用才可以生效，攻击者即便获取了密码等信息也无法实施资金盗窃，实现更加智能灵活的安全防护。

        二是进一步完善金融安全生态圈。互联网环境下，每个企业都不能独善其身，必须与外部机构形成合力，多措并举防控金融科技风险。建设银行将加大与公安机关、监管部门、电信运营商、银行同业及互联网公司之间的沟通协作，完善针对电信网络诈骗、伪基站、个人信息买卖、网络攻击等网络金融案件联合协查和快速响应机制，共筑金融科技创新安全防控生态圈。

（文章来源：《中国金融电脑》杂志）

扫码即可手机
阅读转发此文