1月10日,由公安部网络安全保卫局指导、人民网和中国信息通信研究院联合主办的“首届移动互联网应用安全发展峰会”在人民日报社举行。就互联网技术创新与风险防范话题,陆金所研发部副总经理伊奇表示,移动应用的开发标准应是“对坏人关卡重重,对好人则畅通无阻”。
数据显示,全世界现在平均每20秒就会发生一次计算机网络入侵事件。数据入侵、盗窃和丢失等方面造成的企业业务漏洞层出不穷。伊奇指出,金融公司因聚集大量居民财富和个人信息而成为网络攻击的重点对象,以陆金所为例,不仅本身承载了大量金融交易,同时作为一个“中枢型”的开放平台,更对接了各类金融机构、支付机构、个人用户及企业用户,“对陆金所而言,我们每天面临着物理环境安全、网络安全、系统安全、应用安全等多个方面的挑战,这对平台稳定性、安全性和风险防范能力提出了非常高的要求,我们也以高于行业最高标准的要求建立全面的安全系统。”
伊奇表示,针对较常出现的资金安全、羊毛党、外挂三大风险,陆金所研发并启用了一套“大数据业务安全风控系统”,并在实战中表现优异。“陆金所信息安全攻防战主要围绕用户权限、交易欺诈、异常风控业务逻辑等风控关键节点展开。在这些节点当中,在用户授权的情况下,陆金所会收集用户的行为和信息,结合后台的风控策略,通过大数据的分析,将风控实施融入到其业务流程当中,这也就是大家俗称的实时风控。在实时风控下,可以大大减少人力的投入和后期对于风险的处理成本。”
基于实时风控,陆金所独立开发的一套支持动态化、模块化的验证方式,陆金所也成为首家实现验证组件动态化的平台。举个例子,在陆金所上,用户身份验证方式多达19种。但平台实时跟进用户账户时,若判断出现风险隐情,则会自动通知并根据不同情况,调取不同的验证组合让用户进行身份认证。“不同的验证组合让攻击者无法掌握到其中的规律,需要不断地重新尝试,这更会引起系统的警惕,让不法分子原形毕露。”
一个平台安全系数越高,则往往会影响用户操作的体验感。伊奇指出:“通过大数据和业务的风控,公司能够将所有的风控内容适用于那些危险用户;而对于普通用户来说,则是无感知、透明化的”。“例如我们发现陆金所用户在陌生地点或陌生设备登录,系统便会自动通过人脸识别等验证方式,确认本人操作;而日常情况下,用户可使用更简单的方式可直接登录,在不影响用户体验的情况下提升账户安全。”
据了解,陆金所这套“大数据业务安全风控系统”,融合了平安集团金融DNA、大数据和AI技术、安全风控等各方面创新成果,现已在全国申请专利。前不久,这套系统刚刚获得了由大数据协同安全技术国家工程实验室颁发的年度“大数据优秀安全案例奖”,该奖项是我国在大数据安全领域设立的首个专门奖项。
除此之外,早在2017年,陆金所已完成了多数据中心“同城多活”机房的建设,去年4月起研发“一键切换”的功能。“目前,我们已经实现在3分钟之内,完成整个平台4400万用户亿万级数据数从A机房转移到B机房的一件切换、转移、恢复,这在业内已经达到了绝对领先的水平。而且为了保证切换的顺畅性,我们每个月都会进行一键切换演练,且都是实战演练,最大程度地为陆金所用户的金融安全保驾护航。”
