雷鋒網(wǎng)編者按：科技的發(fā)展由量變到質(zhì)變，帶來了客戶行為的變化，其實(shí)也帶來了商業(yè)模式的劇烈變化。中國銀行作為百年老店，有歷史的傳承，有很多經(jīng)驗(yàn)，也有很多慣性。要適應(yīng)這個(gè)時(shí)代的轉(zhuǎn)換，它面對了更多挑戰(zhàn)。在第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)（CSS 2019）上，中國銀行總行網(wǎng)金部總經(jīng)理郭為民介紹了中國銀行的安全實(shí)踐案例，為銀行業(yè)提供了借鑒。

以下為郭為民的演講文稿，雷鋒網(wǎng)略有刪節(jié)和整理。

－－

［郭為民］

我們面臨風(fēng)險(xiǎn)和體驗(yàn)的矛盾。

銀行原來要保證交易風(fēng)險(xiǎn)還是信用風(fēng)險(xiǎn)，最擅長用的手段是給你增加條件，“你不要做我就最安全”。我們做手機(jī)的交易認(rèn)證，原來要雙因子認(rèn)證，要密碼，密碼要有大小寫字母，還要有 8 位數(shù)字，三個(gè)月還要換一次，這還不行，我們需要你帶著你的動(dòng)態(tài)令牌，轉(zhuǎn)帳時(shí)輸入一個(gè)OTP 6位實(shí)時(shí)在變的數(shù)字密碼。這些措施都是為了保證交易安全，但給客戶帶來了極大的不便。所以，我們怎么能夠在保證客戶體驗(yàn)的同時(shí)，又能有效防范風(fēng)險(xiǎn)？

我們必須要應(yīng)用新科技。

安全是木桶原理，木桶最重要的是不能有短板，短板決定了能裝多少水。但是木桶對于客戶體驗(yàn)而言，還有一個(gè)更重要的點(diǎn)，就是木桶不能有長板。如果木桶有一塊板子非常長，對于這個(gè)木桶能裝多少水其實(shí)沒有任何影響，但是對使用的便利性有巨大的影響。怎么才能保證安全，同時(shí)又能夠提升體驗(yàn)，這其實(shí)是永恒的話題。   

金融科技與金融安全如何能夠解決體驗(yàn)和風(fēng)控的矛盾？就像解決任何一個(gè)我們在新時(shí)代遇到的矛盾一樣，必須利用新科技。新科技不僅僅是一種科技，一定是多種科技相互融合的結(jié)果才更有效。如人工智能、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)技術(shù)，如果能把它們有效結(jié)合，效果才是最大的。

我要分享一則案例分享，人工智能助力反洗錢。

大家對現(xiàn)在大經(jīng)濟(jì)環(huán)境比較了解，在中美之間的矛盾下，很多涉及美國的金融業(yè)務(wù)受到了影響，尤其是以美元清算、結(jié)算相關(guān)的金融業(yè)務(wù)受到了很大的挑戰(zhàn)，有一段時(shí)間我們紐約分行里面坐滿了做反洗錢的員工，因?yàn)閷?shí)在太多了，我們有一年就新增了 70 位員工，他們沒有工位，最后只能坐到食堂做反洗錢的工作。

反洗錢很簡單，就是做一個(gè)模式識別，有一定規(guī)則，根據(jù)這些規(guī)則看這筆交易有多少交易風(fēng)險(xiǎn)，然后再做相應(yīng)的核查，再評估風(fēng)險(xiǎn)。如果風(fēng)險(xiǎn)滿足我們的要求，這筆交易就可以做。

但是，這有兩個(gè)非常大的問題：第一，成本太高；第二效率太低。用人工智能來解決這個(gè)問題，還是用大數(shù)據(jù)來解決這個(gè)問題，還是用其他什么方法來解決這個(gè)問題？后來經(jīng)過實(shí)踐，其實(shí)用任何單一的技術(shù)都解決不了這個(gè)問題，只有充分運(yùn)用現(xiàn)在手里掌握的各種先進(jìn)科技的有機(jī)融合，才能解決這個(gè)問題。這個(gè)案例也非常成功，替代了原來坐在食堂里的 70 位員工。

