雷鋒網(wǎng)編者按：近年來，金融機構已然成為網(wǎng)絡攻擊的重災區(qū)，如堪比好萊塢大戲的“SWIFT驚天大劫案”、銀行行長出售征信查詢賬號的“521侵犯公民個人信息案”等。在12月1日由中治研和梆梆安全承辦的金融級應用安全研討會中，來自中國建設銀行廣州開發(fā)中心的廖敏飛，介紹了建行在移動安全建設方面的情況。雷鋒網(wǎng)在不改變原意的基礎上做了部分編輯，與讀者共饗。

以下為演講全文。

我的題目是“移動金融安全應用治理”。

演講分為四個部分，互聯(lián)網(wǎng)+金融級移動安全的監(jiān)管治理；智能的總控架構；應用實踐；創(chuàng)新展望。

金融級移動安全的監(jiān)管治理

在移動安全中，根據(jù)中國支付清算協(xié)會的報告，現(xiàn)在移動金融用戶最關心的問題是安全的隱患，包括電信詐騙，二維碼被偷，還有信息泄漏等，我們所做的移動安全的事情都是基于《中國金融業(yè)信息技術“十三五”發(fā)展規(guī)劃》，里面提出安全保障體系更加完善是我們的重點發(fā)展的目標。

其實大家都已經有一個感受，就是外面的用戶為什么會用到金融級的移動安全，是因為銀行代表了一個比較安全的形象，銀行的安全責任是非常重大的，如果有一點點的閃失就會導致客戶出現(xiàn)很大的資金還有信息的安全問題。

這邊是目標，我們是銀行，所以第一點肯定是保障客戶的資金安全，還有要保護客戶的信息安全，還有保障我們系統(tǒng)的安全運行。

其中有一些技術子目標和安全子目標要說一下，技術子目標比如說國產化，這個我相信大家也是折騰了好多年了；還有利用生物技術、人工智能進行安全防控，安全子目標例如全生命周期的數(shù)據(jù)保護，抵御網(wǎng)絡客戶端的攻擊，還有我們要精確地識別身份，都是需要做到的一個子目標。

建行在銀行類APP的活躍客戶量是排名第一的，活躍量超4000萬，我們服務領域率也是占第一位，是10.7。

第二個說一下移動安全的智能總控架構，這是總體的圖，根據(jù)事前防御、事中控制和事后防控，主要的目標是安全與體驗并重，這兩個都要。

要簡化事前，智慧事中和強化事后，這就是總體的內容，這是金融級移動端安全的防護體系。

基于軟件生命周期的整個流程，包括從數(shù)據(jù)分析到開發(fā)實施，到投產檢測，到安全運營，這里面的每一個環(huán)節(jié)都會涉及。例如現(xiàn)在看到的加殼、漏洞掃描、安全檢測等，其實都是分布在整個生命周期的每一個環(huán)節(jié)里面。

智能總控架構分為三大模塊，有一個終端的中央智能安全云服務作為中央大腦，有各個安全組件提供服務，有后臺進行監(jiān)控，通過這些來進行安全移動端的監(jiān)控。

特別說明一下，現(xiàn)在建行實施了新一代以后，所有服務都是以組件化提供，會有一個安全的組件專門提供給全渠道所有的系統(tǒng)去進行調用，提供服務和保護，所有移動安全里面的所有的APP，都是通過這個組件來進行統(tǒng)一的調度和服務的。

通過大數(shù)據(jù)分析，人工智能加上這些因素，是一個統(tǒng)一的平臺，進行處理以后，會反饋到相應的交易系統(tǒng)。

下面我就根據(jù)上面描述的一些目標、架構，說一下金融級應用安全的應用實踐，這些年來究竟做了什么樣的工作。

我們希望做到的目標是企業(yè)級的安全認證，就是剛才說的組件化，然后智慧認證，是大數(shù)據(jù)和人工智能的，一定是智慧的，客戶不需要自己去選擇，希望客戶能夠自動地感受到我們的安全服務，而且一定是便捷、安全的體驗。

這里面總共有三個核心環(huán)節(jié)，一個是身份識別的認證，一個是證書簽名，還有一個是監(jiān)測管理，這幾個要素，因為大家都是專家了，估計大家應該都知道我說的這些技術的核心環(huán)節(jié)是什么意思。

這里面我跟大家說一下在今年年底華為的發(fā)布會上推出了手機盾，這個產品填補了什么東西呢，就是移動端原來在簽名這塊是比較薄弱的，大家都知道，用一些短信的方式來保證安全，如果根據(jù)簽名法是需要有更強的一些認證手段，但是客戶體驗一直以來都是很嚴重的問題，客戶不想帶更多的硬件。

比如帶一個手機，其它東西丟到家里面不用了，所以我們就創(chuàng)新地推出了手機盾，這個SE的芯片全部植入到華為手機里面，我們直接調用，客戶只需要帶一臺手機就能夠完成簽名，它是無感的，對客戶來說基本上就是相當于普通的一些互聯(lián)網(wǎng)上的操作，就完事了，但是安全級別就達到了跟以前的盾一樣的安全級別。

這里面我挑了重點的跟大家說一下，全流程防控里面有智慧認證，生物技術識別，手機盾和大數(shù)據(jù)檢測平臺。

這是都已經落地并且已經準備往外推廣，或者已經推廣的一些技術。

智慧認證是什么意思呢，就是說其實這個東西在好多年前已經開始了，通過學習、挖掘數(shù)據(jù)以后，希望能夠自動地分析客戶的安全等級，對客戶進行一個標簽，然后對客戶的行為、數(shù)據(jù)進行分析。

