華文網

通付盾汪德嘉:解決金融科技應用與服務的信任難題

日前,通付盾董事長汪德嘉博士接受《人民政協報》專訪,暢談“如何解決金融科技應用與服務的信任難題”這一問題。在他看來,安全問題的本質是信任問題。捍衛金融科技的健康發展,

打造安全和諧的網路環境需要全方面地構建維護信任體系。

事實上,網路空間的信任問題在網路安全領域的探討由來已久。早在2012年底,全國人大審議通過的《關於加強網路資訊保護的決定》和國務院發佈的《互聯網資訊服務管理辦法》,就為採用安全有效的技術措施識別和驗證互聯網上公民真實身份,解決互聯網身份信任問題提供了基本法律依據。

2014年,在中央網路安全和資訊化領導小組第一次會議上,

習近平總書記以“沒有網路安全就沒有國家安全,沒有資訊化就沒有現代化”的清晰戰略,提出了建設網路強國的戰略目標。在其後一系列國際國內相關會議上,習近平總書記還多次強調 “要樹立正確的網路安全觀”。網路安全問題已經上升到國家層面,也為解決互聯網產品與服務的信任問題提出了新的要求。

通付盾所要做的,

就是結合區塊鏈、人工智慧、大資料分析及移動安全等新興技術,對移動互聯網場景下,金融科技領域應用場景中的使用者、設備、應用以及行為進行可信度判斷。進而構建一種全方位的金融科技應用與服務信任基礎體系。

網路安全事件中不可信問題凸顯

近年來移動互聯網在移動終端、網路接入、應用服務、安全與隱私保護等方面已不斷暴露出各種各樣的安全問題,如帳號盜用、資金盜取、虛假交易、仿冒盜版等惡意行為已層出不窮。

這些安全問題很大程度都是由移動互聯網內應用與服務的不可信引發的。網路黑產在利益的驅使下對使用者個人資訊的盜取和售賣在很大程度上加劇了這種信任危機。

根據央視近期曝光的銀行卡資訊網上買賣黑市的調查中,

在黑市上,只需5分鐘便可買到上千條銀行卡資訊,包括卡主的姓名、卡號、身份證、電話號碼、銀行卡密碼等,並且準確率極高,這讓所有人感到不可思議的同時也倍感不安。

在網路上,其實存在著一個規模龐大的盜取銀行卡的黑色產業鏈。這些對外售賣的資訊,大多來自於一些非法釣魚網站。不法分子會冒充正規企業炮製惡意網站,

而用戶一旦在此類網站上填寫了姓名、身份證號、銀行卡號、密碼等資訊,將會直接導致個人資訊洩露,被不法分子搜集起來通過販賣或直接設法轉走錢財獲取利益。而這一切,都時時刻刻削弱線民對互聯網企業的信任度,消減他們在網路上消費時的信心。

安全問題的本質是信任問題

安全問題的本質是信任問題。在我看來,一切的安全方案設計的基礎都是建立在信任關係上的,我們必須相信一些東西,必須有一些最基本的假設,安全方案才能得以建立。如果我們否定一切,安全方案就會如無源之水、無本之木,無法設計也無法完成。

舉例來說,假設我們有份很重要的檔要好好保管起來,能想到的一個方案是把檔“鎖“到抽屜裡。這裡就包含了幾個基本的假設:首先,製作這把鎖的工匠是可以信任的,他沒有私藏一把鑰匙;其次,製作抽屜的工匠沒有私自給抽屜裝一個後門;最後,鑰匙還必須要保管在一個不會出問題的地方,或者交給值得信任的人保管。反之,如果我們一切都不信任,那麼也就不可能認為檔放在抽屜裡是安全的。

與之類似,要解決移動互聯網環境中,金融科技領域應用與服務的安全問題,就要從安全的本質——信任問題出發。一種可行的途徑是,通過將網路安全技術(如:區塊鏈、人工智慧、大資料分析及移動安全等)的有機結合,對金融科技領域多種應用場景中的使用者、設備、移動應用環境以及用戶行為等進行可信度判斷,從而構建一種全方位的金融科技應用與服務信任基礎體系。

解讀金融科技應用與服務信任基礎體系

事實上,移動互聯網時代,金融科技應用與服務的風險點主要集中在四個方面,暨身份識別風險、設備識別風險、軟體環境風險和業務行為風險。與此同時,在金融科技的各個場景中,如APP安全、雲身份識別與管理、風控反欺詐、金融大資料應用等場景中,都存在上述風險,導致金融科技領域中的信任基礎薄弱。

