王海霞:支付安全建设实践与思考

2017-07-28 中国发展网

中国发展网 7月28日 第25届金融展于7月27日至7月30日在北京展览馆与大家再次相见。本届金融展将以“创新驱动 稳健转型 共享金融”为主题,集中展示各类金融机构、金融科技企业的创新发展成果,以及面向企业、“三农”、百姓等推出的普惠金融新服务和金融IT新技术,通过多种形式、多个层次的分享互动,进一步促进金融行业内外的交流与合作,为我国金融业的稳定和可持续发展作出贡献。

中国银行网络金融部副总经理王海霞出席中国金融发展论坛并发表主旨演讲,以下为演讲全文:

image001

王海霞:各位来宾大家上午好,非常容幸来参加第二十五届金融展,我自己本人也非常容幸来参加以支付产业发展前沿为主题的论坛,也代表中国银行跟各位来共同沟通支付安全建设的实践和思考。刚刚李总讲到我们银行的DNA,的确安全合规就是我们的DNA,所以我从这个角度来演讲,我是我们中国银行最早做企业网上银行的,而您之前是做密码安全的,我们第一代的密码器就是选择的兆日,所以我们是相互选错了主题。

我今天演讲的内容是两个部分,一个是支付市场发展的现状,一个是我们行对安全支付的几点思考。随着新兴科技支付方式的发展,大家都在讲重要正在迈向无现金社会,非现金已经成为主流,根据联合国的报告,预计到2020年我们国家的非现金支付占零售市场的占比将会达到70%,其中网上支付会达到16%,手机支付达到12%。其实我觉得可能保守了,手机支付肯定不止12%的数字。

在网络支付快速增长的同时,大家也可以看到各种新型的支付创新也在不断的创新,像刚才讲到的云闪付、Apple PAY、二维码等。在无卡、无现金支付当中的的确确最主要的组成部分是银行卡,而不是咱们看到的实际上的。银行卡应该说是最主要的一个组成部分,根据支付清算协会的数据大家可以看到,在2001年到2016年我们的发卡量从将近30亿张已经增长到了60亿张,POS达到了2400多万台,银行卡交易量从323万亿增长到了741万亿,银行卡受理环境也在不断的完善。

讲到无卡支付首先讲的还是网络和手机支付,从交易笔数来讲,这两方面发展这几年的速度是更快的,大家也都可以看不得出来,支付领域呈现两个主要的特点,第一个是从线上往线下转移,根据支付清算协会的报告,2016年广义的网络支付交易笔数已经超过了传统通过POS机的交易笔数,已经达到了65%。另外就是从PC端向手机端转移,到2016年支付的笔数也比较超过了PC端的网络支付。

在支付规模的快速发展,以及支付模式不断创新的过程当中,我们也可以看到支付的安全环境也是面临着日益严峻的局面,一方面随着网络支付和移动支付占比的扩大,风险欺诈案件的手段也随之发生了变化,传统大家都是违卡交易,磁条的泄露、倒刷的手段,网络支付出现以后会出现一些钓鱼网站、伪基站、恶意程序、电信诈骗等,背后应该是呈现出一个产业链、专业化、团队化的特点。

我们看到伪基站和钓鱼网站应该是现在安全隐患最大的一个威胁了,我们也有关一个数据可以看到保守估计因为伪基站和钓鱼网站攻击达到100亿的金额,2016年新增了钓鱼网站将近200万我觉得金融业也是重灾区了,它适配各种手机,更新非常快,页面完全可以以假乱真。伪造银行的伪基站应该达到了70%以上,再加上伪基站跟木马程序组合,使得用户的迷惑性和资金损失更加严重。

还有移动端恶意程序和木马病毒的泛滥,我们可以看到相关程序的漏洞,恶意的代码和木马病毒导致客户信息泄露的危害日益严峻,从统计上看,65%的移动端的APP都至少有一个高风险的漏洞,每一个APP都至少有7.32个漏洞。而且整个的恶意软件、销售、传播,他们都形成了一个分工明确、各司其职的产业链的运作模式。

针对这样的市场的环境、网络的环境,我们看到一方面2016年国家出台了《网络安全法》从法律层面保护了安全,监管层面也是高度重视,2016年开始我们发的各种各样的文件,从支付交易的认证、支付敏感信息的管理、终端安全管理各个方面都做了非常详细的要求,也组织银行和交易机构做了多轮的排查。监管合规是我们银行的红线,最基本的要求。

刚刚是发展现状的回顾,接下来想谈谈我们行主要的思考,一个是构建全生命周期的管理,在严格遵守相关规章制度的同时我们是要积极探索应用,持续的完善来进行一个事前、事中、事后全周期的风控体系。我们还是应该坚持一个开放合作的心态,加强与行业各方合作,开放数据的共享,共同建立一个支付安全的环境来积极践行社会责任。

