銀行業(yè)業(yè)務安全體系建設白皮書2023

目 錄一、銀行呈現(xiàn)數(shù)字新業(yè)態(tài)，業(yè)務與風險博弈發(fā)展 1（一）數(shù)字金融成為金融業(yè)轉型的發(fā)展趨勢，銀行呈現(xiàn)數(shù)字新業(yè)態(tài) 1（二）銀行數(shù)字新業(yè)態(tài)與業(yè)務安全風險博弈發(fā)展 3（三）銀行業(yè)務安全重要性凸顯，金融領域監(jiān)管逐漸清晰化 12二、銀行業(yè)務安全發(fā)展仍處初期，體系建設面臨諸多問題挑戰(zhàn) 16（一）業(yè)務安全建設技術手段有效性面臨挑戰(zhàn) 17（二）銀行業(yè)務安全建設管理制度仍需加強 18三、銀行業(yè)業(yè)務安全防御體系建設關鍵點 20（一）業(yè)務安全防御體系建設目標 20（二）業(yè)務安全防御體系建設思路與路徑 21（三）新技術在業(yè)務安全防御體系建設中的需求與挑戰(zhàn) 27四、銀行業(yè)業(yè)務安全發(fā)展趨勢與展望 31（一）業(yè)務安全建設不斷夯實，體系標準更加完善 31（二）聚焦關鍵技術創(chuàng)新，集合產(chǎn)學研力量加強攻關 32（三）33圖目錄圖1 黑灰產(chǎn)業(yè)上、中、下游產(chǎn)業(yè)鏈條 6圖2 2023年4-9月數(shù)字人民幣洗錢記錄捕獲數(shù)量 12圖3 業(yè)務安全市場監(jiān)管逐漸清晰 13圖4 銀行業(yè)業(yè)務安全體系建設面臨挑戰(zhàn) 17圖5 業(yè)務安全防御體系管理機制建設關鍵點 21圖6 業(yè)務安全體系防御策略建設關鍵點 22圖7 安全風險防御策略 23圖8 業(yè)務安全防御體系關鍵點 24一、銀行呈現(xiàn)數(shù)字新業(yè)態(tài)，業(yè)務與風險博弈發(fā)展（一）數(shù)字金融成為金融業(yè)轉型的發(fā)展趨勢，銀行呈現(xiàn)數(shù)字新業(yè)態(tài)20232（2023202250.2同名義長10.3已續(xù)11年著高同期GDP名增速，數(shù)字經(jīng)濟占GDP41.51。61《中國數(shù)字經(jīng)濟發(fā)展研究報告(2023年),中國信息通信研究院,/s/_tjl-xjWhgTzvbmomI1yGA投入合計為1165.49億元，同比增長8.42。據(jù)百信銀行聯(lián)合安永（2021）3002025400增率預達到412，業(yè)數(shù)金融成為有推動字經(jīng)發(fā)展2《產(chǎn)業(yè)數(shù)字金融研究報告（2021）》,百信銀行,/s/_tjl-xjWhgTzvbmomI1yGAAI協(xié)同化幫助銀行構建金融生態(tài)，促進行業(yè)共同發(fā)展當前，銀行正與其他金融機構、技術提供商、創(chuàng)新企業(yè)等積極建立緊密的合作關系，共同開發(fā)和共享數(shù)字化服務和資源。通過數(shù)字化生態(tài)協(xié)同，銀行能夠獲得更廣泛的資源和專業(yè)知識，提高服務質(zhì)量和創(chuàng)新能力，實現(xiàn)資源的共享和優(yōu)勢的互補，促進行業(yè)共同發(fā)展。黑灰產(chǎn)業(yè)發(fā)展迅猛，規(guī)模逐漸壯大在銀行業(yè)數(shù)字化轉型的進程中，黑灰產(chǎn)業(yè)也有了新的改變：組織規(guī)模日益壯大、黑產(chǎn)行為更加隱秘、從業(yè)者犯罪手段不斷升級，加劇了銀行業(yè)業(yè)務風險防護的壓力。QQTG群與QQ2023年三季度TG7.3萬2.532.43代理IPIP，20222404年，2022年灰產(chǎn)業(yè)人數(shù)量體增了5左。