En çok indirilen bankacılık uygulaması nasıl güvenlidir?
Lei Feng.com'da editörün notu: Son yıllarda finans kurumları, Hollywood dramalarına benzer "SWIFT Soygunu" ve banka başkanlarının kredi sorgulama hesapları sattığı "Vatandaşların Kişisel Bilgilerinin 521 İhlali" gibi siber saldırılar için en çok etkilenen alanlar haline geldi. . 1 Aralık'ta Zhongzhi Research ve Bangbang Security'nin ev sahipliğinde düzenlenen finansal düzeydeki uygulama güvenliği seminerinde, China Construction Bank'ın Guangzhou Geliştirme Merkezi'nden Liao Minfei, mobil güvenlik alanında China Construction Bank'ın inşasını tanıttı. Leifeng.com, orijinal niyetini değiştirmeme temelinde bazı düzenlemeler yaptı ve okuyucularla paylaştı.
Aşağıdaki konuşmanın tam metnidir.
Konum "Mobil Finansal Güvenlik Uygulama Yönetişimi".
Konuşma, İnternet + finansal düzeyde mobil güvenlik denetimi ve yönetimi; akıllı ana kontrol mimarisi; uygulama uygulaması; yenilik beklentileri olmak üzere dört bölüme ayrılmıştır.
Finansal düzeyde mobil güvenlik düzenleyici yönetişim
Çin Ödeme ve Takas Derneği raporuna göre mobil güvenlikte, Mobil finans kullanıcılarının en büyük endişesi, güvenliğin gizli tehlikeleridir , Telekomünikasyon sahtekarlığı, çalınan QR kodu ve bilgi sızıntısı dahil. Yaptığımız mobil güvenlik, daha eksiksiz bir güvenlik sistemi öneren "Çin Finans Sektöründe Bilgi Teknolojileri için On Üçüncü Beş Yıllık Kalkınma Planı" na dayanıyor Bu bizim temel geliştirme hedefimizdir.
Aslında, herkesin zaten bir hissiyatı var, bu nedenle, banka nispeten güvenli bir imajı temsil ettiği ve bankanın güvenlik sorumluluğu çok önemli olduğu için dışarıdan kullanıcılar finansal düzeyde mobil güvenlik kullanıyorlar. Küçük bir hata varsa, Müşteriler için büyük miktarda fon ve bilgi güvenliği sorunlarına yol açar.
İşte hedef, biz bir bankayız, bu nedenle ilk nokta, müşterilerin fonlarının güvenliğini korumak, müşteri bilgilerini korumak ve sistemimizin güvenli çalışmasını sağlamak olmalıdır.
Bunların arasında bazı teknik alt hedefler ve güvenlik alt hedefleri var.Örneğin, teknik alt hedefler, herkesin yıllardır savurduğuna inandığım yerelleştirme ve güvenlik alt hedefleri gibi güvenlik önleme ve kontrol için biyoteknoloji ve yapay zeka kullanımı. Yaşam döngüsü boyunca veri koruma, ağ istemcilerinden gelen saldırılara karşı direnç ve kimliklerimizin doğru bir şekilde tanımlanması, ulaşılması gereken alt hedeflerdir.
CCB, 40 milyonun üzerinde aktif müşterisiyle bankacılık uygulamalarının aktif müşteri sayısında birinci sırada yer alırken, hizmet bölgesi oranımız da 10,7 ile birinci sırada yer alıyor.
İkincisi, mobil güvenliğin akıllı ana kontrol mimarisinden bahsediyor.Bu genel resimdir.Savunma öncesi, olay sırasında kontrol ve olay sonrası önleme ve kontrole göre, ana amaç, her ikisi de gerekli olan güvenlik ve deneyime eşit dikkat göstermektir.
istemek Etkinlik öncesi, bilgeliği basitleştirin ve etkinlik sonrasını güçlendirin. Genel içerik budur , Bu, finansal düzeyde bir mobil güvenlik koruma sistemidir.
