移动金融APP在为金融消费者提供便捷金融服务的同时，其自身的安全性也日益引起社会关注。加强移动金融应用安全防护，已成为推动金融创新、促进普惠民生的重要任务和前提。

近年来，金融行业不断出台相关标准和法规，不断加强移动金融应用的安全管理。按照中国人民银行等国家金融管理部门的管理要求，中国互联网金融协会组织开展移动金融APP行业自律备案工作，指导金融机构加强安全管理和管理等方面工作。例如终端安全、网络安全、身份验证、金融欺诈等。风险防范，推动移动金融App安全防护和抗风险能力提升，持续发挥行业自律在防范行业风险、促进行业安全发展方面的作用。

2022年，中国互联网金融协会举办金融行业移动金融APP创新实践典型案例征集活动，共评选出25个创新实践典型案例。现将精选案例的安全防护方法优秀实践经验进行整理发布。促进行业间互学互鉴。

在入围的移动金融APP创新实践典型案例中，多个创新实践案例积极开展移动金融APP安全防护创新工作，涵盖安全合规、风险监控、反欺诈等方面，达到了可学习、可复制的目标。 ，以及可推广的效果。现将典型案例介绍如下：

典型案例一：中信手机银行零售业务链式反欺诈智能风控系统实践

当前，金融行业不断涌现新的诱导欺诈手段。诈骗团伙利用诈骗手段远程诱导金融消费者自行操作金融APP，获取客户资金，诱导客户贷款，这给金融反欺诈带来了新的挑战。中信银行整合内外部资源，采用综合组织、制度和技术手段，创新建立以客户为中心的零售业务链反欺诈智能风控体系，实现此类欺诈事件的精准防控。主要措施有：

一是完善风险决策内部链条。秉承动态调整、分级管控的理念，打破跨多渠道、多场景、客户账户层级的壁垒，结合业务安全组件的部署和应用，实现跨渠道、跨业务的客户运营风险，替代单一的安全风险管理。连锁防控场景。预防与控制。

二是建立外部链接，实现信息共享。在保护个人信息的前提下，我们将扩大与反欺诈中心、腾讯、中国移动等机构的合作，利用联邦学习等机器学习技术，构建归纳性反欺诈模型，完善信息链接，将“反欺诈防火墙”转发给客户。被欺骗的最初阶段。

三是构建风险管理协同链。通过实时举报涉嫌欺诈交易、控制账户，实现“总行通报、分行发证、支行核查”三级快速联动处理，并与当地反欺诈中心、派出所协调，力争拦截每一笔诱导欺诈交易，不仅保护了客户资金，而且增强了客户的反欺诈意识。此外，我们通过运营信息反馈持续优化风控体系，打造闭环反欺诈运营体系。

图：中信银行零售业务反欺诈操作系统

2021年5月以来，中信银行依托应用链反欺诈智能风控系统，累计保护客户302户，截获资金6402万元，取得良好反欺诈效果。

典型案例2：易付宝智能风险监控平台

针对付费用户电信诈骗风险，天翼电商基于大数据计算能力、实时清洗能力、流式计算能力、决策管理平台等底层能力，结合自主研发的异常检测、风险计时、虚假牌照、知识图谱等AI技术，为反欺诈、反套利业务场景提供精准高效的风险识别能力和实时风险拦截能力，实现三维立体化风险感知、可信认证、风险识别、智能决策、自动学习的闭环监控。主要措施有：

一是人工智能全面赋能反欺诈，构建反欺诈大脑。包括预反欺诈筛查：通过自主研发的深度学习证件认证能力系统（可视化反欺诈），当商户使用支付宝App进口商品时，对资质内容进行反欺诈筛查，防止出现真实问题。 - 虚假账户的实名认证；异常行为识别：用户行为轨迹的时序建模（深度时序模型），实现反欺诈技术从独立的多个时间点向时序生命周期思维的转变。

二是“信息流+资金流”一体化反欺诈，充分发挥差异化金融反欺诈优势。基于自有资金流数据，构建大规模领域知识图谱，涵盖充值、转账、消费、提现等主要资金流关系，营销活动支持关系、推荐关系，以及设备登录和IP关联。