作最3《2023年第三季度互聯(lián)網(wǎng)黑灰產(chǎn)研究報告》,威脅獵人,/s/okPPU6NDkg1E77mPlk0a9A4《2022年黑灰產(chǎn)業(yè)研究報告》,威脅獵人,/s/hsck5q0le3AmgbKr8ho40g4重要的黑灰產(chǎn)資源的黑手機卡和黑IP20236047003。202366483202251004。黑灰產(chǎn)從業(yè)者游走于法律監(jiān)管的邊緣地帶，逐漸形成一條分工明確、合作緊密的黑灰產(chǎn)業(yè)鏈條。按照供給結構劃分，可以分為上中下游，分別對應的是資源層、服務層、變現(xiàn)層，如圖1所示。圖1黑灰產(chǎn)業(yè)上、中、下游產(chǎn)業(yè)鏈條QQIP中游服務層階段。黑灰產(chǎn)從業(yè)者并不做實際的攻擊，依據(jù)資源層提供的基礎資源，在營銷活動前進行批量的賬號注冊、養(yǎng)號，或者直接盜號、再洗號等活動。中游會進行大量的賬號生產(chǎn)與分銷，積累大量的賬號信息，并提供給變現(xiàn)層，同時通過組合資源和基礎工具，來完成資源的串聯(lián)，形成各種各樣的欺詐工具，以支撐變現(xiàn)層，提升欺詐效率。下游變現(xiàn)層階段。黑灰產(chǎn)會實際攻擊各大企業(yè)，包括營銷薅羊毛、惡意引流、刷量作弊、盜號洗號、網(wǎng)絡詐騙等行為。欺詐行為后會有專門人員將資金轉到不屬于黑產(chǎn)人員的名下銀行賬戶中，再迅速將資金進行轉移、提現(xiàn)和變現(xiàn)。此時，企業(yè)會感知到異常，便開始加強風控策略，黑灰產(chǎn)攻擊成功率隨之降低，發(fā)現(xiàn)成功率降低的黑產(chǎn)，也會再次研究企業(yè)的策略變化，并修改自己的攻擊邏輯，一來一回間，黑灰產(chǎn)和企業(yè)陷入了攻防拉鋸戰(zhàn)。欺詐手段不斷升級，呈現(xiàn)多趨勢變化第一，欺詐手段呈現(xiàn)場景化趨勢，攻擊手段隨著場景變化不斷優(yōu)化，利用不同手段攻擊。欺詐從業(yè)者通過場景化偽造、編造信息以獲取客戶信任，最終達到欺詐的效果。一是在線銀行和移動支付應用的場景，欺詐者會偽造虛假的銀行網(wǎng)站或移動應用界面，誘使用戶輸入個人敏感信息，如賬號和密碼；通過電子郵件、短信和社交媒體等渠道發(fā)送欺詐性信息，騙取用戶點擊惡意鏈接或下載惡意軟件，從而獲取用戶的財務信息。二是在網(wǎng)絡借貸場景，賬戶注冊階段，欺詐者經(jīng)常采用偽造身份注冊、冒用他人身份注冊、自動化網(wǎng)絡空間內(nèi)銀行面臨多樣化的業(yè)務安全風險隨著銀行數(shù)字新業(yè)態(tài)蓬勃發(fā)展，銀行業(yè)務越來越依賴于網(wǎng)絡系52021年1月25日，最高檢“充分發(fā)揮檢察職能推進網(wǎng)絡空間治理”新聞發(fā)布會，https://mp.weixin./s/a_fMYNnCNGO_TRmw5LGyQQ統(tǒng)和互聯(lián)網(wǎng)，在網(wǎng)絡空間內(nèi)，多樣化的業(yè)務安全風險也逐漸暴露出來。這些風險的存在，對銀行機構、客戶和整個金融生態(tài)系統(tǒng)帶來嚴重影響。20181視頻平臺被爆出系統(tǒng)bug，0.220395600620191100bug，被黑產(chǎn)團伙利用后，盜取了數(shù)千萬元平臺7。2019118。二是電信詐騙風險。