此外,構建金融科技信任基礎體系,有兩個關鍵點,其一是確認資訊的可信度,其二是保障資訊節點的安全性。在這方面,區塊鏈等前沿網路安全技術的應用則顯得至關重要。

在金融科技應用與服務信任基礎體系中,區塊鏈技術是作為底層技術支撐,其作用是確認資訊的可信度。這種去中心化的分散式資料存儲技術,通過節點間的資訊檢驗,能夠將那些真實有效的資訊永久保存下來,並且不可篡改。因此,我們可以通過區塊鏈的功能實現對所有的身份資訊、設備資訊、應用資訊及使用者行為的記錄和可信性篩選;不僅如此、在此基礎上,通過機器學習、資料採擷等人工智慧技術對使用者、設備、應用及行為進行歷史行為分析,可以做出更精准、可靠的可信度判斷。

構建金融科技應用與服務信任基礎體系的另一個關鍵點是區塊鏈節點的安全性需要得到保障。對此,先進的移動安全技術可以在用戶的手機上創建一個安全可信的計算環境,駭客難以入侵或操縱用戶的區塊鏈用戶端,從而保障用戶能夠通過手機來可靠地獲取我們這個信任基礎體系提供的服務。

一個完整的金融科技應用與服務信任基礎體系,還需要具備兩項基本功能,暨生成風險分與信任分。對於B端用戶來說,風險分有助於輔助企業評估自己的用戶是不是有風險行為或風險意向;而對於C端用戶來說,信任分則能夠幫助用戶評估自己在信任基礎體系中所處的位置,瞭解自己是不是被信任。

在構建金融科技應用與服務信任基礎體系上的嘗試

筆者在區塊鏈身份認證、移動安全與大資料反欺詐領域進行了持續多年的嘗試,在構建金融科技應用與服務信任基礎體系方面,也有了一定的技術和行業積累。

在服務政府、公安以及SAAS企業時,我和我的團隊注意到:各行各業都涵蓋流程審批、許可權分配、帳號登錄等諸多涉及身份認證的環節,更有甚者,在金融和支付業務較多的場景中,無論是傳統金融、互聯網金融、還是電子商務、協力廠商支付,均涉及大量使用者登錄、支付、交易、充值、提現、借貸放貸、資訊修改等環節,無一不對身份認證提出強需求。

因此,我們嘗試將時空碼、設備指紋、區塊鏈等多項核心安全技術整合運用於身份認證領域,通過人工智慧的方式,在毫秒內綜合判斷時間、空間、設備、生物、行為等多重因數,以期説明企業客戶解決平臺使用者帳號登錄、管理授權、轉帳匯款、支付交易、資金提現等關鍵環節的二次身份確認問題。

我們研究發現,在身份認證需求相對較弱,但使用場景更加廣泛的註冊和登錄環節,批量註冊、帳號撞庫、惡意登錄和灌水行為等安全問題普遍存在。這些問題,在我看來,通過人工智慧、機器學習、設備指紋等技術對軟、硬體屬性和行為特徵的快速風險分析,可以高效識別人機特徵,從而有效規避註冊登錄風險。

在保證資訊節點安全性這一環節上,我的經驗是:要在盡可能多的移動設備上完成對可信計算環境的創建,要實現移動設備全相容、運行性能零損耗、安全防破解,高效防逆向、防篡改、防竊取的移動應用加固效果。從這個角度來說,將虛擬機器保護技術應用于移動應用加固或許是一個有效的嘗試。

此外,在對用戶業務行為風險防範方面,及時動態預警風險和阻斷欺詐操作是關鍵。在我看來,整合運用人工智慧與大資料、設備指紋、規則引擎、深度學習等技術,有助於全方位即時監控風險、實現多維度關聯分析和可信度分析,防範業務行為風險。

目前來看,雖然構建一個基於技術創新的、全方位的金融科技信任基礎體系仍然存在著一些技術挑戰,但這將是我和我的團隊努力的方向,我們將致力於把習近平總書記‘讓互聯網更好造福國家和人民’ 的號召真正落到實處。

我們必須相信一些東西,必須有一些最基本的假設,安全方案才能得以建立。如果我們否定一切,安全方案就會如無源之水、無本之木,無法設計也無法完成。

舉例來說,假設我們有份很重要的檔要好好保管起來,能想到的一個方案是把檔“鎖“到抽屜裡。這裡就包含了幾個基本的假設:首先,製作這把鎖的工匠是可以信任的,他沒有私藏一把鑰匙;其次,製作抽屜的工匠沒有私自給抽屜裝一個後門;最後,鑰匙還必須要保管在一個不會出問題的地方,或者交給值得信任的人保管。反之,如果我們一切都不信任,那麼也就不可能認為檔放在抽屜裡是安全的。