導入引擎以后，希望能夠智能地判別它是否安全。所以在這個基礎之上，客戶有可能在某一些環(huán)節(jié)里面，作為一個安全的客戶是什么都不需要輸入就能夠做一些交易。但是在我們認為他有問題的情況下，會對個客戶有安全的架構措施，甚至我們會阻斷交易，讓人工去介入，進行核實和處理，這就是我們智慧認證核心的一個目標。

這套系統(tǒng)其實一直在完善，它是一個全流程的過程，有技術參與、有業(yè)務參與，各平臺全部參與以后才能達到目標，當然這還需要進一步地完善，但一直都是向這個目標去靠近。

在事前防控方面我們有手機盾和生物特征識別，生物特征這方面是這樣的，我們統(tǒng)一個生物技術的組件平臺，會把所有的生物技術都融入到一個平臺里面去，是企業(yè)級的，全行的全部的生物技術都是到這個平臺，現(xiàn)在有聲紋、虹膜、指紋、人臉，還有正在做的一些擊鍵行為，都是生物識別技術的其中一環(huán)。

有一個好處就是從單模態(tài)可以變成多模態(tài)。舉個例子，我可以通過人臉和虹膜的雙模態(tài)來進行認證，這有什么好處呢，因為人臉距離遠也可以識別，但是它的精度可能有問題；虹膜要求距離短才能識別，但它的精度很高，如果這兩者結合起來，利用兩個認證的各自的好處，就可以提升識別率。

與此同時，所有的算法都是可插拔式的，把它做到同一個平臺里面去，現(xiàn)在可以把很多的生物技術算法放在一個平臺里面進行處理。

我們做了一個調研，超過70%的用戶是接受生物技術進行移動身份識別，支付身份識別和加密認證的，它有安全、便捷、靈活的這幾個優(yōu)點，但建行認為生物技術由于它存在識別率的問題，算法有一些天然的問題，所以把它作為一個輔助安全手段，不是一個主手段，就必須得結合一些主手段來進行同時使用，我們才能使用這個生物技術的識別，或者再加上一些風控的措施。

這里面我給大家截屏的這都是我們已經上線的一些指紋、聲紋，還有人臉識別，都是在移動端，手機銀行和各種各樣的移動 APP 里面都已經開始使用了。這是我們所推的剛才我說的手機盾，這個手機盾的概念將來會擴展到很大的一個方面，它不光是一個手機上的問題，還有SE安全芯片，都是將來能夠使用的一個產品。

現(xiàn)在手機盾已經經過第三方的檢測，它的安全等級應該是相當于現(xiàn)在的二代盾。

這里提一下移動安全的監(jiān)測平臺，這也是一個獨立的平臺，這個平臺里面呢，把移動里面所有的數(shù)據(jù)、行為，包括各種各樣的數(shù)據(jù)都放到這個平臺里面去，然后進行一個學習還有分析、建模。這個平臺里面充分利用了大數(shù)據(jù)里面很多的技術，包括一些機器學習，包括實時分析，包括各種各樣的可視化的技術這些我們都會用到。

再提一點，這個所謂的移動監(jiān)測平臺并不是意味著我們只處理手機，實際上這個平臺是可以馬上拓展的，在做的過程之中我們已經預留了可穿戴設備還有物聯(lián)網(wǎng)，還有其它的各種各樣能夠采集的地方我們都已經預留了，通過這些所謂的泛指的移動端，把這些數(shù)據(jù)拿到我們的云里面去以后，就可以進行一個威脅識別監(jiān)測，各種各樣的智能風控的調節(jié)，還有攻擊的一些潛在工具的預警這些工作。

大家看看這個圖，就是現(xiàn)在正在使用的監(jiān)測平臺里面其中一個頁，可以對移動客戶端的安全，客戶的安全，客戶的交易安全進行一個監(jiān)控，這個平臺里面的數(shù)據(jù)是全行全渠道所有的移動APP和剛才我說的將來互聯(lián)網(wǎng)和設備全部的數(shù)據(jù)。

剛才說了一些安全上實踐的東西，下面想跟大家分享一下在金融級應用安全創(chuàng)新的展望，我們未來會構建以公有云共享安全服務生態(tài)，最主要的觀念就是共享，希望這些已經成熟的或者正在做的技術，能夠共享給第三方，嵌入到各個第三方的平臺、渠道，整合各種各樣的安全，這些技術上的能力，整合起來，形成一個統(tǒng)一的共享服務。    

希望將來身份認證是人工智能化，認證方式應該是無感的，希望客戶不需要攜帶任何東西，不需要按任何按鈕，不需要做任何動作就完成了認證，如果客戶不是我們所認為的安全客戶，會自動進行處理，這是最希望達到的結果。

我們也希望安全系統(tǒng)是人工智能化的，或者所有的東西都是智慧、智能、自動化的。

行長向我們提出的一個要求，就是安全與體驗并重，不能為了保安全就把體驗搞差了，不能把客戶趕跑了，剛才提到了我們的工作的目標就是無感，包括不要攜帶，不要影響客戶。包括剛才我說的人工智能化，其實這些東西都不是為了使用這些工具，是為了達到最后的目標，讓客戶感到安全的同時，一定要超簡操作，一定要便捷交易。

以上演講來自金融級應用安全研討會

演講者：中國建設銀行 廖敏飛

雷鋒網(wǎng)整理

雷峰網(wǎng)原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。