王海霞：支付安全建設實踐與思考

第25屆金融展於7月27日至7月30日在北京展覽館與大家再次相見。本屆金融展將以「創新驅動 穩健轉型 共享金融」為主題，集中展示各類金融機構、金融科技企業的創新發展成果，以及面向企業、「三農」、百姓等推出的普惠金融新服務和金融IT新技術，通過多種形式、多個層次的分享互動，進一步促進金融行業內外的交流與合作，為金融業的穩定和可持續發展作出貢獻。JDS大眾經濟網_大眾經濟門戶網站

JDS大眾經濟網_大眾經濟門戶網站

JDS大眾經濟網_大眾經濟門戶網站

銀行網路金融部副總經理 王海霞出席並發表主旨演講，以下為演講全文：JDS大眾經濟網_大眾經濟門戶網站

王海霞：各位來賓大家上午好，非常容幸來參加第二十五屆金融展，我自己本人也非常容幸來參加以支付產業發展前沿為主題的論壇，也代表銀行跟各位來共同溝通支付安全建設的實踐和思考。剛剛李總講到我們銀行的DNA，的確安全合規就是我們的DNA，所以我從這個角度來演講，我是我們銀行最早做企業網上銀行的，而您之前是做密碼安全的，我們第一代的密碼器就是選擇的兆日，所以我們是相互選錯了主題。JDS大眾經濟網_大眾經濟門戶網站

我今天演講的內容是兩個部分，一個是支付市場發展的現狀，一個是我們行對安全支付的幾點思考。隨著新興科技支付方式的發展，大家都在講重要正在邁向無現金社會，非現金已經成為主流，根據聯合國的報告，預計到2020年我們國家的非現金支付佔零售市場的佔比將會達到70%，其中網上支付會達到16%，手機支付達到12%。其實我覺得可能保守了，手機支付肯定不止12%的數字。JDS大眾經濟網_大眾經濟門戶網站

在網路支付快速增長的同時，大家也可以看到各種新型的支付創新也在不斷的創新，像剛才講到的雲閃付、Apple PAY、二維碼等。在無卡、無現金支付當中的的確確最主要的組成部分是銀行卡，而不是咱們看到的實際上的。銀行卡應該說是最主要的一個組成部分，根據支付清算協會的數據大家可以看到，在2001年到2016年我們的發卡量從將近30億張已經增長到了60億張，POS達到了2400多萬台，銀行卡交易量從323萬億增長到了741萬億，銀行卡受理環境也在不斷的完善。JDS大眾經濟網_大眾經濟門戶網站

講到無卡支付首先講的還是網路和手機支付，從交易筆數來講，這兩方面發展這幾年的速度是更快的，大家也都可以看不得出來，支付領域呈現兩個主要的特點，第一個是從線上往線下轉移，根據支付清算協會的報告，2016年廣義的網路支付交易筆數已經超過了傳統通過POS機的交易筆數，已經達到了65%。另外就是從PC端向手機端轉移，到2016年支付的筆數也比較超過了PC端的網路支付。JDS大眾經濟網_大眾經濟門戶網站

在支付規模的快速發展，以及支付模式不斷創新的過程當中，我們也可以看到支付的安全環境也是面臨著日益嚴峻的局面，一方面隨著網路支付和移動支付佔比的擴大，風險欺詐案件的手段也隨之發生了變化，傳統大家都是違卡交易，磁條的泄露、倒刷的手段，網路支付出現以後會出現一些釣魚網站、偽基站、惡意程序、電信詐騙等，背後應該是呈現出一個產業鏈、專業化、團隊化的特點。JDS大眾經濟網_大眾經濟門戶網站

我們看到偽基站和釣魚網站應該是現在安全隱患最大的一個威脅了，我們也有關一個數據可以看到保守估計因為偽基站和釣魚網站攻擊達到100億的金額，2016年新增了釣魚網站將近200萬我覺得金融業也是重災區了，它適配各種手機，更新非常快，頁面完全可以以假亂真。偽造銀行的偽基站應該達到了70%以上，再加上偽基站跟木馬程序組合，使得用戶的迷惑性和資金損失更加嚴重。JDS大眾經濟網_大眾經濟門戶網站

還有移動端惡意程序和木馬病毒的泛濫，我們可以看到相關程序的漏洞，惡意的代碼和木馬病毒導致客戶信息泄露的危害日益嚴峻，從統計上看，65%的移動端的APP都至少有一個高風險的漏洞，每一個APP都至少有7.32個漏洞。而且整個的惡意軟體、銷售、傳播，他們都形成了一個分工明確、各司其職的產業鏈的運作模式。JDS大眾經濟網_大眾經濟門戶網站

針對這樣的市場的環境、網路的環境，我們看到一方面2016年國家出台了《網路安全法》從法律層面保護了安全，監管層面也是高度重視，2016年開始我們發的各種各樣的文件，從支付交易的認證、支付敏感信息的管理、終端安全管理各個方面都做了非常詳細的要求，也組織銀行和交易機構做了多輪的排查。監管合規是我們銀行的紅線，最基本的要求。JDS大眾經濟網_大眾經濟門戶網站

剛剛是發展現狀的回顧，接下來想談談我們行主要的思考，一個是構建全生命周期的管理，在嚴格遵守相關規章制度的同時我們是要積極探索應用，持續的完善來進行一個事前、事中、事後全周期的風控體系。我們還是應該堅持一個開放合作的心態，加強與行業各方合作，開放數據的共享，共同建立一個支付安全的環境來積極踐行社會責任。JDS大眾經濟網_大眾經濟門戶網站

