隨著移動金融服務的快速發展，移動金融App逐漸成為人們生活和工作中不可或缺的組成部分。移動金融App在為金融消費者提供便捷金融服務的同時，其自身的安全性也日益引起社會關注。金融安全關乎國家安全，防范風險是金融業的永恒主題，加強移動金融App的安全防護已經成為推動金融創新、促進普惠民生的重要任務和先決條件。

黨中央、國務院高度重視移動互聯網安全。習近平總書記指出，沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行。近年來我國相繼頒布《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《網絡安全審查辦法》等法律法規，為網絡安全和信息化建設提供了堅實的法律保障。中國人民銀行從政治安全的高度認識防范化解金融風險的極端重要性，統籌金融發展和安全，守住了不發生系統性金融風險的底線；牽頭打好防范化解重大金融風險攻堅戰，取得了重要的階段性成果，重點領域的風險得到穩妥處置，金融風險整體收斂、總體可控。

近年來金融行業出臺相關標準規范，持續加強移動金融App安全管理。《中國人民銀行關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》要求金融機構加強客戶端軟件設計、開發、發布、維護等環節的安全管理，構建覆蓋全生命周期的管理機制，切實保障客戶端軟件安全。落實網絡安全主體責任，采取有效措施防范應對網絡攻擊，保障相關系統平穩安全運行。銀行、保險和證券等行業相繼出臺移動應用安全相關標準規范，為移動金融App的信息安全建設提供標準依據。

中國互聯網金融協會遵照中國人民銀行等國家金融管理部門的管理要求，組織開展了移動金融App的行業自律備案工作，指導金融機構加強終端安全、網絡安全、身份驗證、金融欺詐等方面的安全管理和風險防范，推動提升移動金融App安全防護和抗風險能力，持續為防范行業風險、推動行業安全發展發揮行業自律作用。

本次移動金融App創新實踐典型案例入圍名單中，多個創新實踐案例積極開展了移動金融App安全防護創新工作，覆蓋安全合規、風險監測、反欺詐等方面，達到了可借鑒、可復制、可推廣的效果。典型案例介紹如下：

? 典型案例1：中信手機銀行零售業務鏈式反欺詐智能風控體系實踐

當前金融行業出現新型誘導型詐騙手段，詐騙團伙通過騙局遠程誘導金融消費者自行操作金融App，套取客戶資金、誘導客戶貸款，對金融反欺詐帶來新的挑戰。中信銀行整合內外部資源，采用組織、制度和技術綜合手段，創新建立起以客戶為中心的零售業務鏈式反欺詐智能風控體系，實現對此類欺詐事件的精準防控。主要措施有：

一是完善風險決策內鏈。秉持動態調整、分級管控的理念，打通多渠道、多場景、客戶賬戶層級的壁壘，結合業務安全組件的部署及應用，實現跨渠道、跨業務感知客戶操作風險，以鏈式防控代替單一場景防控。

二是建立信息共享外鏈。在保護個人信息前提下，拓展與反詐中心、騰訊和移動等機構合作，通過聯邦學習等機器學習技術構建誘導型反詐模型，補全信息鏈路，將“反詐防火墻”前置到客戶受騙的初始階段。

三是構建風險處置協同鏈。通過實時通報可疑欺詐交易并管控賬戶，實現“總行通報、分行下發、支行核實”三級快速聯動處置，并與屬地反詐中心、派出所聯動配合，力爭阻攔每一筆誘導欺詐交易，不僅保護客戶資金，而且增強客戶反詐意識。此外通過運營信息反饋持續優化風控體系，打造閉環的反欺詐運營體系。

圖：中信銀行零售業務反欺詐運營體系

自2021年5月至今，中信銀行依托應用鏈式反欺詐智能風控體系累計保護客戶302人，攔截資金6402萬元，取得了良好的反欺詐效果。

? 典型案例2：翼支付智能風險監控平臺

針對支付用戶電信詐騙風險，天翼電子商務有限公司基于大數據計算能力、實時清洗能力、流式計算能力、決策管理平臺等底層能力，結合自研異常檢測、風險時序、虛假證照、知識圖譜等AI技術，為反欺詐、反套利業務場景提供精準高效的風險識別能力和實時風險攔截能力，實現立體式的風險感知、可信認證、風險識別、智能決策和自動學習的閉環監控。主要措施有：

一是AI全面賦能反詐，構建反詐大腦。包括事前反詐甄別：通過自研深度學習證件鑒偽能力體系（視覺反詐RiskImage），在商戶使用翼支付App進行進件時，對資質內容進行反詐甄別，防范虛假賬戶實名認證問題；事中異常行為識別：對用戶行為軌跡進行時序建模（深度時序模型RiskSeq），實現了反詐技術從獨立多時點向時序生命周期的思考轉變。

