金融科技創新中的數字身份安全
作者:星期六, 十一月 16, 20190

作者:派拉軟件 董磊

用戶身份管理與識別,對于金融科技而言一直是重中之重,在當前金融科技數字化轉型背景下,金融科技正在給銀行業務帶來前所未有的變革,伴隨移動互聯網和智能終端的普及,以資源共享、線上線下融合為主要特征,金融科技的服務模式和業務流程呈現出以下趨勢:

一是客戶行為改變,90 后乃至 00 后成為金融消費主力軍,他們需要銀行隨時隨地提供定制化的金融產品與服務,電子支付使用頻率達到新高,與銀行金融服務綁定的第三方互聯網金融消費服務增長較快。

二是金融生態改變,金融渠道進一步線上化、移動化、場景化,提供多場景觸達能力,提供全時化服務和改善良好的客戶體驗,電子渠道成為與客戶交互的主陣地。

三是競爭態勢在變,同業競爭以及來自互聯網銀行的競爭,需要更加開放的心態和新的數字化技術提升運營效率,拓寬服務范圍,提升服務水平。

金融科技創新背景下最重要的兩個特點就是:開放和智能,而安全對于金融行業而言,是其生存和業務發展的基石。在眾多的信息安全挑戰中,用戶身份識別對于金融科技而言是老生常談的問題,涉及到各類業務場景較多,例如柜面業務、電子銀行渠道、銀行卡交易與支付以及內部的一體化辦公平臺。

數字身份安全有哪些挑戰?

1. 外因驅動:監管、合規是永恒不變的法則

  • 網絡安全法
  • 信息安全等級保護條例
  • 銀保監會銀行業務風險防控指導意見
  • 商業銀行內部控制指引
  • 海外的薩班斯法案、GDPR等

2. 內因驅動:

  • 服務提升,解決低效或需求不符,向用戶提供高效無縫的服務;
  • 授權,解決授權規則及關系復雜問題,根據用戶屬性向用戶提供有權享有的服務;
  • 身份數據共享,解決數據安全傳輸和保護問題,確保數字身份屬性在各應用間的傳遞;
  • 身份認證,解決安全與便捷矛盾問題,提供給用戶屬性相匹配的安全快捷認證方式;
  • 數字身份構建,與其相關的屬性收集有誤或缺失,需要集中統一的用戶數字身份中臺服務;
  • 接口API安全,新金融、零售銀行業務及開放銀行數字化轉型中的核心能力來自API開放,如何確保數量眾多的API訪問安全;
  • 標準與規范,缺少統一和一致性的標準,集成接入過程復雜,需要持續性的支撐后期快速迭代的新業務應用。

如何應對這些挑戰?

首先,對數字身份進行分類:

以商業為例,其用戶類型可以分為內部用戶、外部用戶以及終端設備或應用程序三類;內部用戶按照業務范圍可以分為總行以及各分行行政管理人員和各個網點的柜面人員;對內而言,內部用戶都有統一的基于人事信息管理的員工編號、辦公應用帳號,對于柜面人員會單獨增加柜員號+機構編號組成的唯一業務編號;各類銀行交易、以及業務辦理的智能終端、柜員機等設備,通過網絡也會與后臺應用之間產生數據交互,從一定意義上來講也屬于內部的虛擬自然人用戶,其身份則由內置的設備數字證書來決定其唯一合法性;對外而言,金融科技部門同時又會有大量的第三方廠商外部駐場運維人員,電子銀行渠道業務大量面向最終用戶的網上銀行、手機銀行、微信銀行等,這類業務會產生大量的消費者用戶。

因此,從業務的角度正確區分用戶類型是解決數字化身份差異管理的第一步,也是最基礎最重要的一步。

第二,數字身份識別,融合多種認證因子

金融科技中對于用戶身份識別驗證的安全性非常看重,也是生物特征認證應用最多的領域。

目前比較成熟且普及的認證方式有動態安全 Key、人臉識別、指紋、短信驗證碼等。

融合身份認證解決了用戶體驗在便利同時又有安全保護,其應用場景從登錄App,到發生交易的各個環節。

融合認證策略規則可以從用戶、終端、訪問位置、App等不同維度進行組合定義。

第三, 識別權限管理核心與要素

  • 準入授權:基于用戶訪問應用的授權,包括登錄準入和訪問準入;
  • 角色授權:基于RBAC和GBAC兩種授權模型,實現用戶操作和管理授權;
  • 業務授權:基于應用系統的進一步細化授權,通常包括業務的自身頁面、菜單、按鈕和操作授權,也稱為細粒度授權;
  • 數據授權:基于應用后臺的數據操作、查詢和管理授權,包括權限建模、權限功能融合等。

第四,合規審計、風險感知分析

第五,輸出規范與標準

  • 用戶管理規范:命名規范、密碼規范;
  • 數字身份管理運營規范:流程申請、應用發布規范;
  • 應用接入規范:用戶同步接口規范、應用認證接口規范。

最終,構建金融科技新業態下的可信數字身份管理平臺。平臺定位為信息科技中心的基礎架構,通過以 “人” 為核心的安全管理,為金融業務安全賦能!

可信數字身份對于金融科技創新在信息安全中的收益:

  • 服務提升,可信數字身份可以讓金融機構為用戶提供安全可靠的定制服務
  • 運營提效,簡化操作流程,減少人為失誤
  • 安全合規,多因子認證結合,解決安全與便捷互相矛盾的問題,數字身份的存儲和管理與行為審計分析結合,使得合規審計更容易也更精準
  • 業務價值提升,數字身份屬性的豐富和完善,可以讓金融機構更有針對性改善產品和優化服務
  • 競爭力提升,用戶體驗的提升是金融科技數字化轉型的重要組成

相關閱讀

 

看First Citrus銀行如何實現無口令身份驗證

 


相關文章

沒有相關文章!

寫一條評論

 

 

0條評論