AI時代，如何通過身份認證保障金融行業信息安全？

4月20日，美國知名銀行SunTrust Bank宣布，發現一名離職員工可能盜取了超過150萬名客戶的數據，包括姓名、住址、電話號碼和賬戶餘額等重要信息，並將其賣給了一個犯罪組織。

據路透社報道，這名前員工早在6-8周之前就已完成了客戶信息的下載。不法分子隨時都有可能利用這些信息進行欺詐活動。SunTrust Bank表示，會為客戶因欺詐而遭受的損失負責，同時，該機構正在主動通知這150多萬名客戶，並向所有客戶提供免費的身份保護服務。

這個事件表明，由於身份保護工作做得不到位，即使已經離職的員工，也能對金融機構的信息安全構成很大威脅。首先，由於管理人員沒有及時將離職員工的賬戶和對應的許可權刪除，導致前員工照樣能登錄相關係統；其次，員工也可能通過某種途徑獲知其他同事的賬號密碼，這樣即使自己的賬戶在離職後被刪除，也能登錄其他人的賬戶；再次，在經濟利益的驅使下，也不排除在職員工中有「內鬼」接應的可能。

多種風險因素威脅金融信息安全

由於金融數據涉及了巨大的經濟利益，而且包含大量的用戶個人隱私信息，所以成為很多不法分子眼中的肥羊，金融信息安全面臨著多種多樣的威脅。

對金融機構內部來說：人的因素，是信息安全最薄弱的環節，也就是前面提到的在職、離職員工的問題。目前，很多金融機構內部系統仍然用弱密碼登錄，導致身份被冒用的情況時有發生。而且，一旦出現問題，也很難進行安全追溯。

對用戶來說：黑客可以通過撞庫、木馬病毒、暴力破解，或通過釣魚網站、釣魚郵件冒充正規金融機構，輕鬆竊取賬號密碼信息，盜取賬戶資金。另外，很多互聯網金融應用為了充分整合外部資源，將API對外開放，很容易導致用戶數據被第三方公司掌握與使用。

錦佰安科技SecID解決方案

對於以上問題，錦佰安科技自主研發的SecID身份識別系統均可輕鬆解決，為金融行業提供安全、便捷的安全防護措施。

一、對金融機構員工，進行統一身份管理

賬號全生命周期管理：SecID身份識別管理後台支持單個及批量用戶的創建、修改、刪除等操作，並對用戶進行分組管理。為員工入職、崗位變動、離職等角色變更，提供一站式身份管理，避免因員工離職、許可權不明帶來的安全隱患。

安全審計，責任到人：SecID 身份識別管理後台的日誌包括管理員操作日誌，以及用戶登錄認證日誌，日誌中記錄了用戶、應用、操作時間、事件、安全設備等信息，方便安全審計和追溯，實現責任到人。

AI行為無感知身份識別，避免身份被冒用：金融機構員工通過SecID APP，確保只有本人才能執行相關操作。SecID能識別不同用戶操作手機的行為特徵差異，並依此進行精確的身份認證。

從原理上來講，SecID通過手機中的多個感測器，多維度、多規則地收集用戶日常登錄的操作行為和使用習慣，然後利用卷積神經網路、循環神經網路、貝葉斯網路等方法，對這些特徵進行持續深度學習，為每個用戶單獨建立識別模型，並與用戶本人進行相似度匹配，即可對用戶身份進行身份確認。而且，整個身份認證過程都是在用戶無感知狀態下完成的，完全不用改變用戶操作習慣。

通過這些核心技術，SecID即可精確辨別當前操作者是否為用戶本人，從而避免了身份被冒用的可能。

二、對C端用戶，AI行為識別精確分辨本人

在相關的金融類APP上應用SecID AI行為無感知身份識別技術之後，同樣能夠在用戶執行註冊、登錄、支付、轉賬等敏感操作時，通過其在手機上的操作行為來判斷身份。

用戶在手機端使用場景：登錄、支付、關鍵操作

因為每個人的行為特徵都存在明顯差異，所以即使密碼被泄露，也能保證賬號安全，杜絕了弱口令、密碼泄漏、撞庫、釣魚、暴力破解等惡意攻擊。

結語

安全，是金融信息系統的生命。隨著金融行業信息化程度的不斷提高，信息安全保障工作的難度也隨之持續增大。在人工智慧時代，基於AI的行為無感知身份識別是大勢所趨。作為國內領先的身份識別綜合解決方案提供商，錦佰安科技將會進一步深耕金融行業的身份識別需求，為金融信息安全構築堅實的後盾。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！