1、安全是互联网金融的生命线 袁胜 蚂蚁金服以生活服务平台支付宝、移动理财平台蚂蚁财富、云计算服务平台蚂蚁金融云、独立第三方信用评价体系芝麻信用以及网商银行等, 成为目前规模最大的互联网金融企业。本刊采访了蚂蚁金服安全生态总监宋宠, 就如何防范互联网金融安全风险, 保障用户资金安全等介绍了企业的理解和优秀实践。记者:作为国内最大的互联网金融企业, 蚂蚁金服如何认识新技术带来的金融安全风险?宋宠:随着科技和金融的加速融合创新, “新金融”将成为未来金融体系的关键词。新金融的服务对象是数以千万计的小微企业和亿万普通消费者, 要做到这一点, 技术和数据将是行业发展的核心驱动力。蚂蚁金服一直以来关注运用新
2、技术, 不仅用于产品创新发展, 也运用于提升风险管理和安全能力。安全能力是互联网金融行业的门槛。蚂蚁金服坚信, 只有保障安全, 才能持久发展。目前互联网安全形势日趋严峻:黑灰产业、隐私数据被贩卖、各种信息泄露、木马的扩散和各种伪基站, 时刻威胁着网络环境。互联网金融领域里出现了有别于传统金融的四大风险:系统风险、信息安全、账户风险以及资金安全。在这一背景下, 没有企业或个人能独善其身。要想维护互联网金融的安全, 仅有防守是不够的, 还需要有进攻, 以大数据、人工智能、生物识别等技术是赢得这场安全战争的重要武器。记者:蚂蚁金服不断推出各种新的互联网金融应用, 在给用户带来更加便捷、舒适的体验时,
3、 如何保障业务安全和用户的钱包?宋宠:安全是蚂蚁金服的生命线。蚂蚁金服通过智能风控、生物识别、机器学习等前沿科技, 配合专业的风险控制团队, 确保安全。首先是蚂蚁金服风险管理的核心系统的智能实时风控系统 (CTU 系统) , 是目前国内外最先进的网上支付风险实时监控系统之一。CTU 系统集风险分析、预警、控制为一体, 通过数据分析、数据挖掘进行机器学习, 自动更新完善风险监控策略, 并配备风险稽核专家小组进行风险稽查及处置。支付宝平台上每天有上亿笔交易, 最高峰值每秒有 12 万多笔交易。每笔交易, CTU 系统都会进行 8 个维度的风险检测, 并从用户行为、交易环境、关联关系等维度提炼出上万
4、个风险关键变量, 采用上千条规则、近百个风险模型, 确保交易安全。整个检测过程耗时 100 毫秒, 眨眼间完成, 既保障安全, 又不会干扰到用户的操作。在 CTU 系统的保护下, 目前支付宝的交易资损率不到十万分之一, 远低于国际领先支付机构千分之二的风险水平。例如, 某深圳的支付宝用户, 平时经常使用支付宝来缴水电煤和给家人朋友转账, 2015 年 6 月, 用户接收了伪基站 10086 的短信, 并点击了短信中的链接中了手机木马。当天骗子通过木马在手机端获得了用户的身份、银行卡等信息, 并依靠木马获取手机校验码后修改了用户的密码。骗子使用账号密码在广州某小区登陆, 接着在某电商平台下单了一
5、台 i Phone5S, 但在输入完支付密码提交支付请求的时候, 风控系统根据多维度的信息直接判定交易高风险并失败交易, 并对账户支付功能进行了限制。第二天, 支付宝客服与用户进行了沟通, 确认了账户险些被盗刷。其次是生物识别。蚂蚁金服以人脸比对算法为基础, 研发了交互式人脸活体采集技术和图像脱敏技术, 以此为依托的人脸验证核身产品已经成功产品化, 在支付宝等产品上应用。用户可以通过手机摄像头, 验证用户的人脸特征与身份证一致。这种方法的本质是利用“客户本人的生理特征要素”进行身份验证, 在最新的测试报告中, 该技术人脸识别准确率已达 99.6%, 再配合眼纹等多因子验证, 准确率为 99.9