數(shù)字化轉型為銀行業(yè)帶來便利的同時，也6某平臺扣費系統(tǒng)出Bug,新浪新聞，/a/215100077_789199/?pvid=000115_3w_a&strategyid=000147某平臺被薅羊毛事件復盤,蘇寧財富咨詢,/s?id=1625770146251665439&wfr=spider&for=pc&searchword=2019%E5%B9%B4%E6%8B%BC%E5%A4%9A%E5%A4%9A%E8%96%85%E7%BE%8A%E6%AF%9B8果農(nóng)電商被羊毛狂薅700萬,鳳凰網(wǎng)財經(jīng),/s?id=1649622632855405333&wfr=spider&for=pc&searchword=2019%E6%B7%98%E5%AE%9D%E6%9E%9C%E5%86%9C%E7%A0%B4%E4%BA%A7353.739.4329146.431809。1000120438年期相數(shù)泄露件數(shù)攀升了4210數(shù)泄露險在犯四是非法洗錢風險。隨著數(shù)字化技術的快速發(fā)展，洗錢手法和工具更加多樣化，洗錢風險進一步擴大。數(shù)字化銀行業(yè)務使得資金轉移變得更加快捷、方便，同時跨境交易也更為迅速和隱蔽。犯罪9公安部去年破獲電詐案件46萬余起,央視新聞,/video/page?pd=video_page10我國數(shù)據(jù)泄露事件超1500萬起，全球排名第三,數(shù)安時代，/s/U8TBs4XsG9C6jmXQ3nNGhw20111862011511396257張涉及反洗錢相關內(nèi)容，占比66，相較第二季度，三度反錢罰總數(shù)升了約5業(yè)741.412234-9級增長的趨勢13，如圖2所示。11洗錢犯罪預防與治理現(xiàn)狀及研究現(xiàn)狀的分析,新金融安全衛(wèi)士，/s/3rKby9ps1TQp23wSo8FDVQ122023年第三季度反洗錢監(jiān)管處罰分析,捷軟反洗錢專刊,/s/VtpcI7PlE0xPg8GH7476aA13《2023年第三季度互聯(lián)網(wǎng)黑灰產(chǎn)研究報告》,威脅獵人,/s/okPPU6NDkg1E77mPlk0a9A圖22023年4-9月數(shù)字人民幣洗錢記錄捕獲數(shù)量（三）銀行業(yè)務安全重要性凸顯，金融領域監(jiān)管逐漸清晰化如前所述，銀行數(shù)字金融業(yè)務的發(fā)展面臨著各類業(yè)務安全風險的挑戰(zhàn)，這使得銀行在網(wǎng)絡空間下的業(yè)務安全重要性凸顯。銀行業(yè)應采取一系列綜合性的安全措施，建立全面的業(yè)務安全治理體系，更好地平衡數(shù)字化轉型的機遇與風險，確保機構與用戶的資產(chǎn)和信息得到充分保護。業(yè)務安全重要意義與價值當前業(yè)務安全受到了來自用戶側、企業(yè)側和社會側的廣泛關注。用戶側對于業(yè)務安全的關注重點包含以下三個方面。一是保障用戶獲得公平的金融決策、營銷活動，避免出現(xiàn)高價黃牛交易。二是用戶的信息安全、個人隱私安全可得到安全防護。三是降低用戶被欺詐而受到的損失。企業(yè)側對于業(yè)務安全的關注重點包含以下四個方面。一是履行社會側對于業(yè)務安全的關注重點包含以下三個方面。一是通過保證企業(yè)業(yè)務健康發(fā)展，來保證國民經(jīng)濟的可持續(xù)發(fā)展。二是提升社會人員對業(yè)務風險以及業(yè)務安全認識。三是保障社會群眾的財產(chǎn)安全，保證社會穩(wěn)定。金融領域業(yè)務安全監(jiān)管逐漸清晰化3），圖3業(yè)務安全市場監(jiān)管逐漸清晰1020071業(yè)業(yè)務安全的重要基礎。