認(rèn)證方面，以前認(rèn)證因子需要?jiǎng)討B(tài)令牌，最近我們與中國移動(dòng)合作，包括其他一些認(rèn)證機(jī)構(gòu)，可以把令牌、證書都裝到手機(jī)盾里，能夠有效防范風(fēng)險(xiǎn)。但是，這些其實(shí)對客戶都是有一定影響的，就像我們手機(jī)盾，要求客戶要換 SIM 卡，里面裝證書，或者軟證書，都牽涉到軟件升級問題。有沒有一種辦法能夠讓客戶無感，但同時(shí)我們也能有效防范風(fēng)險(xiǎn)？這就是今天我們最重點(diǎn)的案例，即我們與騰訊公司合作的網(wǎng)御系統(tǒng)（交易反欺詐）。

首先，它是一個(gè)事中交易監(jiān)控系統(tǒng)，就是在交易進(jìn)行的過程中做的風(fēng)險(xiǎn)防控，不是事后，不是發(fā)生了再解決，這是第一個(gè)特點(diǎn)。

第二，不僅解決了確認(rèn)客戶身份的問題，同時(shí)也解決了原來沒有任何辦法解決的電信欺詐問題。有的客戶被犯罪分子欺詐，哭著喊著要轉(zhuǎn)錢，網(wǎng)點(diǎn)員工說你可能被騙錢了，不要轉(zhuǎn)這個(gè)錢，他還要轉(zhuǎn)。在線上有的客戶被釣魚，他的動(dòng)態(tài)令牌被釣了 20 多次，犯罪分子說又給你發(fā)了一個(gè)短信驗(yàn)證碼，拿你的動(dòng)態(tài)令牌看看新的驗(yàn)證碼，現(xiàn)在這個(gè)系統(tǒng)能夠有效防范電信欺詐風(fēng)險(xiǎn)。

首先我們不是從一個(gè)維度解決這個(gè)問題，我們是從多維度解決這個(gè)問題，如加入了客戶的行為指紋。行為指紋如果是靜態(tài)的，就是在某一個(gè)片斷的行為，如現(xiàn)在是用你家里的WiFi，還是用公共的WiFi，還是用4G的網(wǎng)絡(luò)通訊，風(fēng)險(xiǎn)等級不一樣，更重要的是結(jié)合了動(dòng)態(tài)的維度，比如握手機(jī)的姿勢，是左手握還是右手握，按鍵輕重和快慢，這些因子能夠更好地證明是否客戶本人在使用這個(gè)應(yīng)用、這個(gè) App 在做這筆金融交易，而不是隨身攜帶的 OTP，也不是靠你輸入的密碼，因?yàn)槟切┒加锌赡鼙会烎~，但你的行為是不可能被釣魚的。在客戶認(rèn)證環(huán)節(jié)，我們結(jié)合了有時(shí)序的、多維度的認(rèn)證因子能認(rèn)證這個(gè)客戶的行為，這樣就不需要有任何認(rèn)證工具。

現(xiàn)在中國銀行能夠讓你利用手機(jī)銀行向任何一個(gè)人轉(zhuǎn) 500 萬，國內(nèi)國外的其他銀行都是做不到的，因?yàn)轱L(fēng)險(xiǎn)太大，不需要雙因子，就讓客戶可以轉(zhuǎn) 500 萬，不需要到柜臺(tái)去簽約收款賬戶，就是因?yàn)榫邆淞宋覀兎浅Ｓ行判牡纳矸菡J(rèn)證。

電信欺詐怎么防范？確實(shí)是客戶本人在做這筆交易，怎么能夠阻斷這筆交易？分析收款賬戶。收款賬戶的風(fēng)險(xiǎn)模型依靠原來中國銀行的數(shù)據(jù)手段是做不到的，因?yàn)轵v訊擁有海量的黑灰產(chǎn)數(shù)據(jù)，同時(shí)又積累了很多黑產(chǎn)對抗經(jīng)驗(yàn)的模型，它對很多客戶賬戶的風(fēng)險(xiǎn)等級有非常精準(zhǔn)的定義，把這個(gè)因子引入進(jìn)來，當(dāng)客戶做一筆交易時(shí)，我們就能有效地分析這筆交易是不是這個(gè)客戶本人做的，是不是這個(gè)客戶應(yīng)該做的，我們能知道是不是他應(yīng)該轉(zhuǎn)一筆錢到某某某，這就非常重要，這比原來“不管多少因子的認(rèn)證”往前邁進(jìn)了一大步。

