用户身份管理与识别,对于金融科技而言一直是重中之重,在当前金融科技数字化转型背景下,金融科技正在给银行业务带来前所未有的变革,伴随移动互联网和智能终端的普及,以资源共享、线上线下融合为主要特征,金融科技的服务模式和业务流程呈现出以下趋势:
一是客户行为改变,90 后乃至 00 后成为金融消费主力军,他们需要银行随时随地提供定制化的金融产品与服务,电子支付使用频率达到新高,与银行金融服务绑定的第三方互联网金融消费服务增长较快。
二是金融生态改变,金融渠道进一步线上化、移动化、场景化,提供多场景触达能力,提供全时化服务和改善良好的客户体验,电子渠道成为与客户交互的主阵地。
三是竞争态势在变,同业竞争以及来自互联网银行的竞争,需要更加开放的心态和新的数字化技术提升运营效率,拓宽服务范围,提升服务水平。
金融科技创新背景下最重要的两个特点就是:开放和智能,而安全对于金融行业而言,是其生存和业务发展的基石。在众多的信息安全挑战中,用户身份识别对于金融科技而言是老生常谈的问题,涉及到各类业务场景较多,例如柜面业务、电子银行渠道、银行卡交易与支付以及内部的一体化办公平台。
数字身份安全有哪些挑战?
1. 外因驱动:监管、合规是永恒不变的法则
网络安全法
信息安全等级保护条例
银保监会银行业务风险防控指导意见
商业银行内部控制指引
海外的萨班斯法案、GDPR等
2. 内因驱动:
服务提升,解决低效或需求不符,向用户提供高效无缝的服务;
授权,解决授权规则及关系复杂问题,根据用户属性向用户提供有权享有的服务;
身份数据共享,解决数据安全传输和保护问题,确保数字身份属性在各应用间的传递;
身份认证,解决安全与便捷矛盾问题,提供给用户属性相匹配的安全快捷认证方式;
数字身份构建,与其相关的属性收集有误或缺失,需要集中统一的用户数字身份中台服务;
接口API安全,新金融、零售银行业务及开放银行数字化转型中的核心能力来自API开放,如何确保数量众多的API访问安全;
标准与规范,缺少统一和一致性的标准,集成接入过程复杂,需要持续性的支撑后期快速迭代的新业务应用。
如何应对这些挑战?
首先,对数字身份进行分类:
以商业为例,其用户类型可以分为内部用户、外部用户以及终端设备或应用程序三类;内部用户按照业务范围可以分为总行以及各分行行政管理人员和各个网点的柜面人员;对内而言,内部用户都有统一的基于人事信息管理的员工编号、办公应用帐号,对于柜面人员会单独增加柜员号+机构编号组成的唯一业务编号;各类银行交易、以及业务办理的智能终端、柜员机等设备,通过网络也会与后台应用之间产生数据交互,从一定意义上来讲也属于内部的虚拟自然人用户,其身份则由内置的设备数字证书来决定其唯一合法性;对外而言,金融科技部门同时又会有大量的第三方厂商外部驻场运维人员,电子银行渠道业务大量面向最终用户的网上银行、手机银行、微信银行等,这类业务会产生大量的消费者用户。
因此,从业务的角度正确区分用户类型是解决数字化身份差异管理的第一步,也是最基础最重要的一步。
第二,数字身份识别,融合多种认证因子
金融科技中对于用户身份识别验证的安全性非常看重,也是生物特征认证应用最多的领域。
目前比较成熟且普及的认证方式有动态安全 Key、人脸识别、指纹、短信验证码等。
融合身份认证解决了用户体验在便利同时又有安全保护,其应用场景从登录App,到发生交易的各个环节。
融合认证策略规则可以从用户、终端、访问位置、App等不同维度进行组合定义。
第三, 识别权限管理核心与要素
准入授权:基于用户访问应用的授权,包括登录准入和访问准入;
角色授权:基于RBAC和GBAC两种授权模型,实现用户操作和管理授权;
业务授权:基于应用系统的进一步细化授权,通常包括业务的自身页面、菜单、按钮和操作授权,也称为细粒度授权;
数据授权:基于应用后台的数据操作、查询和管理授权,包括权限建模、权限功能融合等。
第四,合规审计、风险感知分析
第五,输出规范与标准
用户管理规范:命名规范、密码规范;
数字身份管理运营规范:流程申请、应用发布规范;
应用接入规范:用户同步接口规范、应用认证接口规范。
最终,构建金融科技新业态下的可信数字身份管理平台。平台定位为信息科技中心的基础架构,通过以 “人” 为核心的安全管理,为金融业务安全赋能!
可信数字身份对于金融科技创新在信息安全中的收益:
服务提升,可信数字身份可以让金融机构为用户提供安全可靠的定制服务
运营提效,简化操作流程,减少人为失误
安全合规,多因子认证结合,解决安全与便捷互相矛盾的问题,数字身份的存储和管理与行为审计分析结合,使得合规审计更容易也更精准
业务价值提升,数字身份属性的丰富和完善,可以让金融机构更有针对性改善产品和优化服务
竞争力提升,用户体验的提升是金融科技数字化转型的重要组成
领取专属 10元无门槛券
私享最新 技术干货