（2）20221月，人民銀行印發(fā)《金融科技發(fā)展規(guī)劃5》20221（2022-2025》提（3）202292日，中華人民共和國第十三屆全國人民代2022121（4）20231月，銀保監(jiān)會提出《關于銀行業(yè)保險業(yè)數(shù)字化強調(diào)利用大數(shù)據(jù)、人工智能等技術優(yōu)化各類風險管理系統(tǒng)，將數(shù)字化風控工具嵌入業(yè)務流程，提升風險監(jiān)測預警智能化水平。要求銀行保險機構董事會要加強頂層設計和統(tǒng)籌規(guī)劃，圍繞服務實體經(jīng)濟目標和國家重大戰(zhàn)略部署，科學制定和實施數(shù)字化轉型戰(zhàn)略，將其納入機構整體戰(zhàn)略規(guī)劃，明確分階段實施目標，長期投入、持續(xù)推進?！洞驌糁卫砜缇迟€博金融監(jiān)管工作組關于印發(fā)<涉賭涉詐可疑資金二、銀行業(yè)務安全發(fā)展仍處初期，體系建設面臨諸多問題挑戰(zhàn)4圖4銀行業(yè)業(yè)務安全體系建設面臨挑戰(zhàn)銀行業(yè)業(yè)務安全體系建設中，如何保證所選技術的有效性、時效性、適配性，仍是實際落地建設當中面臨的重大挑戰(zhàn)。數(shù)據(jù)來源有效性難以保證在銀行的業(yè)務安全體系建設中，如何確保數(shù)據(jù)來源的有效性、利用數(shù)據(jù)進行更高效的風險評估和決策制定，成為挑戰(zhàn)。一是用戶申請時提交的數(shù)據(jù)信息有效性難以保證。這些數(shù)據(jù)往往是用戶自行填寫，可能存在虛假信息或出現(xiàn)錯誤填寫的情況。二是用戶行為數(shù)據(jù)的有效性難以保證。用戶行為數(shù)據(jù)的使用需要進行大規(guī)模的數(shù)據(jù)清洗、整理和分析，這是一個復雜的過程，有效性同樣難以保證。三是來自協(xié)同方的數(shù)據(jù)有效性難以保證。協(xié)同方包括政府、公用事業(yè)、銀行等機構，他們可以提供用戶在多場景下的留存數(shù)據(jù)，提供多角度下的用戶特征信息展示，在使用第三方數(shù)據(jù)時需要慎重考慮數(shù)據(jù)來源的合規(guī)性和有效性。技術應用有效性難以保證在銀行業(yè)務中，如何確保所選的技術應用能夠有效的加強銀行業(yè)務安全體系建設，成為了一大挑戰(zhàn)。一方面，如何保證技術應用能夠有效地迭代優(yōu)化是一個難題。為了更準確地評估技術應用的性能和效果，更有效地迭代優(yōu)化技術應用，需要大量的歷史數(shù)據(jù)、模型構建和效果驗證來支撐。對于銀行業(yè)來說，如何收集、整理和清洗大量歷史數(shù)據(jù)，保證技術應用的迭代和優(yōu)化是一個難點。（二）銀行業(yè)務安全建設管理制度仍需加強在銀行業(yè)的數(shù)字化轉型過程中，除了外部黑灰產(chǎn)業(yè)帶來的欺詐等風險，內(nèi)部業(yè)務管理手段也隨著更加高效兒迅速的新業(yè)務形態(tài)引發(fā)了新的問題。業(yè)務安全專業(yè)人才缺失、業(yè)內(nèi)管理制度仍需加強依賴于科技合作機構，這種長期依賴外部合作方的發(fā)展模式，不僅造成成本費用過高，也存在信息安全等問題，不利于銀行業(yè)長遠發(fā)展。銀行業(yè)業(yè)務安全工作的展開需要進行多部門聯(lián)動和深度合作，銀行業(yè)需要進行制度上的升級來更好的支撐業(yè)務安全的工作開展。業(yè)務安全的工作展開往往需要跨部門合作和全面數(shù)據(jù)收集與分析，以便獲得準確的數(shù)據(jù)來支持決策和管理層的判斷。部分銀行技術線與業(yè)務線缺乏敏捷聯(lián)動機制，后臺技術研發(fā)部門與前臺業(yè)務營銷部門相對割裂，彼此間信息不對稱，導致引進研發(fā)的相關技術或系統(tǒng)不能有效匹配一線的關鍵需求，因此只有建立有效的管理制度，銀行才能更好地應對業(yè)務安全所面臨的挑戰(zhàn)，并不斷提升數(shù)據(jù)安全治理的效果。