Veri analizinden geliştirme ve uygulamaya, üretim testinden güvenli çalışmaya kadar yazılım yaşam döngüsünün tüm sürecine bağlı olarak, içindeki her bağlantı dahil edilecektir. Örneğin, şu anda gördüğümüz paketleyiciler, güvenlik açığı taraması ve güvenlik denetimleri aslında tüm yaşam döngüsünün her bağlantısına dağıtılmıştır.
Akıllı ana kontrol mimarisi üç modüle bölünmüştür: Bir terminalli merkezi akıllı güvenlik bulut hizmeti, merkezi beyin olarak hizmet eder, çeşitli güvenlik bileşenleri hizmet sağlar ve güvenlik mobil terminalinin izlendiği arka uç izleme vardır.
Özellikle, artık CCB yeni nesli hayata geçirdiğine göre Hizmetler bileşenler halinde sağlanır. Çok kanaldaki tüm sistemlere arama, hizmet sağlama ve koruma için ayrılmış güvenli bir bileşen olacaktır.Tüm mobil güvenlikteki tüm uygulamalar, birleşik planlama için bu bileşeni kullanır Ve hizmet.
Büyük veri analizi, yapay zeka ve bu faktörler sayesinde, birleşik bir platformdur.İşlemden sonra, ilgili ticaret sistemine geri beslenir.
Şimdi, yukarıda açıklanan bazı hedeflere ve mimariye dayalı olarak finansal düzeyde uygulama güvenliği uygulama pratiğinden ve yıllar içinde ne tür çalışmalar yapıldığından bahsedeceğim.
Ulaşmayı umduğumuz hedef, az önce bahsedilen bileşenleştirme olan kurumsal düzeyde güvenlik sertifikası ve ardından akıllı sertifikasyon. Büyük veri ve yapay zeka. Akıllı olmalı. Müşterilerin kendi başlarına seçim yapmalarına gerek yok. Müşterilerin bunu otomatik olarak hissedebileceğini umuyoruz. Güvenlik hizmetimiz için uygun ve güvenli bir deneyim olmalıdır.
Bunda biri kimlik doğrulama, biri sertifika imzalama, diğeri izleme ve yönetim olmak üzere toplam üç temel bağlantı var ... Bu unsurlar herkes uzman olduğu için bahsettiğim teknolojiyi herkesin bilmesi gerektiği tahmin ediliyor. Çekirdek bağlantı ne anlama geliyor?
Bunda, size bu yılın sonunda Huawei'nin basın toplantısında başlatılan cep telefonu kalkanından bahsedeyim. Bu ürün neyi dolduruyor? Mobil terminaldeki orijinal imza nispeten zayıf. Herkes bazı metin mesajlarının kullanıldığını biliyor. Güvenliği sağlamak için, imza yasasına göre daha güçlü kimlik doğrulama yöntemleri gerekiyorsa, müşteri deneyimi her zaman ciddi bir sorun olmuştur ve müşteriler daha fazla donanım getirmek istemezler.
Örneğin, bir cep telefonu getirirseniz, başka şeyleri evde bırakmanıza gerek kalmaz, bu nedenle yenilikçi bir şekilde cep telefonu kalkanını kullanıma sunduk. Tüm SE çipleri Huawei cep telefonlarına yerleştirilmiştir. Doğrudan ararız. Müşterilerin imzayı tamamlamak için yanlarında bir cep telefonu getirmeleri gerekir. , Mantıklı değil.Müşteriler için temelde internetteki bazı olağan işlemlere eşdeğerdir ve bitti, ancak güvenlik seviyesi önceki kalkanla aynı güvenlik seviyesine ulaştı.
Burada size tüm önleme ve kontrol sürecinde akıllı kimlik doğrulama, biyoteknoloji tanımlama, cep telefonu kalkanı ve büyük veri algılama platformu olduğunu söylemek için kilit noktaları seçtim.
Bu, çoktan inmiş ve tanıtılmaya hazır olan veya zaten tanıtılmış olan bir teknolojidir.
