4月24-25日，由北京移動(dòng)金融產(chǎn)業(yè)聯(lián)盟、移動(dòng)支付網(wǎng)聯(lián)合主辦的2018第二屆中國(guó)移動(dòng)金融發(fā)展大會(huì)在北京召開，本次大會(huì)以《嚴(yán)“政”以待，共建移動(dòng)金融新生態(tài)》為主題，在25日上午舉辦的金融大數(shù)據(jù)論壇上，銀行卡檢測(cè)中心信息安全服務(wù)部高級(jí)主管蔣增增發(fā)表演講，暢談條碼支付安全與金融數(shù)據(jù)保護(hù)。

銀行卡檢測(cè)中心信息安全服務(wù)部高級(jí)主管蔣增增

據(jù)蔣增增介紹，金融數(shù)據(jù)保護(hù)不僅僅是保護(hù)生產(chǎn)環(huán)境的Solid Data，更重要的是分析業(yè)務(wù)模式和技術(shù)實(shí)現(xiàn)，全流程地保護(hù)Alive Data。以條碼支付安全為例，應(yīng)從業(yè)務(wù)參與方、技術(shù)參與實(shí)體、關(guān)鍵技術(shù)幾個(gè)方面展開。

業(yè)務(wù)參與方。條碼支付相比較傳統(tǒng)四方模式，還增加了應(yīng)用服務(wù)方，在其非金融APP應(yīng)用之上疊加支付功能。因此，還應(yīng)對(duì)支付功能部分提出安全保護(hù)要求，如輸入保護(hù)、報(bào)文防篡改等。

技術(shù)參與實(shí)體。支付技術(shù)產(chǎn)品應(yīng)參考中國(guó)支付清算協(xié)會(huì)“支付技術(shù)產(chǎn)品認(rèn)證”九大門類的要求。支付業(yè)務(wù)設(shè)施應(yīng)符合《JR/T 0122—2014非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)要求》、《JR/T 0142—2016銀行卡清算業(yè)務(wù)設(shè)施技術(shù)要求》。

關(guān)鍵技術(shù)。蔣增增分析了傳統(tǒng)身份認(rèn)證手段(靜態(tài)口令、OTP、短信驗(yàn)證碼、USBKEY)的優(yōu)劣勢(shì)，介紹了統(tǒng)一身份認(rèn)證協(xié)議如FIDO、IFAA等。重點(diǎn)介紹了金融領(lǐng)域國(guó)產(chǎn)密碼技術(shù)的應(yīng)用，以及按照《商用密碼應(yīng)用安全性評(píng)估管理辦法》對(duì)重要系統(tǒng)開展密評(píng)工作。

金融數(shù)據(jù)的保護(hù)與應(yīng)用

金融數(shù)據(jù)的保護(hù)應(yīng)采取“分類分級(jí)”的思想，按照數(shù)據(jù)性質(zhì)、敏感程度等維度進(jìn)行分級(jí)保護(hù)，數(shù)據(jù)保護(hù)應(yīng)貫穿數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、銷毀等整個(gè)生命周期。

，在金融數(shù)據(jù)保護(hù)過程中，部分生產(chǎn)數(shù)據(jù)嚴(yán)禁脫離生產(chǎn)環(huán)節(jié)，如系統(tǒng)密鑰、數(shù)字證書、賬戶密碼、卡(折)磁條信息等，任何情況下不允許脫離生產(chǎn)環(huán)境使用。可脫離生產(chǎn)環(huán)境使用的生產(chǎn)數(shù)據(jù)，如客戶類信息、業(yè)務(wù)類信息，應(yīng)注意進(jìn)行脫敏處理，保護(hù)好客戶隱私信息。

在數(shù)據(jù)脫敏、可進(jìn)一步使用的情況下，金融數(shù)據(jù)的應(yīng)用是目前產(chǎn)業(yè)的熱門。蔣增增介紹，目前金融數(shù)據(jù)的應(yīng)用場(chǎng)景就包括，精準(zhǔn)營(yíng)銷。多個(gè)維度對(duì)用戶進(jìn)行畫像，通過數(shù)據(jù)分析對(duì)用戶進(jìn)行差異化服務(wù);風(fēng)險(xiǎn)控制。結(jié)合大數(shù)據(jù)、AI技術(shù)，建立反欺詐風(fēng)控模型;數(shù)據(jù)增值服務(wù)。消費(fèi)信貸評(píng)分等，如銀聯(lián)“火眼”產(chǎn)品。