業(yè)務安全重視程度仍需加強，亟需達成統(tǒng)一共識會設立單獨的業(yè)務安全部門，在意識到風險點之后可能也僅僅設立簡單的開發(fā)或運維部門下面的業(yè)務安全負責人。銀行業(yè)界的業(yè)務安全建設亟需達成統(tǒng)一的方法論與共識。經(jīng)過前期調(diào)研，業(yè)務安全、智能風控等名詞均尚無明確統(tǒng)一的概念和定義。行業(yè)對使用何種算法、采用哪些方案才能最大限度體現(xiàn)出數(shù)字化業(yè)務安全的優(yōu)勢并無明確共識。行業(yè)內(nèi)亟需輸出符合業(yè)務發(fā)展特點的數(shù)字化業(yè)務安全方法論。三、銀行業(yè)業(yè)務安全防御體系建設關鍵點在總結多家大、中、小商業(yè)銀行的實踐案例基礎上，本白皮書從建設目標、建設思路與路徑、新技術應用的機遇與挑戰(zhàn)等方面對銀行業(yè)務安全防御體系建設的關鍵點進行梳理總結，以期為同業(yè)建設業(yè)務安全風險防御體系提供理論支撐和實踐經(jīng)驗，助力銀行機構實現(xiàn)業(yè)務發(fā)展、成本投入和安全合規(guī)的三重平衡。（一）業(yè)務安全防御體系建設目標如第一章所述，在銀行業(yè)數(shù)字化轉型的進程中，各種新型業(yè)務模式和技術手段不斷涌現(xiàn)，但同時銀行也面臨黑灰產(chǎn)業(yè)發(fā)展迅猛、欺詐手段升級、業(yè)務安全風險多樣化等諸多業(yè)務安全風險挑戰(zhàn)。基于此，銀行業(yè)業(yè)務安全防御體系建設的核心思想是：利用數(shù)字化技術，建設支撐平臺、防御策略和管理機制，防范業(yè)務邏輯漏洞、電信詐騙、內(nèi)部欺詐、數(shù)據(jù)泄露、違規(guī)交易等業(yè)務安全風險，履行銀（二）業(yè)務安全防御體系建設思路與路徑與傳統(tǒng)網(wǎng)絡安全防御體系建設相比，有效的業(yè)務安全防御體系更需要銀行的各業(yè)務經(jīng)營部門、中后臺風險合規(guī)管理部門及科技部門的緊密配合。數(shù)字化技術和科技支撐平臺能賦能業(yè)務安全防御體系各項工作高效運營，但風險防御策略需要嵌入到各業(yè)務開展過程中才能有效落地，因此，銀行業(yè)的業(yè)務安全防御體系需支撐平臺、防御策略和管理機制三個方面有機結合，同步建設。銀行業(yè)業(yè)務安全防御體系管理機制建設關鍵點圖5業(yè)務安全防御體系管理機制建設關鍵點如前所述，業(yè)務安全防御體系需各業(yè)務經(jīng)營部門、中后臺風險合規(guī)管理部門及科技部門的緊密配合。為此，可建立全行級的管理辦法和指引方針，明確各部門的職責和工作內(nèi)容。此外，圍繞防御策略在各階段的落地應建立配套的管理機制和流程，如業(yè)務安全評估機制、風險策略開發(fā)及上線機制、客戶投訴機制、工作信息交流機制、風險數(shù)據(jù)共享機制、檢查及考核機制等。銀行業(yè)業(yè)務安全體系防御策略建設關鍵點圖6業(yè)務安全體系防御策略建設關鍵點為了應對挑戰(zhàn)，銀行也必須在事前、事中和事后各階段形成全行級體系化、主動化的業(yè)務安全防御策略。在事前階段，業(yè)務安全防御策略應與業(yè)務交易同步設計、同步建設、同步上線，使業(yè)務交易具備自生風險防御能力，可大幅提升防御效果。首先，基于當前的法律法規(guī)、監(jiān)管要求和技術標準，結合新型網(wǎng)絡攻擊手段，持續(xù)建設完善安全知識庫，包含詳細的安全圖7安全風險防御策略（）AIGC（如IP（、在事后階段，應建立敏捷的防御效果感知機制，能根據(jù)防御效果及時調(diào)整風險防御策略。