與之類似,要解決移動互聯網環境中,金融科技領域應用與服務的安全問題,就要從安全的本質——信任問題出發。一種可行的途徑是,通過將網路安全技術(如:區塊鏈、人工智慧、大資料分析及移動安全等)的有機結合,對金融科技領域多種應用場景中的使用者、設備、移動應用環境以及用戶行為等進行可信度判斷,從而構建一種全方位的金融科技應用與服務信任基礎體系。

解讀金融科技應用與服務信任基礎體系

事實上,移動互聯網時代,金融科技應用與服務的風險點主要集中在四個方面,暨身份識別風險、設備識別風險、軟體環境風險和業務行為風險。與此同時,在金融科技的各個場景中,如APP安全、雲身份識別與管理、風控反欺詐、金融大資料應用等場景中,都存在上述風險,導致金融科技領域中的信任基礎薄弱。

此外,構建金融科技信任基礎體系,有兩個關鍵點,其一是確認資訊的可信度,其二是保障資訊節點的安全性。在這方面,區塊鏈等前沿網路安全技術的應用則顯得至關重要。

在金融科技應用與服務信任基礎體系中,區塊鏈技術是作為底層技術支撐,其作用是確認資訊的可信度。這種去中心化的分散式資料存儲技術,通過節點間的資訊檢驗,能夠將那些真實有效的資訊永久保存下來,並且不可篡改。因此,我們可以通過區塊鏈的功能實現對所有的身份資訊、設備資訊、應用資訊及使用者行為的記錄和可信性篩選;不僅如此、在此基礎上,通過機器學習、資料採擷等人工智慧技術對使用者、設備、應用及行為進行歷史行為分析,可以做出更精准、可靠的可信度判斷。

構建金融科技應用與服務信任基礎體系的另一個關鍵點是區塊鏈節點的安全性需要得到保障。對此,先進的移動安全技術可以在用戶的手機上創建一個安全可信的計算環境,駭客難以入侵或操縱用戶的區塊鏈用戶端,從而保障用戶能夠通過手機來可靠地獲取我們這個信任基礎體系提供的服務。

一個完整的金融科技應用與服務信任基礎體系,還需要具備兩項基本功能,暨生成風險分與信任分。對於B端用戶來說,風險分有助於輔助企業評估自己的用戶是不是有風險行為或風險意向;而對於C端用戶來說,信任分則能夠幫助用戶評估自己在信任基礎體系中所處的位置,瞭解自己是不是被信任。

在構建金融科技應用與服務信任基礎體系上的嘗試

筆者在區塊鏈身份認證、移動安全與大資料反欺詐領域進行了持續多年的嘗試,在構建金融科技應用與服務信任基礎體系方面,也有了一定的技術和行業積累。

在服務政府、公安以及SAAS企業時,我和我的團隊注意到:各行各業都涵蓋流程審批、許可權分配、帳號登錄等諸多涉及身份認證的環節,更有甚者,在金融和支付業務較多的場景中,無論是傳統金融、互聯網金融、還是電子商務、協力廠商支付,均涉及大量使用者登錄、支付、交易、充值、提現、借貸放貸、資訊修改等環節,無一不對身份認證提出強需求。

因此,我們嘗試將時空碼、設備指紋、區塊鏈等多項核心安全技術整合運用於身份認證領域,通過人工智慧的方式,在毫秒內綜合判斷時間、空間、設備、生物、行為等多重因數,以期説明企業客戶解決平臺使用者帳號登錄、管理授權、轉帳匯款、支付交易、資金提現等關鍵環節的二次身份確認問題。

我們研究發現,在身份認證需求相對較弱,但使用場景更加廣泛的註冊和登錄環節,批量註冊、帳號撞庫、惡意登錄和灌水行為等安全問題普遍存在。這些問題,在我看來,通過人工智慧、機器學習、設備指紋等技術對軟、硬體屬性和行為特徵的快速風險分析,可以高效識別人機特徵,從而有效規避註冊登錄風險。

在保證資訊節點安全性這一環節上,我的經驗是:要在盡可能多的移動設備上完成對可信計算環境的創建,要實現移動設備全相容、運行性能零損耗、安全防破解,高效防逆向、防篡改、防竊取的移動應用加固效果。從這個角度來說,將虛擬機器保護技術應用于移動應用加固或許是一個有效的嘗試。

此外,在對用戶業務行為風險防範方面,及時動態預警風險和阻斷欺詐操作是關鍵。在我看來,整合運用人工智慧與大資料、設備指紋、規則引擎、深度學習等技術,有助於全方位即時監控風險、實現多維度關聯分析和可信度分析,防範業務行為風險。

目前來看,雖然構建一個基於技術創新的、全方位的金融科技信任基礎體系仍然存在著一些技術挑戰,但這將是我和我的團隊努力的方向,我們將致力於把習近平總書記‘讓互聯網更好造福國家和人民’ 的號召真正落到實處。