二是“信息流+資金流”的融合反詐，發揮差異化金融反詐優勢。基于自身資金流數據構建了大規模領域知識圖譜，覆蓋充值、轉賬、消費、提現等主要的資金流關系，營銷活動的助力關系和推薦關系，設備登錄、IP關聯等關系場景。

三是基于“業務流+決策流”的高性能實時決策平臺建設。自研基于內存的高性能流式決策編排引擎，具備高性能實時決策能力同時還支持模型人員設定資源一鍵部署各類模型（機器學習模型、深度學習模型）到生產環境，并且具備服務調用監控、限流、灰度發布、橫向擴容的功能，在面向突發事件時支持免疫、熔斷等特殊場景功能。

圖：翼支付智能風險監控平臺自動化決策流程

翼支付智能風險監控平臺助力翼支付實施金融反詐，保障用戶資金安全，助力翼支付反詐運營降本增效，并實現規模化推廣，提升行業反詐能力，取得了良好的實踐效果。

? 典型案例3：中國建設銀行為移動金融業務“E路護航”

建設銀行移動安全風險監測及防護平臺，是針對含App、小程序、web等平臺的移動終端渠道，與安全防護系統及業務系統聯動，利用多數據源進行風險挖掘分析、聚集分析及快速阻斷的智能安全防護平臺。平臺主要亮點有：

一是防御針對生物特征識別認證的攻擊。通過分析終端特征、用戶行為和異常使用數據，發現正在進行生物特征攻擊的風險終端設備，有效攔截及封禁的黑產風險用戶及設備。

二是防范黑客逆向及越權攻擊。通過分析軟件、操作系統特征、設備調試及外設特征、設備運動特征，發現黑客逆向分析及攻擊設備，進行情報分析及阻斷，從源頭阻斷黑產鏈。

三是“薅羊毛”營銷防欺詐防護。通過“薅羊毛”風險設備識別、風險客戶識別、風險操作識別、團伙及社區識別，發現和阻斷“薅羊毛”行為。

四是黑產成果輸出、同業共享。在保障隱私數據安全前提下，通過監管態勢感知共享平臺進行情報共享，將風險分析能力進行輸出，助力提升行業風險防范能力。

平臺自上線以來，在識別生物特征識別攻擊、黑客攻擊、薅羊毛行為等方面成效顯著，挽回了大量的客戶資金損失，實踐效果良好。

? 典型案例4：微信支付打擊電信網絡詐騙成果

騰訊公司整合內部多團隊反詐技術能力打擊電信詐騙，在微信紅包、轉賬、面對面收款多場景中開展風險挖掘、精準攔截、可疑交易分級處置，形成了一套覆蓋事前、事中、事后各環節的聚合風控“組合拳”。主要措施包括：

一是推出微信支付“錢袋子守護計劃”。整合內部多團隊的反詐技術能力，成立反欺詐專項，推出“錢袋子守護計劃”：（1）聚合安全服務，覆蓋從以支付為主，到支付、收款、出入資等的全支付業務場景，不斷沉淀惡意挖掘模型，實現從交易到賬戶、從個人到團伙、從單場景到全場景的資金風險的深度、全方位挖掘；（2）構建了一套支付攔截策略模型，限制惡意支付，凍結被騙資金，減少用戶損失，同時通過數據訓練不斷優化機器自動審核能力，持續提升審核和處置效率；（3）對欺詐的風險程度進行綜合評估和風險分級；（4）開展大額詐騙專項治理、青少年詐騙專項治理，對被騙青少年開展用戶關懷計劃。

二是建設“騰訊衛士”公益性綜合安全服務平臺。平臺以開放小程序形式鏈接海量用戶，提供報案指引、防騙大講堂、經驗分享、風險預警等反詐服務，一站式處理微信、QQ、公眾號等騰訊全業務場景的違法違規舉報，打造全民公共治理平臺；警企合作定期開展專項治理，形成騰訊衛士分析挖掘、安全團隊策略研判、助力警方刑事打擊的治理全鏈條，精準打擊電信詐騙行為。

三是深化反詐宣傳，強化防騙意識。（1）制作反詐主題公益宣傳片，通過微信朋友圈公益廣告、公安部刑偵局、國家反詐中心等多個渠道投放宣傳；（2）聯合微信支付、微信安全中心、QQ、騰訊衛士、騰訊手機管家等多渠道上線反詐專區。反詐宣傳總觸達用戶量超17億人次。

