AI時代,如何通過身份認證保障金融行業信息安全?
4月20日,美國知名銀行SunTrust Bank宣布,發現一名離職員工可能盜取了超過150萬名客戶的數據,包括姓名、住址、電話號碼和賬戶餘額等重要信息,並將其賣給了一個犯罪組織。
據路透社報道,這名前員工早在6-8周之前就已完成了客戶信息的下載。不法分子隨時都有可能利用這些信息進行欺詐活動。SunTrust Bank表示,會為客戶因欺詐而遭受的損失負責,同時,該機構正在主動通知這150多萬名客戶,並向所有客戶提供免費的身份保護服務。
這個事件表明,由於身份保護工作做得不到位,即使已經離職的員工,也能對金融機構的信息安全構成很大威脅。首先,由於管理人員沒有及時將離職員工的賬戶和對應的許可權刪除,導致前員工照樣能登錄相關係統;其次,員工也可能通過某種途徑獲知其他同事的賬號密碼,這樣即使自己的賬戶在離職後被刪除,也能登錄其他人的賬戶;再次,在經濟利益的驅使下,也不排除在職員工中有「內鬼」接應的可能。
多種風險因素威脅金融信息安全
由於金融數據涉及了巨大的經濟利益,而且包含大量的用戶個人隱私信息,所以成為很多不法分子眼中的肥羊,金融信息安全面臨著多種多樣的威脅。
對金融機構內部來說:人的因素,是信息安全最薄弱的環節,也就是前面提到的在職、離職員工的問題。目前,很多金融機構內部系統仍然用弱密碼登錄,導致身份被冒用的情況時有發生。而且,一旦出現問題,也很難進行安全追溯。
對用戶來說:黑客可以通過撞庫、木馬病毒、暴力破解,或通過釣魚網站、釣魚郵件冒充正規金融機構,輕鬆竊取賬號密碼信息,盜取賬戶資金。另外,很多互聯網金融應用為了充分整合外部資源,將API對外開放,很容易導致用戶數據被第三方公司掌握與使用。
錦佰安科技SecID解決方案
對於以上問題,錦佰安科技自主研發的SecID身份識別系統均可輕鬆解決,為金融行業提供安全、便捷的安全防護措施。
一、對金融機構員工,進行統一身份管理
賬號全生命周期管理:SecID身份識別管理後台支持單個及批量用戶的創建、修改、刪除等操作,並對用戶進行分組管理。為員工入職、崗位變動、離職等角色變更,提供一站式身份管理,避免因員工離職、許可權不明帶來的安全隱患。
安全審計,責任到人:SecID 身份識別管理後台的日誌包括管理員操作日誌,以及用戶登錄認證日誌,日誌中記錄了用戶、應用、操作時間、事件、安全設備等信息,方便安全審計和追溯,實現責任到人。
AI行為無感知身份識別,避免身份被冒用:金融機構員工通過SecID APP,確保只有本人才能執行相關操作。SecID能識別不同用戶操作手機的行為特徵差異,並依此進行精確的身份認證。
從原理上來講,SecID通過手機中的多個感測器,多維度、多規則地收集用戶日常登錄的操作行為和使用習慣,然後利用卷積神經網路、循環神經網路、貝葉斯網路等方法,對這些特徵進行持續深度學習,為每個用戶單獨建立識別模型,並與用戶本人進行相似度匹配,即可對用戶身份進行身份確認。而且,整個身份認證過程都是在用戶無感知狀態下完成的,完全不用改變用戶操作習慣。
通過這些核心技術,SecID即可精確辨別當前操作者是否為用戶本人,從而避免了身份被冒用的可能。
二、對C端用戶,AI行為識別精確分辨本人
在相關的金融類APP上應用SecID AI行為無感知身份識別技術之後,同樣能夠在用戶執行註冊、登錄、支付、轉賬等敏感操作時,通過其在手機上的操作行為來判斷身份。
用戶在手機端使用場景:登錄、支付、關鍵操作
因為每個人的行為特徵都存在明顯差異,所以即使密碼被泄露,也能保證賬號安全,杜絕了弱口令、密碼泄漏、撞庫、釣魚、暴力破解等惡意攻擊。
結語
安全,是金融信息系統的生命。隨著金融行業信息化程度的不斷提高,信息安全保障工作的難度也隨之持續增大。在人工智慧時代,基於AI的行為無感知身份識別是大勢所趨。作為國內領先的身份識別綜合解決方案提供商,錦佰安科技將會進一步深耕金融行業的身份識別需求,為金融信息安全構築堅實的後盾。
TAG:SecID錦佰安科技 |