4月24-25日，由北京移动金融产业联盟、移动支付网联合主办的2018第二届中国移动金融发展大会在北京召开，本次大会以《严“政”以待，共建移动金融新生态》为主题，在25日上午举办的金融大数据论坛上，银行卡检测中心信息安全服务部高级主管蒋增增发表演讲，畅谈条码支付安全与金融数据保护
。

银行卡检测中心信息安全服务部高级主管蒋增增

据蒋增增介绍，金融数据保护不仅仅是保护生产环境的Solid Data
，更重要的是分析业务模式和技术实现，全流程地保护Alive Data。以条码支付安全为例，应从业务参与方
、技术参与实体、关键技术几个方面展开。

业务参与方
。条码支付相比较传统四方模式
，还增加了应用服务方

，在其非金融APP应用之上叠加支付功能
。因此
，还应对支付功能部分提出安全保护要求
，如输入保护、报文防篡改等
。

技术参与实体。支付技术产品应参考中国支付清算协会“支付技术产品认证”九大门类的要求
。支付业务设施应符合《JR/T 0122—2014非金融机构支付业务设施技术要求》、《JR/T 0142—2016银行卡清算业务设施技术要求》。

关键技术。蒋增增分析了传统身份认证手段(静态口令、OTP、短信验证码、USBKEY)的优劣势
，介绍了统一身份认证协议如FIDO、IFAA等。重点介绍了金融领域国产密码技术的应用，以及按照《商用密码应用安全性评估管理办法》对重要系统开展密评工作。

金融数据的保护与应用

金融数据的保护应采取“分类分级”的思想
，按照数据性质、敏感程度等维度进行分级保护

，数据保护应贯穿数据采集
、传输、存储、使用、销毁等整个生命周期。

，在金融数据保护过程中，部分生产数据严禁脱离生产环节，如系统密钥

、数字证书
、账户密码、卡(折)磁条信息等
，任何情况下不允许脱离生产环境使用。可脱离生产环境使用的生产数据，如客户类信息
、业务类信息，应注意进行脱敏处理
，保护好客户隐私信息
。

在数据脱敏
、可进一步使用的情况下
，金融数据的应用是目前产业的热门

。蒋增增介绍，目前金融数据的应用场景就包括，精准营销
。多个维度对用户进行画像，通过数据分析对用户进行差异化服务;风险控制
。结合大数据

、AI技术
，建立反欺诈风控模型;数据增值服务

。消费信贷评分等
，如银联“火眼”产品
。