借助以上綜合措施，微信支付在打擊電信網絡詐騙方面取得了扎實成效，有力保護了用戶資金安全，并促進了全民反詐意識的提升，實踐效果良好。

? 典型案例5：交通銀行買單吧在安全防護領域的應用實踐

交通銀行在買單吧App建設中把信息安全放在首要位置，按照監管要求持續強化App全生命周期安全管理，不斷提升信息安全水平，形成了多維立體的五層安全防護體系。

圖：買單吧App立體安全防護體系

在終端安全層面，交通銀行對終端進行安全加固，防止二次打包、重簽名、惡意反編譯和代碼分析調試，并實時監測和告警運行環境風險，保護App運行環境的安全。在業務安全層面，引入安全鍵盤技術，防截屏、錄屏以及屏幕共享等多項校驗手段，進行應用安全防護；對高風險業務場景，增加數字證書、人臉識別等驗證手段。在網關防護層面，規范對接標準，增加API授權認證機制，實施防重放功能，防止短期內大量惡意重放攻擊。在數據安全層面，實現數據防篡改、數據加密、密鑰安全交換，并通過國密算法進行統一的數據加解密。在通信安全層面，采用Https/SSL的標準安全協議進行數據傳輸，保護信道安全。

交通銀行制定第三方軟件安全管理規范，建立統一標準的引入流程，嚴格規范第三方軟件的引入。對提供方、引入方、安全管理方、運行維護方、配置管理方等都提出安全管理要求。尤其對于引入的各類SDK，要求具備安全抗破解能力，滿足用戶隱私政策等監管要求，以及兼容性和安全性等相關標準。要求提供方在提供和更新SDK前提供有效測試評估報告。對SDK在個人信息采集和用戶權限申請方面，要求做到符合隱私要求和數據上送要求。同時通過第三方安全檢測確保SDK的安全性及隱私合規性。

買單吧結合FIDO技術建立指紋登錄，采用移動身份認證與生物特征識別相結合，通過App內置的指紋識別功能，做到指紋認證。在App內集成FDIO SDK，通過FIDO SDK結合硬件設備內嵌的安全芯片，完成消息加密和身份鑒別流程，安全級別遠遠高于傳統安全認證方式。

此外，買單吧不定期進行掃描滲透測試，進行漏洞評估、行為監控和深度分析等多維度安全評測。檢測評估常態化，建立并不斷完善安全測試、評估規范和機制，逐步形成規范化的安全測試和評估體系。

? 典型案例6：北京銀行“京行企業銀行”App健全移動金融安全體系

1. 移動客戶端安全性

“京行企業銀行”App客戶端采用業界領先的加固技術，獲得CNCERT認證，實現反編譯與反匯編保護、客戶端防篡改保護、客戶端防注入保護、客戶端反調試保護、客戶端本地數據與資源文件加密保護、SO庫綁定保護、運行時環境檢測技術等，有效提升App運行安全。

同時應用代碼混淆工具，采用主流編譯器技術，通過控制流扁平化、虛假控制流、控制流間接化、等效轉換指令、字符串加密、分裂基本塊等混淆方式，實現IPA混淆保護功能，強化移動金融的安全環境。

在客戶端SDK的管理上，采用移動安全服務和技術的綜合安全解決方案，涵蓋病毒掃描、網址檢測、短信攔截、號碼識別、垃圾清理、流量校準、偽基站、WiFi檢測等功能，能全方位消除移動風險，深度保障用戶的安全體驗。

在客戶端加密保護方面，采用國家密碼局制定的標準國產密碼算法，對App數據進行加密傳輸，在應用方面具有較高的安全性，在技術方面具有高度保密性，有效保障金融數據的信息安全。

2. 移動支付安全性

北京銀行始終關注移動金融的安全性，與權威數字認證機構合作，采用密碼盾物理加密設備與手機盾軟證書相結合的方式，能夠兼顧企業日常小額高頻結算、大額資金安全結算等需求，在支付安全性與支付便捷性尋求平衡點。

密碼盾主要解決大額低頻結算，采用藍牙KEY的數字證書存儲方式，通過藍牙將密碼盾與移動設備連接，實現用戶身份識別和數字認證的交互過程，保障移動端支付安全，是現階段最優的移動支付安全認證策略。

手機盾解決小額高頻結算，應用TEE+SE和密鑰分散、協同簽名等移動終端數字證書技術，基于可信任執行環境（TEE）與安全模塊（SE）相結合的應用技術，克服硬件設備在移動端安全部署的弊端，擺脫物理硬件困擾，保證數字證書私鑰的使用安全和用戶使用環境的可信性，提升移動端支付安全認證效率。

本文轉載目的在于知識分享，版權歸原作者和原刊所有。如有侵權，請及時聯系我們刪除。