三是构建基于“业务流+决策流”的高性能实时决策平台。自主研发的基于内存的高性能流式决策编排引擎，具有高性能实时决策能力，同时支持建模者设置资源，将各种模型（机器学习模型、深度学习模型）部署到生产环境一键接入，具备服务调用监控、限流、灰度发布、水平扩展等功能，支持突发事件时的免疫、断路器等特殊场景功能。

图：易宝智能风险监控平台自动化决策流程

易付宝智能风险监控平台帮助易付宝实施金融反欺诈，保障用户资金安全，帮助易付宝反欺诈运营降本增效，实现规模化推广，提高行业反欺诈能力，取得良好的实用性结果。

典型案例3：建设银行移动金融服务“E路保驾护航”

中国建设银行移动安全风险监测防护平台针对APP、小程序、网页等平台的移动终端渠道。与安全防护系统和业务系统联动，利用多种数据源进行风险挖掘分析、聚合分析和快速阻断。智能安全防护平台。该平台的主要亮点有：

一是防御针对生物特征认证的攻击。通过分析终端特征、用户行为和异常使用数据，发现遭受生物识别攻击的风险终端设备，有效拦截和封禁非法、风险用户和设备。

二是防止黑客的反向攻击和未经授权的攻击。通过分析软件、操作系统特征、设备调试及外设特征、设备运动特征，发现黑客逆向分析和攻击设备，进行情报分析和阻断，从源头阻断黑色生产链。

三是杜绝“羊毛羊毛”营销欺诈。通过对风险设备、风险客户、风险操作、团伙、社区的识别，发现并阻断“收割”行为。

四是输出黑产成果，与同行分享。在保证隐私数据安全的前提下，通过监管态势感知共享平台共享情报，输出风险分析能力，帮助提升行业风险防范能力。

平台上线以来，在识别生物识别攻击、黑客攻击、羊毛主义行为等方面取得了显著成效。挽回了大量客户资金损失，取得了良好的实际效果。

典型案例4：微信支付打击电信网络诈骗成效

腾讯整合内部多个团队反欺诈技术能力打击电信诈骗，对微信红包、转账、当面收款等多场景可疑交易进行风险挖掘、精准拦截、分级处理，形成了一套覆盖事前、事中、事后各方面的措施。各阶段聚合风控的“组合拳”。主要措施包括：

一是推出微信支付“钱袋子守护计划”。整合内部多个团队的反欺诈技术能力，设立反欺诈专项项目，推出“钱袋子守护计划”：聚合安全服务，覆盖从支付为主到支付、收款、存款等所有支付业务场景和提现等，不断沉淀恶意挖矿模型，实现从交易到账户、从个人到团伙、从单一场景到全场景的金融风险深度全方位挖掘；构建一套支付拦截策略模型，限制恶意支付，冻结被骗资金。减少用户流失，同时通过数据训练不断优化机器自动审核能力，不断提高审核和处理效率；对欺诈风险等级进行全面评估和风险分级；开展大规模诈骗专项治理和青少年诈骗专项治理，对受骗青少年进行针对性治理。启动用户关爱计划。

二是打造“腾讯卫士”公益综合安全服务平台。平台以开放小程序的形式连接大量用户，提供举报指引、反诈骗讲座、经验分享、风险提示等反诈骗服务，一站式办理违法违规举报规范腾讯微信、QQ、公众号等全业务场景，打造国家公共治理平台；警企合作定期开展专项治理，形成腾讯卫士分析挖掘、安全团队策略研判、协助警方打击犯罪的全治理链条，精准打击电信犯罪欺诈罪。

三是深化反诈骗宣传，强化防骗意识。制作反诈骗主题公益视频，并通过微信朋友圈公益广告、公安部刑侦局、国家反诈骗中心等渠道进行宣传；与微信支付、微信安全中心、QQ、腾讯卫士、腾讯手机管家等渠道合作在线反诈骗专区。反欺诈活动累计覆盖用户超过17亿。