此外，在各階段應建立黑灰產(chǎn)情報動態(tài)跟蹤和應用機制，通過外部情報數(shù)據(jù)引入與合理應用，實現(xiàn)知己知彼、主動式精準防護。銀行業(yè)業(yè)務安全體系支撐平臺建設關鍵點8圖8業(yè)務安全防御體系關鍵點事前階段：在風險未發(fā)生前采取相應的應對措施，如制定開發(fā)6（如最高100ms）。在處置策略方面，支撐平臺應能支持根據(jù)風險事后階段：圍繞風險管理和運營工作展開，采取風險分析、風險核查、風險報表和策略調(diào)優(yōu)等措施，感知安全防御效果，查漏補缺，進一步防范風險，形成閉環(huán)。支撐平臺應具備可視化風險分析功能，支持對風險交易、賬戶、客戶等開展多維度分析，可快速發(fā)現(xiàn)問題；支撐平臺應具備風險核查功能，能支持總分支不同層級核查任務下發(fā)和流轉，并通過風險分析工具，提升核查效率；支撐平臺應具備風險報表功能，包含風險大盤和可視化報表，及時感知安全防御效果；支撐平臺應具備策略調(diào)優(yōu)功能，根據(jù)安全防御效果能快速調(diào)整或新增策略，并通過規(guī)則實驗室、模型實驗室等功能測試策略調(diào)整后的效果，保障策略的有效性。除上述關鍵功能模塊建設以外，支撐平臺在建設過程中還需注重數(shù)據(jù)安全保護，在采集、加工處理、展示、存儲、訪問等各階段采取有效的安全機制保護銀行和客戶數(shù)據(jù)。（三）新技術在業(yè)務安全防御體系建設中的需求與挑戰(zhàn)AI大數(shù)據(jù)技術在銀行和金融領域的工作中得到了普遍推廣和應用，但目前在應用過程中還存在著挑戰(zhàn)。一是黑樣本數(shù)量影響建模分析精準度。與海量交易數(shù)據(jù)量比起來，商業(yè)銀行黑樣本的數(shù)量少，粒度大，難以對數(shù)據(jù)信息之間的內(nèi)在邏輯關聯(lián)進行解析，進而建立有效地風險識別模型。二是專業(yè)人才數(shù)量不足，開展相關工作推進困難。商業(yè)銀行缺乏既懂業(yè)務、又懂數(shù)據(jù)、還懂安全的專業(yè)人才，導致大數(shù)據(jù)建模應用的有效性難以保證，對大數(shù)據(jù)技術應用價值的發(fā)揮帶來了嚴重的制約。人工智能技術增強銀行信息洞察，助力業(yè)務風險防范大量共用設備等拓撲結構，從而識別潛在的欺詐行為和風險。人工智能的應用仍處初期階段，普遍應用仍存挑戰(zhàn)。一是構建門檻過高，業(yè)內(nèi)缺乏快速、高效、低成本、相對成熟的人工智能模型應用實踐。二是行業(yè)資源不足，缺少開源、易用、高性能、易拓展的人工智能模型、應用以及訓練數(shù)據(jù)，人工智能技術的巨大潛力仍有待發(fā)掘。隱私計算技術解決數(shù)據(jù)孤島及多方不信任問題隱私計算解決數(shù)據(jù)孤島和互不信任問題的同時，也引發(fā)了新的挑戰(zhàn)。一是其性能瓶頸阻礙其大規(guī)模商業(yè)化落地。隱私計算目前在業(yè)務安全場景下的應用逐漸豐富化，已在金融信貸風控、反洗錢、難以形成統(tǒng)一的安全基礎。三是數(shù)據(jù)樣本數(shù)量影響建模分析。金融機構出于隱私保護顧慮，所提供的數(shù)據(jù)維度單一，影響建模效果。四是設備環(huán)境可能存在安全風險。多方數(shù)據(jù)的共享、使用過程中所處硬件環(huán)境的安全可信度難以保證。大模型（AIGC）技術提供智能客戶支持，應用場景廣泛如OpenAI的GPT-3可以提供潛在風險的提示，并支持銀行進行調(diào)查和報告。五是在威脅情報和網(wǎng)絡安全方面，大模型技術可以分析大量的網(wǎng)絡日志和安