FinTech時代，金融機構如何保障業務安全？

移動支付、線上轉賬、智能投顧、網上辦卡……如今只能讓你現場排隊等號的銀行已經成為過去，越來越多的銀行都在積極進行革新，不斷將金融業務電子化，增加對網銀及手機客戶端的投入，以機器代替人工，使得在線上或掌上辦理各種諸如存款、理財、外匯、黃金等的傳統業務更為便利。

FinTech時代，許多金融機構已經主動運用新技術應對金融行業的新挑戰，但是由於發展速度過快，金融科技落地過程中的很多環節仍然存在一些不足，其中尤為值得關注的，就是金融科技帶來的全新業務安全問題。

FinTech時代「危」與「機」同行

Fintech在金融生態中不斷擴張，不斷推出新的應用和平台。銀行、保險、證券和基金公司等金融機構正將大量業務快速遷移到互聯網上，但在提供網上便利業務的同時，其亦面臨著嚴峻的新興交易欺詐與安全威脅的挑戰。撞庫、申請欺詐、盜用賬戶、用戶信息泄露、欺詐交易等行為令金融機構遭受巨大的業務風險及商譽損害。

總體來說，金融科技時代的業務安全風險主要集中在以下三個方面：

一、由業務交叉帶來的賬戶安全問題

金融科技促使跨市場、跨行業、跨機構的金融業務相互交叉嵌套，而過去「一套賬戶密碼應用於多個業務系統」的用戶習慣，不僅給用戶自身賬戶安全帶來隱患，也給金融機構的賬戶保護與身份識別增加了挑戰。近年來銀行卡被盜刷的新聞屢見不鮮，不法分子通過撞庫獲取用戶賬戶、密碼及簡訊驗證碼，可以遠程盜取用戶的銀行賬戶資金。

二、不斷創新推出的業務類型導致業務欺詐風險不斷增大

當下更多傳統金融業務依託互聯網展開，網路直銷銀行、微信銀行等新興模式已成為各銀行搶佔機遇的利器。然而新模式下持續推出的線上營銷活動卻讓「羊毛黨「有機可乘。某銀行為用戶準備的4000份總價值近百萬元的實體贈品，在活動上線的一分鐘內即被羊毛黨一搶而光，致使市場促銷效果大打折扣， 造成巨大經濟損失。

三、數據安全保護難度增大

2017年6月頒布的《網路安全法》圍繞「以數據為中心的安全」做了廣泛而具體的規定。根據相關報告，數據泄漏所涉及的行業之中，金融行業首當其衝，24%的數據泄漏事件與金融機構有關。因此對於金融機構而言，如何防止爬蟲爬取客戶個人信息及其保單、賬單等數據信息，已經成為金融機構的重要課題。

安全是金融機構的永恆課題，但目前金融機構對金融科技大潮下的新興安全風險防護卻略顯力不從心。那麼問題來了，如何才能保障FinTech時代下的金融業務安全？

「動態安全」為三大金融業務場景「以動化危」

新的金融安全問題需要用新的思路來化解。瑞數信息提出的「動態安全」新思路可以出色地解決傳統安全產品難以防禦的業務安全問題，對金融機構的業務安全實現更高水準的防護。

以下將通過三個造成巨大經濟損失的典型場景及防護效果，分享瑞數動態安全助力銀行實現業務防護的具體案例。

1、客戶賬戶安全 - 防撞庫

作為一家網點遍布全國，擁有超過3億個交易賬戶，資產總額近10萬億人民幣的大型銀行，一旦有攻擊者利用自動化程序實施登陸嘗試，盜取合法賬號，後果將不堪設想。瑞數機器人防火牆Botgate對此進行全面動態防護，識別出44%的流量為自動化工具發起的撞庫攻擊請求，並進行攔截，使得該銀行異常請求比例在一天內迅速下降，降至3%，高效保障了賬戶安全。

2、信用卡欺詐申請 - 防批量虛假申請

當今金融業務之中，真實用戶與虛假用戶共存，主動註冊與工具註冊同在。某銀行在開通網路直銷銀行業務的首日，即收到近十萬次信用卡申請，此類請求不僅會大大增加銀行人工審核成本，影響正常用戶申請的處理效率，而且一旦虛假信息被審核通過，即可能發生惡意欠款事件，帶來嚴重經濟損失。瑞數動態防禦系統發現，在提交開戶申請的記錄中，95.26%都被判定為機器人自動提交的虛假申請；經過有效過濾和阻攔，該銀行信用卡業務再未受到類似攻擊。

