4月24-25日，由北京移動金融產(chǎn)業(yè)聯(lián)盟、移動支付網(wǎng)聯(lián)合主辦的2018第二屆中國移動金融發(fā)展大會在北京召開，本次大會以《嚴(yán)“政”以待，共建移動金融新生態(tài)》為主題，在25日上午舉辦的金融大數(shù)據(jù)論壇上，銀行卡檢測中心信息安全服務(wù)部高級主管蔣增增發(fā)表演講，暢談條碼支付安全與金融數(shù)據(jù)保護。

銀行卡檢測中心信息安全服務(wù)部高級主管蔣增增

據(jù)蔣增增介紹，金融數(shù)據(jù)保護不僅僅是保護生產(chǎn)環(huán)境的Solid Data，更重要的是分析業(yè)務(wù)模式和技術(shù)實現(xiàn)，全流程地保護Alive Data。以條碼支付安全為例，應(yīng)從業(yè)務(wù)參與方、技術(shù)參與實體、關(guān)鍵技術(shù)幾個方面展開。

業(yè)務(wù)參與方。條碼支付相比較傳統(tǒng)四方模式，還增加了應(yīng)用服務(wù)方，在其非金融APP應(yīng)用之上疊加支付功能。因此，還應(yīng)對支付功能部分提出安全保護要求，如輸入保護、報文防篡改等。

技術(shù)參與實體。支付技術(shù)產(chǎn)品應(yīng)參考中國支付清算協(xié)會“支付技術(shù)產(chǎn)品認(rèn)證”九大門類的要求。支付業(yè)務(wù)設(shè)施應(yīng)符合《JR/T 0122—2014非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)要求》、《JR/T 0142—2016銀行卡清算業(yè)務(wù)設(shè)施技術(shù)要求》。

關(guān)鍵技術(shù)。蔣增增分析了傳統(tǒng)身份認(rèn)證手段(靜態(tài)口令、OTP、短信驗證碼、USBKEY)的優(yōu)劣勢，介紹了統(tǒng)一身份認(rèn)證協(xié)議如FIDO、IFAA等。重點介紹了金融領(lǐng)域國產(chǎn)密碼技術(shù)的應(yīng)用，以及按照《商用密碼應(yīng)用安全性評估管理辦法》對重要系統(tǒng)開展密評工作。

金融數(shù)據(jù)的保護與應(yīng)用

金融數(shù)據(jù)的保護應(yīng)采取“分類分級”的思想，按照數(shù)據(jù)性質(zhì)、敏感程度等維度進行分級保護，數(shù)據(jù)保護應(yīng)貫穿數(shù)據(jù)采集、傳輸、存儲、使用、銷毀等整個生命周期。

，在金融數(shù)據(jù)保護過程中，部分生產(chǎn)數(shù)據(jù)嚴(yán)禁脫離生產(chǎn)環(huán)節(jié)，如系統(tǒng)密鑰、數(shù)字證書、賬戶密碼、卡(折)磁條信息等，任何情況下不允許脫離生產(chǎn)環(huán)境使用。可脫離生產(chǎn)環(huán)境使用的生產(chǎn)數(shù)據(jù)，如客戶類信息、業(yè)務(wù)類信息，應(yīng)注意進行脫敏處理，保護好客戶隱私信息。

在數(shù)據(jù)脫敏、可進一步使用的情況下，金融數(shù)據(jù)的應(yīng)用是目前產(chǎn)業(yè)的熱門。蔣增增介紹，目前金融數(shù)據(jù)的應(yīng)用場景就包括，精準(zhǔn)營銷。多個維度對用戶進行畫像，通過數(shù)據(jù)分析對用戶進行差異化服務(wù);風(fēng)險控制。結(jié)合大數(shù)據(jù)、AI技術(shù)，建立反欺詐風(fēng)控模型;數(shù)據(jù)增值服務(wù)。消費信貸評分等，如銀聯(lián)“火眼”產(chǎn)品。