在構建高效的全生命周期管理的體系的過程當中，在事前監控方面我們看到業界都在有這樣五個方面發展的趨勢，第一個就是風控智能認證差異化，以前標準化的一種或兩種都是統一的，而新科技的發展包括銀行也在研究，各個客戶的風險等級，交易場景，交易的類型等等去智能化的採用不同的手段，來實現因客的認證，保證交易安全的同時更重要的是提升客戶的體驗，這也是我們向支付機構不斷學習的領域。JDS大眾經濟網_大眾經濟門戶網站

在不同風險等級的客戶，在不同地區進行大額小額交易的時候給他一個不同的安全認證的手段，第二個方向就是認證的簡單化，還有是去介質化把它整合到手機的軟體硬體當中，讓使用的時候更加方便，降低了成本，提升了用戶的體驗。第三個方面我們看到越來越多的銀行把生物識別的技術應用到金融交易和業務當中去，比如銀聯也突出了質問的認證，以質問的認證去替代現有的驗密還有簽單簽字這樣的模式，業務規則上制定了相關保障的措施，也可以提升收銀的速度。也有把指紋識別應用到ATM取款以及手機銀行大額交易當中提升安全性。JDS大眾經濟網_大眾經濟門戶網站

還有支付標記化的應用，從我們銀行或者外行看，其實它的最重要的核心就是把實體卡，根據我們的場景，根據我們的應用去影射初步統的Token，我們是把這個馬甲拿來做支付，把客戶的本身卡的實體信息進行了隱藏。銀監會在去年的170號文，也明確要求商業銀行和支付機構應該使用支付標記話題，去對銀行的卡號，卡邊的驗證碼，支付機構盡心脫敏，並且通過交易次數、金額、有效期、支付渠道的屬性從源頭上防止信息的泄露，我們銀行也是積極的推動雲閃付，我們感覺到這種支付標記化的應用可以降低卡號泄露帶來的欺詐風險，另外我們可以通過交易場景的限制，將Token的使用限定在特定的範圍。它還有一個非常好的是整個銀聯在整個設備上的標準和業務流程，它還能為線上線下的活動提供可能性。JDS大眾經濟網_大眾經濟門戶網站

第五個方面就是構建多維度的限額開關的模型，在120號文是各行業銀行應該通過銀行的櫃檯，手機銀行、網上銀行、電話銀行各個渠道來為客戶提供銀行卡交易安全鎖的服務，引導持卡人交易的類型、渠道、地區、金額，來限定提高場景風險管控度，我們看到民生銀行是推出了交易安全所的產品，限額鎖跨境鎖這樣的五個自定義的安全服務，這五個方面都是在事前管控的領域，事中的領域都是從風險管控手段開始去發展，基本上都是可以金融科技為引領去藉助大數據、雲計算、人臉識別，生物認證能這樣的技術，通過360度的客戶畫像，實時監控，提前去預警風險，從而提升客戶的體驗，還能夠實現監控的效率，事中的監控有一系列的基礎條件，要滿足高併發、低延遲、可拓展的三個基本性的要求。也包括至少每秒是要處理2萬筆的交易，每筆交易的平均延遲是不能超過20毫秒，以及監控的能力要具有可拓展性，不斷的向其他的業務去拓展。JDS大眾經濟網_大眾經濟門戶網站

在基本性能要滿足的情況下，我們認為監控都是要建立這六個模塊，風險檢測與預警，風險顯影處理，智能認真風險地圖這六個大模塊，這六個大模塊的核心就是風險規則與模型，我們需要去重點採集多維度的信息還有它的權重，我們要根據數據的挖掘、案例的分析以及增加專家的經驗來抽取風險客戶和可疑行為的屬性。在風險評估得分結果出來之後，增加安全手段等等不同的措施，同時非常重要的還是要不斷的提升全流程，全業務這樣反欺詐的效率。JDS大眾經濟網_大眾經濟門戶網站

在事後，一方面各家機構都在建立檢測、關停、打擊的機制，更重要的還是要積極的建立支付安全事後的保證體制。這方面就包括第一方面是風險賠付，因為小額的支付是要進行風險賠付，需要有一定的風險容忍機制，我們就需要去建立業務風險的賠付機制，在出現問題的時候先行賠付，保護消費者的權利。JDS大眾經濟網_大眾經濟門戶網站

第二方面是資金的止付，這個是在人民銀行的201號文發布之後，我們聯合各家銀行已經建立了一個可疑賬戶的臨時止付的機制，先把賬戶止付，再根據司法洞解相關的賬戶，這樣就可以最大限度的晚會損失。第三當然是配合公安打擊犯罪，真正起到震懾犯罪的效果。還有最重要的是安全教育，有責任通過我的各種網站、場景去對整個止付過程中的安全風險提示做好相關的交易工作，尤其是面向弱勢群體以及薄弱環節提高教育的覆蓋面，以上是在事前、事中、事後建立一個安全體系的想法和思考。JDS大眾經濟網_大眾經濟門戶網站

在共建開放合作的止付安全生態上，我們希望國家部位和政府機關、運營商、金融同業、支付機構都能夠去積極的開放，建立一個風險的資料庫。我們還呼籲除了建一個資料庫以後我們還建議去形成一個透明、互信的這樣的協同工作機制，各方能夠共同去參與。網路安全絕不僅僅是一個企業，甚至它都不是一個國家能解決的事情，所以只有在法律法規的建設下做好產業協同，打破數據鴻溝，只有這樣才是支付安全的致勝法寶。JDS大眾經濟網_大眾經濟門戶網站

我前幾天是去參加了在法國里昂組織的一個針對網路反對的全球論壇，在這裡我是特別想用國際刑警組織新當選主席，也是我們公安部原副部長的一句話來結束今天的演講，他說：「一次行動勝過百次宣言。」我相信在各個機構的支持下，我們一定能夠建立一個更加安全、高效的支付生態體系，我的演講到這兒，謝謝。