在构建高效的全生命周期管理的体系的过程当中,在事前监控方面我们看到业界都在有这样五个方面发展的趋势,第一个就是风控智能认证差异化,以前标准化的一种或两种都是统一的,而新科技的发展包括中国银行也在研究,各个客户的风险等级,交易场景,交易的类型等等去智能化的采用不同的手段,来实现因客的认证,保证交易安全的同时更重要的是提升客户的体验,这也是我们向支付机构不断学习的领域。

在不同风险等级的客户,在不同地区进行大额小额交易的时候给他一个不同的安全认证的手段,第二个方向就是认证的简单化,还有是去介质化把它整合到手机的软件硬件当中,让使用的时候更加方便,降低了成本,提升了用户的体验。第三个方面我们看到越来越多的银行把生物识别的技术应用到金融交易和业务当中去,比如银联也突出了质问的认证,以质问的认证去替代现有的验密还有签单签字这样的模式,业务规则上制定了相关保障的措施,也可以提升收银的速度。也有把指纹识别应用到ATM取款以及手机银行大额交易当中提升安全性。

还有支付标记化的应用,从我们银行或者外行看,其实它的最重要的核心就是把实体卡,根据我们的场景,根据我们的应用去影射初步统的Token,我们是把这个马甲拿来做支付,把客户的本身卡的实体信息进行了隐藏。银监会在去年的170号文,也明确要求商业银行和支付机构应该使用支付标记话题,去对银行的卡号,卡边的验证码,支付机构尽心脱敏,并且通过交易次数、金额、有效期、支付渠道的属性从源头上防止信息的泄露,我们中国银行也是积极的推动云闪付,我们感觉到这种支付标记化的应用可以降低卡号泄露带来的欺诈风险,另外我们可以通过交易场景的限制,将Token的使用限定在特定的范围。它还有一个非常好的是整个银联在整个设备上的标准和业务流程,它还能为线上线下的活动提供可能性。

第五个方面就是构建多维度的限额开关的模型,在120号文是各行业银行应该通过银行的柜台,手机银行、网上银行、电话银行各个渠道来为客户提供银行卡交易安全锁的服务,引导持卡人交易的类型、渠道、地区、金额,来限定提高场景风险管控度,我们看到民生银行是推出了交易安全所的产品,限额锁跨境锁这样的五个自定义的安全服务,这五个方面都是在事前管控的领域,事中的领域都是从风险管控手段开始去发展,基本上都是可以金融科技为引领去借助大数据、云计算、人脸识别,生物认证能这样的技术,通过360度的客户画像,实时监控,提前去预警风险,从而提升客户的体验,还能够实现监控的效率,事中的监控有一系列的基础条件,要满足高并发、低延迟、可拓展的三个基本性的要求。也包括至少每秒是要处理2万笔的交易,每笔交易的平均延迟是不能超过20毫秒,以及监控的能力要具有可拓展性,不断的向其他的业务去拓展。

在基本性能要满足的情况下,我们认为监控都是要建立这六个模块,风险检测与预警,风险显影处理,智能认真风险地图这六个大模块,这六个大模块的核心就是风险规则与模型,我们需要去重点采集多维度的信息还有它的权重,我们要根据数据的挖掘、案例的分析以及增加专家的经验来抽取风险客户和可疑行为的属性。在风险评估得分结果出来之后,增加安全手段等等不同的措施,同时非常重要的还是要不断的提升全流程,全业务这样反欺诈的效率。

在事后,一方面各家机构都在建立检测、关停、打击的机制,更重要的还是要积极的建立支付安全事后的保证体制。这方面就包括第一方面是风险赔付,因为小额的支付是要进行风险赔付,需要有一定的风险容忍机制,我们就需要去建立业务风险的赔付机制,在出现问题的时候先行赔付,保护消费者的权利。

第二方面是资金的止付,这个是在人民银行的201号文发布之后,我们联合各家银行已经建立了一个可疑账户的临时止付的机制,先把账户止付,再根据司法洞解相关的账户,这样就可以最大限度的晚会损失。第三当然是配合公安打击犯罪,真正起到震慑犯罪的效果。还有最重要的是安全教育,有责任通过我的各种网站、场景去对整个止付过程中的安全风险提示做好相关的交易工作,尤其是面向弱势群体以及薄弱环节提高教育的覆盖面,以上是在事前、事中、事后建立一个安全体系的想法和思考。

在共建开放合作的止付安全生态上,我们希望国家部位和政府机关、运营商、金融同业、支付机构都能够去积极的开放,建立一个风险的数据库。我们还呼吁除了建一个数据库以后我们还建议去形成一个透明、互信的这样的协同工作机制,各方能够共同去参与。网络安全绝不仅仅是一个企业,甚至它都不是一个国家能解决的事情,所以只有在法律法规的建设下做好产业协同,打破数据鸿沟,只有这样才是支付安全的致胜法宝。

我前几天是去参加了在法国里昂组织的一个针对网络反对的全球论坛,在这里我是特别想用国际刑警组织新当选主席,也是我们公安部原副部长的一句话来结束今天的演讲,他说:“一次行动胜过百次宣言。”我相信在各个机构的支持下,我们一定能够建立一个更加安全、高效的支付生态体系,我的演讲到这儿,谢谢。