借助上述综合措施，微信支付在打击电信网络诈骗方面取得了扎实成效，有效保障了用户资金安全，促进了民众反诈骗意识的提高。实际效果还是不错的。

典型案例5：交通银行Pay Bar在安全防护领域的应用实践

交通银行在支付宝APP建设中将信息安全放在首位。按照监管要求，持续加强App全生命周期安全管理，不断提升信息安全水平，形成多维度、立体化的五层安全防护体系。

图：支付宝App立体安全防护系统

在终端安全层面，交通银行加强终端安全防范二次打包、重签名、恶意反编译和代码分析调试等行为，并对运行环境风险进行实时监控和预警，保障App运行环境安全。在业务安全层面，引入安全键盘技术，防止截图、录屏、屏幕共享等验证方式，保障应用安全；针对高风险业务场景，增加数字证书、人脸识别等验证方式。在网关防护层面，规范对接标准，增加API授权认证机制，实现防重放功能，防止短期内出现大量恶意重放攻击。在数据安全层面，实现数据防篡改、数据加密、密钥安全交换，通过国密算法进行数据统一加解密。通信安全层面，采用/SSL标准安全协议进行数据传输，保障通道安全。

交通银行制定第三方软件安全管理标准，建立统一的标准引入流程，严格规范第三方软件的引入。对提供商、引入方、安全管理方、运维方、配置管理方等提出安全管理要求，特别是引入的各类SDK要求安全、抗破解、满足监管要求等如用户隐私政策，以及兼容性和安全性等相关标准。提供商在提供和更新SDK之前，需要提供有效的测试评估报告。 SDK在个人信息收集、用户权限申请等方面需要遵守隐私要求和数据上传要求。同时，我们通过第三方安全测试确保SDK的安全和隐私合规性。

Pay Bar结合FIDO技术建立指纹登录，采用移动身份认证与生物识别相结合的方式，通过App内置的指纹识别功能实现指纹认证。将FDIO SDK集成到App中，利用FIDO SDK结合硬件设备中嵌入的安全芯片完成消息加密和身份认证过程。安全级别远高于传统的安全认证方式。

此外，支付吧不定期进行扫描和渗透测试，并进行漏洞评估、行为监控、深度分析等多维度安全评估。规范检测评价，建立并不断完善安全检测评价规范和机制，逐步形成规范的安全检测评价体系。

典型案例6：北京银行“北行法人银行”APP完善移动金融安全体系

1. 移动客户端安全

“京行企业银行”App客户端采用业界领先的加固技术并获得认证，实现反编译反汇编保护、客户端防篡改保护、客户端防注入保护、客户端防调试保护、客户端本地数据和资源文件加密保护、SO库绑定保护、运行环境检测技术等有效提高App运行的安全性。

同时应用代码混淆工具，采用主流编译技术，实现IPA混淆保护功能，强化移动金融安全环境。

在客户端SDK的管理上，利用移动安全服务和技术提供全面的安全解决方案，涵盖病毒扫描、URL检测、短信拦截、号码识别、垃圾清理、流量校准、伪基站、WiFi检测等功能，并可提供全面消除移动风险，深度保障用户安全体验。

在客户端加密保护方面，采用国家密码动物局制定的标准国产密码算法对App数据进行加密和传输。在应用方面具有较高的安全性，在技术方面具有较高的保密性，有效保障了金融数据的信息安全。 。

2.移动支付安全

北京银行一直重视移动金融的安全。与权威数字认证机构合作，采用密码盾物理加密设备与手机盾软证书相结合的方式，兼顾企业日常小额高频结算和大额安全结算的需求。 ，寻求支付安全与支付便利性之间的平衡。

主要解决大额低频结算。采用蓝牙KEY的数字证书存储方式，通过蓝牙将与移动设备连接，实现用户身份识别和数字认证的交互过程，保证移动终端支付的安全。是现阶段最好的。移动支付安全认证策略。

动盾通过应用TEE+SE、密钥分散、协同签名等移动终端数字证书技术，解决小额高频结算。它基于结合可信执行环境（TEE）和安全模块（SE）的应用技术来克服硬件设备的挑战。摆脱了物理硬件的烦恼，消除了移动端安全部署的弊端，保证了数字证书私钥使用的安全性和用户环境的可信性，提高了移动支付安全认证的效率。