6、9%, 远超肉眼识别 97%的准确率。自支付宝引入人脸识别技术后, 在用户登录、实名认证、找回密码、商家审核、支付风险校验等场景, 该技术作为主要身份验证方式全面应用, 不到半年已经服务超过 1000 万用户, 同时满足每分钟一万人以上的身份验证需求。实践表明, 与传统基于密码等身份验证方法相对比, 人脸识别技术在安全性、可靠性、识别性能和用户体验方面的都得到了大幅提升, 对实现互联网金融场景下具有现实意义。最后, 安全不只是防范, 最好的防守是进攻。面对威胁网络安全的犯罪分子, 蚂蚁金服设有专门的专案风险及情报中心, 这个特殊部门每日的工作内容是利用互联网技术和数据分析技术, 配合公安机关打
7、击电信诈骗等犯罪行为。蚂蚁金服专案风险及情报中心成立以来, 已与全国 31 个省 (直辖市、自治区) 有超过 100 多家公安机关的案件打击合作。近年来, 合作警方已扩展到了海外, 包括澳大利亚、新加坡、马来西亚等多国。过去一年, 该中心共协助警方侦破139 起案件, 其中多数为电信、网络诈骗活动, 共抓获 412 名犯罪嫌疑人。记者:蚂蚁金服积累了大量的安全实践经验, 在用户层面做了哪些工作?宋宠:蚂蚁金服一直致力于帮助用户提升安全意识, 养成良好的安全习惯。蚂蚁金服针对用户做每日安全使用提醒、反诈骗提醒, 针对高危手法、高危地区与所在地警方配合, 共同发布安全教育, 目前, 与多地警方形成
8、“警企反诈骗宣传联盟”。2016 年 9 月, 蚂蚁金服正式启动防骗知识库“安全课堂”, 用户可以在支付宝App 首页的应用模块中进行查看。这是中国互联网界第一个面向公众的防骗安全知识库, 是网友们了解最新骗术、提高安全意识的新渠道。同时为解决用户的后顾之忧, 蚂蚁金服联合保险公司推出支付宝账户安全险。目前账户保险已经是保民数量第二多的互联网保险险种, 保民数量就已经超过了 1.2 亿, 平均 1.6 元的账户安全险, 保额高达 100 万。借助人工智能的理赔模型, 蚂蚁金服对用户理赔风险进行判断, 目前已经有 37%的理赔量通过全智能系统实时完结, 实现“秒“赔, 其余的中小额理赔也已实现1
9、 小时内极速赔付, 大大提升了客户的体验。记者:现在有观点认为安全工作不是一个孤立的个体行为能完全做好的, 蚂蚁金服是如何联合更多的力量来提升安全保障的?宋宠:围绕互联网金融进行犯罪的“黑色产业”已逐步成型, 威胁着整个互联网。面对挑战, 需要全生态一起布局、合作, 才能长期有效地打击“黑色产业”的嚣张气焰, 进而保护消费者。蚂蚁金服除不断提升自身的金融安全及风险防控能力外, 还将持续与金融安全生态伙伴互动, 提高整个行业的风险防控水平。在行业合作和安全标准上, 蚂蚁金服在安全技术生态领域发起建立了“互联网金融身份认证联盟” (IFAA) , 为联盟成员生物识别系统的应用提供了领先且可参照的标
10、准。目前联盟成员已包括手机厂商, 芯片厂商、安全厂商、算法厂商、检测机构等互联网金融产业链上的 50 余家机构, 联盟已制定了 IFAA 智能终端免密验证标准、智能终端安全检测认证标准, 这些标准在支付宝指纹支付商用落地并快速推广。在院校合作上, 蚂蚁金服和大学建立安全研究研究院, 培养安全实战人才, 高校定期输送人才来企业实践, 参与前沿研究, 如和上海交通大学共同成立“互联网金融安全技术”联合创新中心。在与警方合作上, 公安部刑侦局与蚂蚁金服集团合作开发的“伪基站实时监控平台”已在全国各地公安机关投入使用, 在一张全国地图上就能实时监控, 且能精确到 50 米内定位。试行半年来, 这一平台已协助警方打掉 14 个以通过伪基站发送含钓鱼网站短信实施银行卡盗用、欺诈犯罪的团伙, 其中还包括上游制作者和出售者。