Bilgelik sertifikası Bu ne anlama geliyor? Aslında, bu şey yıllar önce başladı. Verileri öğrenip inceledikten sonra, müşterinin güvenlik düzeyini otomatik olarak analiz etmeyi, müşteriyi etiketlemeyi ve ardından müşterinin davranışını ve verilerini analiz etmeyi umuyorum. .
Motoru içe aktardıktan sonra, güvenli olup olmadığını akıllıca değerlendirmeyi umuyorum. Dolayısıyla bu temelde müşteriler, belirli bağlantılarda güvenli müşteri olarak herhangi bir giriş yapmadan bazı işlemleri yapabilirler. Ancak bir sorunu olduğunu düşündüğümüzde, bir müşteri için güvenli bir çerçeveye sahip olacağız ve hatta işlemi engelleyeceğiz, insanların müdahale etmesine, doğrulamasına ve işlemesine izin vereceğiz, bu akıllı kimlik doğrulama çekirdeğimizin bir amacıdır.
Aslında bu sistem gelişiyor, teknik katılım ve iş katılımı ile bütün bir süreç sürecidir.Ama hedefe ancak tüm platformlar dahil edildikten sonra ulaşılabilir.Elbette bunun daha da geliştirilmesi gerekiyor ama her zaman bu hedefe yakın olmuştur. .
Ön önleme ve kontrol açısından, cep telefonu kalkanlarımız ve biyometrik tanımlamamız var.Biyometri açısından durum böyledir.Biyoteknoloji bileşen platformunu birleştiriyor ve tüm biyoteknolojiyi kurumsal düzeyde tek bir platforma entegre ediyoruz. Tüm bankanın tüm biyoteknolojisi bu platformda Şimdi, biyometrik teknolojinin bir parçası olan ses izleri, iris, parmak izleri, insan yüzleri ve bazı tuş vuruşu davranışları var.
Bir avantajı, tek moddan çok moda değiştirilebilmesidir. Örneğin, yüzün ve irisin ikili modu ile kimlik doğrulaması yapabilirim.Avantajı nedir? Yüz uzun bir mesafeden tanınabilir, ancak doğruluğu sorunlu olabilir; irisin tanınması için kısa bir mesafe gerekir, ancak Doğruluğu çok yüksektir, eğer ikisi birleştirilirse ve iki sertifikanın avantajları kullanılırsa, tanınma oranı iyileştirilebilir.
Aynı zamanda, tüm algoritmalar takılabilir ve aynı platformda uygulanmaları halinde birçok biyoteknoloji algoritması artık tek bir platformda işlenebilir.
Bir anket yaptık ve kullanıcıların% 70'inden fazlasının mobil tanımlama, ödeme tanımlama ve şifreleme kimlik doğrulaması için biyoteknolojiyi kabul ettiğini gördük. Güvenlik, rahatlık ve esneklik avantajlarına sahiptir. Ancak CCB, biyoteknolojinin tanımlama avantajlarına sahip olduğuna inanıyor Algoritmanın bazı doğal sorunları vardır, bu nedenle yardımcı bir güvenlik yöntemi olarak ana yöntem değildir.Eşzamanlı kullanım için bazı ana yöntemlerle birleştirilmelidir, böylece bu biyoteknoloji tanımlamasını kullanabilir veya ekleyebiliriz Bazı risk kontrol önlemleri.
Burada size gösterdiğim ekran görüntüleri, daha önce başlattığımız parmak izlerinden, ses izlerinden ve yüz tanımadan bazılarıdır. Bunların tümü mobil terminalde, mobil bankacılıkta ve çeşitli mobil uygulamalarda kullanılmaktadır. Bu, az önce bahsettiğimiz cep telefonu kalkanıdır.Bu cep telefonu kalkanı konsepti gelecekte büyük bir boyuta yayılacaktır.Sadece cep telefonunda bir sorun değil, ileride kullanılabilecek SE güvenlik çipi de var. ürün.