3、在線營銷安全 - 防薅羊毛

批量虛假申請會助長「養卡」的惡性風潮，為銀行日後各類優惠促銷活動中出沒的「羊毛黨「提供溫床，致使活動效果大打折扣。而經過瑞數動態安全的防護，該銀行一季度內的一元搶購、低價秒殺、免費電影票等優惠活動均順利進行，避免了因薅羊毛而產生的非法套現可能造成的100餘萬人民幣的損失；並且由於活動實惠能真正為用戶所享，客戶數量也不斷攀升，銀行客戶端用戶同時在線數量達到230萬，是前一年峰值的3倍，突破歷史最高峰值。

構建以「動態安全」為核心的主動防護新思路

不同於傳統防禦方式大多基於特徵庫、基於規則進行攻擊檢測和防禦的靜態、被動特徵，瑞數信息致力於打造一個主動防禦系統，以動態封裝、動態驗證、動態混淆、動態令牌四大動態安全技術為支撐，從以下四個維度實現從用戶端到伺服器端的全方位「主動防護」。

一、動態主動防禦 - 做好風控前置

瑞數的動態安全技術可以通過主動防禦來預測未知攻擊，幫助金融機構提前做好防護，應對業務欺詐威脅，充分實現「風控前置」。

一方面，瑞數利用動態封裝、動態混淆技術，隱藏攻擊入口，阻止針對性攻擊。瑞數「動態安全」對伺服器網頁底層代碼進行封裝加密，並對客戶端輸入、提交的敏感數據內容進行混淆變化，從而在伺服器與客戶端之間實現持續的雙向動態加密，既隱藏了頁面漏洞、大幅增加攻擊難度，也增加了伺服器行為的不可預測性。攻擊者無法分析頁面，就無法找到用戶填寫賬號、密碼、手機號等身份信息的對應錄入口徑，也就無法獲取用戶信息進行下一步惡意操作。

另一方面，瑞數利用動態驗證、動態令牌技術，對攻擊來源進行人機識別，將自動化攻擊拒之門外。許多黑客會利用自動化工具批量開戶、批量申請信用卡，由於這些惡意請求並無明顯特徵，常常以多IP源和低頻方式進行，因此很難判定是正常來源還是異常攻擊。瑞數「動態安全」通過對客戶端環境與操作行為進行驗證，嚴密檢查運行環境、瀏覽器指紋、疑似攻擊行為等因素，防止惡意終端訪問，並以一次性的頁面動態令牌為標誌，確保業務邏輯的正確執行，實現對自動化工具的動態識別，有效驗證訪問網頁的客戶端是「人」還是「自動化工具「，從而過濾大量的自動化攻擊噪音。

二、全程態勢感知 - 阻斷惡意攻擊

通過終端指紋採集、業務邏輯感知、操作行為感知以及陷阱異常捕獲等技術，可對交易全程感知威脅態勢，動態採集非法終端應用、模擬合法操作、逆向破解及終端惡意代碼注入等各類終端安全威脅，並對其進行分析判斷，將惡意行為拒之門外。

三、協同智能響應 – 牽制攻擊行為

瑞數的動態防禦解決方案可以對潛在的業務風險進行威脅取證，提供可視化分析和報告，並可與其它安全系統進行動態聯動，形成自動化協同響應體系，智能攔截威脅，從而有效縮短響應時間，快速牽制惡意攻擊行為。

四、動態威脅預測 – 形成防護閉環

瑞數動態安全解決方案結合了大數據和機器學習演算法，基於本地威脅態勢、全球風險情報和第三方數據源，建立欺詐風險情報資料庫，讓用戶知悉惡意攻擊來源及動向；及時告警人為與自動化攻擊，並發現潛在的攻擊行為。同時根據動態趨勢預測的結果，即時應對來自各方的安全威脅，調整防護策略，形成防護閉環。

正是通過上述四個維度的主動防護，瑞數信息的「動態安全」解決方案在中國為大量金融機構的業務安全運營保駕護航。據統計，如今瑞數的解決方案每天可攔截超過6億次在線欺詐行為，保護5億多個賬戶和上萬億的交易額。

FinTech時代的科技變革，對金融行業的商業模式帶來顛覆性改變。正因如此，金融安全問題要運用更高的技術手段和更新的安全思路來解決。瑞數的「動態安全」技術可以幫助金融機構主動應對繞過現有安全防禦機制的新興威脅，保護在線交易、網站和數據的安全。我們看到，瑞數信息所代表的不僅是高效的安全體系，更是一種與時俱進的創新探索精神，在金融科技時代，繪製出安全防護的新藍圖。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！