用户身份管理与识别，对于金融科技而言一直是重中之重，在当前金融科技数字化转型背景下，金融科技正在给银行业务带来的变革，伴随移动互联网和智能终端的普及，以资源共享、线上线下融合为主要特征，金融科技的服务模式和业务流程呈现出以下趋势：

一是客户行为改变，90后乃至00后成为金融消费主力军，他们需要银行随时随地提供定制化的金融产品与服务，电子支付使用频率达到新高，与银行金融服务绑定的第三方互联网金融消费服务增长较快。

二是金融生态改变，金融渠道进一步线上化、移动化、场景化，提供多场景触达能力，提供全时化服务和改善良好的客户体验，电子渠道成为与客户交互的主阵地。

三是竞争态势在变，同业竞争以及来自互联网银行的竞争，需要更加开放的心态和新的数字化技术提升运营效率，拓宽服务范围，提升服务水平。

金融科技创新背景下最重要的两个特点就是：开放和智能，而安全对于金融行业而言，是其生存和业务发展的基石。在众多的信息安全挑战中，用户身份识别对于金融科技而言是老生常谈的问题，涉及到各类业务场景较多，例如柜面业务、电子银行渠道、银行卡交易与支付以及内部的一体化办公平台。

数字身份安全有哪些挑战？

外因驱动：监管、合规是永恒不变的法则。

? 网络安全法

? 信息安全等级保护条例

? 银行业务风险防控指导意见

? 商业银行内部控制指引

? 海外的萨班斯法案、GDPR等

内因驱动：

服务提升，解决低效或需求不符，向用户提供高效无缝的服务；

，解决规则及关系复杂问题，根据用户属性向用户提供有权享有的服务；

身份数据共享，解决数据安全传输和保护问题，确保数字身份属性在各应用间的传递；

身份认证，解决安全与便捷矛盾问题，提供给用户属性相匹配的安全快捷认证方式；

数字身份构建，与其相关的属性收集有误或缺失，需要集中统一的用户数字身份中台服务；

接口API安全，新金融、零售银行业务及开放银行数字化转型中的核心能力来自API开放，如何确保数量众多的API访问安全；

标准与规范，缺少统一和一致性的标准，集成接入过程复杂，需要持续性的支撑后期快速迭代的新业务应用。

如何应对这些挑战？

首先，对数字身份进行分类：

以商业为例，其用户类型可以分为内部用户、外部用户以及终端设备或应用程序三类；内部用户按照业务范围可以分为总行以及各分行行政管理人员和各个网点的柜面人员；

对内而言，内部用户都有统一的基于人事信息管理的员工编号、办公应用帐号，对于柜面人员会单独增加柜员号+机构编号组成的业务编号；各类银行交易、以及业务办理的智能终端、柜员机等设备，通过网络也会与后台应用之间产生数据交互，从一定意义上来讲也属于内部的虚拟自然人用户，其身份则由内置的设备数字证书来决定其合法性；

对外而言，金融门同时又会有大量的第三方厂商外部驻场运维人员，电子银行渠道业务大量面向最终用户的网上银行、手机银行、微信银行等，这类业务会产生大量的消费者用户。

因此，从业务的角度正确区分用户类型是解决数字化身份差异管理的步，也是最基础最重要的一步。

第二，数字身份识别，融合多种认证因子

金融科技中对于用户身份识别验证的安全性非常看重，也是生物特征认证应用最多的领域；

目前比较成熟且普及的认证方式有动态安全Key、人脸识别、指纹、短信验证码等。

融合身份认证解决了用户体验在便利同时又有安全保护，其应用场景从登录App，到发生交易的各个环节。

融合认证策略规则可以从用户、终端、访问位置、App等不同维度进行组合定义；

事件场景：

?  不同用户使用同一帐号登录

?  同一个用户帐号在不同地点登录

?  使用不同设备终端登录

?  访问不同敏感度级别的应用

?  ……

应对措施：

?  采用短信验证码增多因素认证

?  登录地点发生变化异常提醒机制

?  高风险，拒绝登录，要求用户确认

?  敏感度高应用采用二次认证

?  ……

第三，识别权限管理核心与要素

准入：基于用户访问应用的，包括登录准入和访问准入；

角色：基于RBAC和GBAC两种模型，实现用户操作和管理；

业务：基于应用系统的进一步细化，通常包括业务的自身页面、菜单、按钮和操作，业称为细粒度；

数据：基于应用后台的数据操作、查询和管理，包括权限建模、权限功能融合等。

第四，合规审计、风险感知分析

数字身份环境分析

用户在业务访问过程中的访问来源分析与监测，包括移动设备、电脑设备、网页版本、操作系统类型、网络环境类型等。

访问行为分析

针对用户访问行为进行分析与风险感应，包括访问身份、访问时间、访问时段、访问频率、访问来源、访问URL等。

用户习惯分析

用户习惯分析主要包括用户的相关标签和习惯，包括用户类型、上网时段、访问类型、认证方式、访问来源等。

用户轨迹分析

以用户身份为核心的用户信息分析、用户标签、访问足迹、访问预测等。

风险动态感知

基于上下文、多元数据的综合风险预判与动态感知，包括访问行为趋势、行为预判、风险预测等综合分析，在风险发生时进行动态权限调整、认证升级。

第五，输出规范与标准

用户管理规范：命名规范、密码规范；

数字身份管理运营规范：流程申请、应用发布规范；

应用接入规范：用户同步接口规范、应用认证接口规范。

最终，构建金融科技新业态下的可信数字身份管理平台。平台定位为信息科技中心的基础架构，通过以“人”为核心的安全管理，为金融应用安全赋能！

可信数字身份对于金融科技创新在信息安全中的收益：

? 服务提升，可信数字身份可以让金融机构为用户提供安全可靠的定制服务；

? 运营提效，简化操作流程，减少人为失误；

? 安全合规，多因子认证结合，解决安全与便捷互相矛盾的问题，数字身份的存储和管理与行为审计分析结合，使得合规审计更容易也更精准；

? 业务价值提升，数字身份属性的丰富和完善，可以让金融机构更有针对性改善产品和优化服务；

? 竞争力提升，用户体验的提升是金融科技数字化转型的重要组成。