移动金融App创新实践典型案例专题介绍（安全防护手段专题）

2022年中国互联网金融协会（以下简称“协会”）移动金融App创新实践典型案例遴选结果已经出炉，共有25个案例入选。移动金融App的安全性正愈发成为公众关注的焦点，网络安全法、数据安全法等为网络安全和信息化建设提供了坚实的法律保障。中国人民银行统筹下，防范化解重大金融风险攻坚战取得了重要的阶段性成果。中国互联网金融协会指导金融机构加强终端安全、网络安全、身份验证、金融欺诈等方面的安全管理和风险防范，推动提升移动金融App安全防护和抗风险能力，持续为防范行业风险、推动行业安全发展发挥行业自律作用。

值得注意的是，本次移动金融App创新实践典型案例入围名单中，也有多个创新实践案例在安全合规、风险监测、反欺诈等方面行业领先。南方都市报联合协会继续推出移动金融App创新实践案例系列报道，本期围绕“安全防护”主题，通过6个入选创新案例来看金融机构如何落实网络安全主体责任，采取有效措施防范应对网络攻击，保障相关系统平稳安全运行。

中信手机银行：链式反欺诈智能风控体系精准防控新型诈骗

当前，金融行业出现新型诱导型诈骗手段，诈骗团伙通过骗局远程诱导金融消费者自行操作金融App，套取客户资金、诱导客户贷款，给金融反欺诈带来新的挑战。中信银行创新建立起以客户为中心的零售业务链式反欺诈智能风控体系，实现对此类欺诈事件的精准防控。

该体系完善了风险决策内链，结合业务安全组件的部署及应用，实现跨渠道、跨业务感知客户操作风险，以链式防控代替单一场景防控。同时，建立了信息共享外链，在保护个人信息前提下，拓展与反诈中心、腾讯和移动等机构合作，通过联邦学习等机器学习技术构建诱导型反诈模型，补全信息链路，将“反诈防火墙”前置到客户受骗的初始阶段。此外，还构建了风险处置协同链。通过实时通报可疑欺诈交易并管控账户，实现“总行通报、分行下发、支行核实”三级快速联动处置，并与属地反诈中心、派出所联动配合，力争阻拦每一笔诱导欺诈交易，不仅保护客户资金，而且增强客户反诈意识。

中信银行零售业务反欺诈运营体系

自2021年5月至今，中信银行依托应用链式反欺诈智能风控体系累计保护客户302人，拦截资金6402万元。

翼支付：AI赋能智能风险监控平台全流程反诈

针对支付用户电信诈骗风险，天翼电子商务有限公司基于大数据计算能力、实时清洗能力、流式计算能力、决策管理平台等底层能力，结合自研异常检测、风险时序、虚假证照、知识图谱等AI技术，为反欺诈、反套利业务场景提供精准高效的风险识别能力和实时风险拦截能力，实现立体式的风险感知、可信认证、风险识别、智能决策和自动学习的闭环监控。

翼支付智能风险监控平台通过AI技术赋能构建反诈大脑，包括事前反诈甄别、事中异常行为识别等。事前，通过自研深度学习证件鉴伪能力体系（视觉反诈RiskImage）在商户使用翼支付App进行进件时，对资质内容进行反诈甄别，防范虚假账户实名认证问题；事中对用户行为轨迹进行时序建模（深度时序模型RiskSeq），实现了反诈技术从独立多时点向时序生命周期的思考转变。

二是实现“信息流 资金流”的融合反诈，发挥差异化金融反诈优势。基于自身资金流数据构建了大规模领域知识图谱，覆盖充值、转账、消费、提现等主要的资金流关系，营销活动的助力关系和推荐关系，设备登录、IP关联等关系场景。

三是建设了基于“业务流 决策流”的高性能实时决策平台。自研基于内存的高性能流式决策编排引擎，具备高性能实时决策能力同时还支持模型人员设定资源一键部署各类模型（机器学习模型、深度学习模型）到生产环境，并且具备服务调用监控、限流、灰度发布、横向扩容的功能，在面向突发事件时支持免疫、熔断等特殊场景功能。