運(yùn)用這種新科技的手段，不僅結(jié)合大數(shù)據(jù)，更重要的是有人工智能、云計(jì)算、云網(wǎng)端安全防護(hù)體系，中國銀行在過去一年累計(jì)監(jiān)測超過 30 億筆交易，其中阻斷了超過 100 億的交易金額。什么概念？100 億也許是客戶誤操作或者理由不充分，我們阻斷了。我們隨機(jī)抽樣打電話回訪，是不是你做這筆交易，應(yīng)不應(yīng)該做這筆交易？90% 的客戶最后都選擇了放棄交易，其中有 3000 多筆，金額是 6000 多萬，客戶說“謝謝你，我真不應(yīng)該做這筆交易”。其他放棄交易的我們認(rèn)為都是有問題的，不會(huì)是一個(gè)正常交易，有人打電話過來驗(yàn)證就不做了，放棄了就說明肯定有很多問題。雖然不能確認(rèn)這 100 億是被欺詐的，但是我們相信其中很大一部分比例的阻斷是非常有效的。

這個(gè)成績來之不易，作為銀行在防范尤其交易風(fēng)險(xiǎn)方面投入非常多。到 ATM 去轉(zhuǎn)帳，要看那個(gè)密碼比登天還難，要把頭湊過去，很簡單，就是怕犯罪分子裝攝像頭把你的密碼攝下來。如果我們用單一的手段去做，其實(shí)最后就像 ATM 轉(zhuǎn)帳一樣要求延時(shí) 24 小時(shí)，把密碼鍵盤藏得連用戶自己都找不到，但是如果我們用新科技，中國銀行的手機(jī)銀行不需要攜帶動(dòng)態(tài)令牌，直接可以轉(zhuǎn) 500 萬，而且實(shí)時(shí)到賬，這就是科技帶來的力量。不僅有效地提升了效率，更重要的是更有效地防范了風(fēng)險(xiǎn)。

信用風(fēng)險(xiǎn)防控方面，運(yùn)用大數(shù)據(jù)也非常有收獲，中銀 E 貸產(chǎn)品是我們一款秒貸產(chǎn)品，所謂“秒貸”就是客戶不需要申請，我們主動(dòng)授信，可以金額達(dá)到30萬，而且利率非常低。客戶省去了以前繁瑣要提交貸款資料，包括申請信用卡要提交收入證明、提交是否有共債，是否有其他借貸等，現(xiàn)在中國銀行有能力給每一位客戶預(yù)授信。

通過我們的大數(shù)據(jù)分析，不需要申請，就像不需要你告訴我你住在哪里，你的電話號碼是什么，你只要是我們的客戶，你原來可能填錯(cuò)了，都會(huì)幫助你糾錯(cuò)，對每個(gè)用戶進(jìn)行預(yù)授信，這樣我們的客戶使用金融服務(wù)時(shí)就會(huì)享受到極大的便利。

通過使用包括人工智能、大數(shù)據(jù)、云計(jì)算等等先進(jìn)技術(shù)，現(xiàn)在中國銀行有能力給每一個(gè)客戶提供個(gè)性化的產(chǎn)品和服務(wù)。中國銀行有 4 億客戶，以前這是不可想象的，一個(gè)產(chǎn)品可能是為某一個(gè)客群，這個(gè)客群可能都是資產(chǎn)超過 20 萬或超過 50 萬，只能針對客群定制產(chǎn)品，因?yàn)樾录夹g(shù)，我們現(xiàn)在有能力給每一個(gè)客戶量身定制產(chǎn)品和服務(wù)，這就是新技術(shù)給我們帶來的能力。

最后跟大家分享的案例是網(wǎng)絡(luò)安全防御。安全的防控其實(shí)不是靠某一項(xiàng)技術(shù)，也不是靠某一個(gè)系統(tǒng)，是一個(gè)安全的防護(hù)體系，包括規(guī)章制度、系統(tǒng)硬件軟件、平臺(tái)、專業(yè)的安全防護(hù)軟件，要保證真正的安全，再回到木桶原理，不能有短板。現(xiàn)代科技又給了我們一個(gè)新的選擇，如果通過系統(tǒng)的眼光，體系化地去解決安全問題，就像我們的網(wǎng)御系統(tǒng)，不是某一項(xiàng)技術(shù)，是一個(gè)安全防控體系，結(jié)合了大數(shù)據(jù)、人的行為數(shù)據(jù)、人的時(shí)序數(shù)據(jù)，也結(jié)合了其他數(shù)據(jù)標(biāo)簽，用多維的方法、體系化的手段來解決安全防控問題。

via 雷鋒網(wǎng)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。