Artık cep telefonu kalkanı üçüncü bir şahıs tarafından test edildi ve güvenlik seviyesi mevcut ikinci nesil kalkanla eşdeğer olmalıdır.
Mobil güvenlik izleme platformundan bahsedeyim, bu aynı zamanda bağımsız bir platformdur.Bu platformda, her türlü veri dahil olmak üzere mobildeki tüm veri ve davranışlar bu platforma aktarılır ve ardından bir çalışma yapılır. Analiz ve modelleme var. Bu platform, hepimizin kullanacağı çeşitli görselleştirme teknolojileri de dahil olmak üzere gerçek zamanlı analizler dahil olmak üzere bazı makine öğrenimi de dahil olmak üzere büyük verilerdeki birçok teknolojiden tam olarak yararlanıyor.
Bir şey daha, bu sözde mobil izleme platformu sadece cep telefonlarıyla uğraştığımız anlamına gelmiyor. Aslında bu platform hemen genişletilebilir. Süreç boyunca giyilebilir cihazları ve Nesnelerin İnternetini ayırdık ve Toplanabilecek başka yerler de rezerve ettik.Bu mobil terminaller aracılığıyla veriler bulutumuza alındıktan sonra tehdit tespiti ve takibi yapılabiliyor. Bu tür bir akıllı risk kontrol ayarlaması ve bazı potansiyel saldırı araçlarının erken uyarısı.
Bu resme bir göz atın, izleme platformunda halihazırda kullanımda olan sayfalardan biridir.Mobil müşterilerin güvenliğini, müşterilerin güvenliğini ve müşteri işlemlerinin güvenliğini izleyebilir.Bu platformdaki veriler tüm bankanın mobil kanallarıdır. APP ve daha önce bahsettiğim gelecekteki İnternet ve cihazların tüm verileri.
Az önce bazı güvenlik uygulamalarından bahsetmiştim. Şimdi sizlerle finansal düzeydeki uygulama güvenliği yenilikçiliğinin olasılıklarını paylaşmak istiyorum. Gelecekte, bir genel bulut paylaşımlı güvenlik hizmeti ekosistemi oluşturacağız. Ana konsept paylaşımdır. Umarım bunlar olgun veya Devam eden teknoloji üçüncü şahıslarla paylaşılabilir, çeşitli üçüncü şahıs platformlarına ve kanallarına yerleştirilebilir ve çeşitli güvenliği entegre edebilir.Bu teknik özellikler, birleşik bir paylaşılan hizmet oluşturmak için entegre edilebilir.
Umarım gelecekte kimlik doğrulama yapay zeka olur ve kimlik doğrulama yöntemi mantıksız olmalıdır.Umarım müşterinin herhangi bir şey taşımasına, herhangi bir düğmeye basmasına, kimlik doğrulamasını tamamlamak için herhangi bir işlem yapmasına gerek kalmaz, müşteri düşündüğümüz gibi güvenli bir müşteri değilse , Otomatik olarak işlenecektir ki bu en çok istenen sonuçtur.
Ayrıca güvenlik sisteminin yapay zeka olduğunu veya her şeyin akıllı, akıllı ve otomatik olduğunu umuyoruz.
Başkanın bize ileri sürdüğü gereksinimlerden biri, hem güvenliğin hem de deneyimin vurgulanması gerektiğidir. Deneyimi güvenlik uğruna daha kötü hale getiremeyiz ve müşterileri uzaklaştıramayız. İşimizin amacının, taşımama, yapma da dahil olmak üzere anlamsız olmak olduğunu az önce belirttik. Müşterileri etkileyin. Az önce söylediğim yapay zeka da dahil olmak üzere, aslında bunlar bu araçları kullanmak için değil, nihai hedefe ulaşmak, müşterileri güvende hissettirmek için, ultra basit operasyonlar olmalı ve işlemler için uygun olmalıdır.
Yukarıdaki konuşma, finansal düzeydeki uygulama güvenliği seminerinden geliyor
Konuşmacı: Minfei Liao, China Construction Bank
Lei Feng net bitirme