翼支付智能风控平台自动化决策流程

中国建设银行：“E路护航”风险监测及防护平台实现智能安全防护

建设银行打造的移动安全风险监测及防护平台与安全防护系统及业务系统联动，利用多数据源进行风险挖掘分析、聚集分析及快速阻断的智能安全防护平台。

一是防御针对生物特征识别认证的攻击。通过分析终端特征、用户行为和异常使用数据，发现正在进行生物特征攻击的风险终端设备，有效拦截及封禁的黑产风险用户及设备。

二是防范黑客逆向及越权攻击。通过分析软件、操作系统特征、设备调试及外设特征、设备运动特征，发现黑客逆向分析及攻击设备，进行情报分析及阻断，从源头阻断黑产链。

三是“薅羊毛”营销防欺诈防护。通过“薅羊毛”风险设备识别、风险客户识别、风险操作识别、团伙及社区识别，发现和阻断“薅羊毛”行为。

四是黑产成果输出、同业共享。在保障隐私数据安全前提下，通过监管态势感知共享平台进行情报共享，将风险分析能力进行输出，助力提升行业风险防范能力。

微信支付：打击电信网络诈骗的聚合风控“组合拳”

腾讯公司整合内部多团队反诈技术能力打击电信诈骗，在微信红包、转账、面对面收款多场景中开展风险挖掘、精准拦截、可疑交易分级处置，形成了一套覆盖事前、事中、事后各环节的聚合风控“组合拳”。

一是推出微信支付“钱袋子守护计划”。在聚合安全服务方面，不断沉淀恶意挖掘模型，实现从交易到账户、从个人到团伙、从单场景到全场景的资金风险的深度、全方位挖掘。构建了一套支付拦截策略模型，限制恶意支付，冻结被骗资金，减少用户损失，同时通过数据训练不断优化机器自动审核能力，持续提升审核和处置效率。同时，对欺诈的风险程度进行综合评估和风险分级；开展大额诈骗专项治理、青少年诈骗专项治理，对被骗青少年开展用户关怀计划等。

二是建设“腾讯卫士”公益性综合安全服务平台，面向用户提供报案指引、防骗大讲堂、经验分享、风险预警等反诈服务；同时警企合作定期开展专项治理，形成腾讯卫士分析挖掘、安全团队策略研判、助力警方刑事打击的治理全链条。

三是深化反诈宣传，强化防骗意识。制作反诈主题公益宣传片，联合微信支付、微信安全中心、QQ、腾讯卫士、腾讯手机管家等多渠道上线反诈专区等。反诈宣传总触达用户量超17亿人次。

交通银行买单吧：多维立体的五层安全防护体系

交通银行买单吧App形成了多维立体的五层安全防护体系。

买单吧App立体安全防护体系

在终端安全层面，交通银行对终端进行安全加固，防止二次打包、重签名、恶意反编译和代码分析调试，并实时监测和告警运行环境风险，保护App运行环境的安全。在业务安全层面，引入安全键盘技术，防截屏、录屏以及屏幕共享等多项校验手段，进行应用安全防护；对高风险业务场景，增加数字证书、人脸识别等验证手段。在网关防护层面，规范对接标准，增加API授权认证机制，实施防重放功能，防止短期内大量恶意重放攻击。在数据安全层面，实现数据防篡改、数据加密、密钥安全交换，并通过国密算法进行统一的数据加解密。在通信安全层面，采用Https/SSL的标准安全协议进行数据传输，保护信道安全。

值得一提的是，交通银行制定第三方软件安全管理规范，建立统一标准的引入流程，严格规范第三方软件的引入。对提供方、引入方、安全管理方、运行维护方、配置管理方等都提出安全管理要求。尤其对于引入的各类SDK，要求具备安全抗破解能力，满足用户隐私政策等监管要求，以及兼容性和安全性等相关标准。要求提供方在提供和更新SDK前提供有效测试评估报告。对SDK在个人信息采集和用户权限申请方面，要求做到符合隐私要求和数据上送要求。同时通过第三方安全检测确保SDK的安全性及隐私合规性。

北京银行：“京行企业银行”App健全移动金融安全体系

北京银行“京行企业银行”App采用的加固技术获得CNCERT认证，实现反编译与反汇编保护、客户端防篡改保护、客户端防注入保护、客户端反调试保护、客户端本地数据与资源文件加密保护、SO库绑定保护、运行时环境检测技术等，有效提升了App运行安全。

同时应用代码混淆工具，采用主流编译器技术，通过控制流扁平化、虚假控制流、控制流间接化、等效转换指令、字符串加密、分裂基本块等混淆方式，实现IPA混淆保护功能，强化移动金融的安全环境。

在客户端SDK的管理上，采用移动安全服务和技术的综合安全解决方案，涵盖病毒扫描、网址检测、短信拦截、号码识别、垃圾清理、流量校准、伪基站、WiFi检测等功能，能全方位消除移动风险，深度保障用户的安全体验。

在客户端加密保护方面，采用国家密码局制定的标准国产密码算法，对App数据进行加密传输，在应用方面具有较高的安全性，在技术方面具有高度保密性，有效保障金融数据的信息安全。

出品：南都大数据研究院 数字金融研究中心

研究员：熊润淼

通讯员：王立飞