近年來，我國掀起了打擊電信網(wǎng)絡詐騙犯罪的高潮。金融機構(gòu)在反電詐中承擔主體責任，紛紛按照監(jiān)管要求，建設、升級反欺詐平臺，以識別風險賬戶、阻斷可疑交易，保障自身的業(yè)務安全和客戶的財產(chǎn)安全。

隨著反欺詐平臺建設逐漸深入，越來越多的金融機構(gòu)認識到，終端設備作為客戶操作的直接載體和數(shù)據(jù)交互的起點，其安全性是整個交易鏈條安全的基礎(chǔ)。如果終端安全得不到保障，后續(xù)的任何防護措施都是空中樓閣。

但是，想要保證終端設備的可識、可信、可控、卻并不容易。標識用戶和設備身份、感知終端威脅態(tài)勢、數(shù)據(jù)加密和解密、構(gòu)建可信環(huán)境……每一項都對金融機構(gòu)、智能風控廠商提出了高要求。如何筑牢終端安全防線，為反電詐工作提供有力支撐，已經(jīng)成為金融機構(gòu)的必答題。

沒有終端安全，何談交易安全？

在金融反欺詐實戰(zhàn)中，終端安全產(chǎn)品需要滿足金融機構(gòu)在手機銀行App、網(wǎng)上銀行、移動展業(yè)等業(yè)務渠道，以及開戶、轉(zhuǎn)賬、支付等業(yè)務場景下的安全需求。為了實現(xiàn)這一目標，集成在App或客戶端的終端安全產(chǎn)品需要具備以下功能：

1.精準標識設備身份，沉淀黑灰產(chǎn)設備數(shù)據(jù)

利用網(wǎng)絡釣魚、屏幕共享等手段獲取消費者金融賬戶的賬號、密碼、驗證碼，然后在自有設備上登錄賬號、轉(zhuǎn)移資金，是黑灰產(chǎn)最常用的欺詐手段之一。為了防范非法登錄，金融機構(gòu)需要用戶身份和設備身份，實現(xiàn)賬號和設備的強綁定。

然而，傳統(tǒng)單一設備標識（如IMEI、MAC地址）易被篡改，H5、小程序等新渠道也給設備身份標識帶來了新挑戰(zhàn)。如何提升設備身份標識的準確率，保障不同渠道交易下設備身份的唯一性，是金融機構(gòu)必須妥善解決的問題。

2.全面感知終端威脅，保障交易環(huán)境安全

惡意軟件、Root/越獄、模擬器、調(diào)試狀態(tài)乃至屏幕共享，都可能成為交易欺詐的溫床。金融機構(gòu)需在交易前后全面評估終端安全性，確保App在可信環(huán)境中運行。近年來，黑灰產(chǎn)的攻擊工具和手法不斷迭代更新，這就要求金融機構(gòu)能持續(xù)升級監(jiān)測技術(shù)，準確識別各類已知、未知風險，為風控決策提供依據(jù)。

3.實時監(jiān)測交易行為，動態(tài)調(diào)整安全策略

與身份盜用、盜轉(zhuǎn)盜刷相比，“誘導客戶主動轉(zhuǎn)賬”等欺詐手段隱蔽性極強，更加難以防范。金融機構(gòu)需在交易中實時監(jiān)測異常行為（如頻繁切換賬號、異常時段大額轉(zhuǎn)賬、處于通話狀態(tài)），并依風險等級實時采取風控措施。這要求終端安全產(chǎn)品具備動態(tài)風險感知和上報能力，并與業(yè)務系統(tǒng)聯(lián)動，實現(xiàn)智能風險阻斷，同時兼顧用戶體驗。

4.嚴格保障數(shù)據(jù)安全，遵循行業(yè)合規(guī)要求

交易憑證、短信驗證碼、用戶身份等關(guān)鍵數(shù)據(jù)在終端的存儲、傳輸和使用中，面臨被竊取、篡改的風險。如何在不可控的終端環(huán)境中，通過加密、安全沙箱等技術(shù)保證數(shù)據(jù)的機密性、完整性，并保證技術(shù)方案自主可控，滿足監(jiān)管要求，是金融機構(gòu)反欺詐平臺建設的必答題。

芯盾時代終端安全解決方案

芯盾時代作為領(lǐng)先的零信任業(yè)務安全產(chǎn)品方案提供商，在終端安全領(lǐng)域擁有領(lǐng)先的技術(shù)和深厚的經(jīng)驗，整合設備指紋、終端威脅態(tài)勢感知模塊、智能終端密碼模塊、安全沙箱等終端安全產(chǎn)品，為金融機構(gòu)一站式的終端安全防護，幫助金融機構(gòu)構(gòu)筑終端安全防線，確保每一臺終端設備都安全可控，每一次金融交易都安全可控。

1.設備指紋：標識設備身份，識別非法登錄

芯盾時代自主研發(fā)的設備指紋模塊，能夠以SDK形式集成在金融業(yè)務App和PC客戶端中，能夠為每臺設備生成唯一的標識碼，不但能有效識別和防范非常用設備登錄等風險行為，還能沉淀黑灰產(chǎn)的設備數(shù)據(jù)，收集設備特征，幫助金融機構(gòu)更高效地識別和防范設備層面的欺詐風險。

多維特征與智能算法：采集超2000+主動特征和上百種被動特征，結(jié)合機器學習算法，確保設備指紋的準確率高達 99.9999%，有效抑制傳統(tǒng)設備指紋容易發(fā)生的指紋漂移和指紋沖突。

統(tǒng)一全渠道設備ID：通過集成運營商UAID能力等技術(shù)，實現(xiàn)App、H5、小程序等全渠道設備ID統(tǒng)一，確保金融機構(gòu)的風控措施全渠道統(tǒng)一。

2.終端威脅態(tài)勢感知（MTD）：實時監(jiān)控終端狀態(tài)，保證運行環(huán)境安全

終端威脅態(tài)勢感知模模塊（MTD）能夠?qū)崟r監(jiān)測和評估終端環(huán)境安全，保障App在安全的設備中運行，為風控中心提供全面的終端側(cè)風險信息。

核查設備安全基線：內(nèi)置強大風險特征庫，能檢測Root/越獄、模擬器 (270+款) 、雙開程序 (40+款) 、Hook框架、調(diào)試狀態(tài)、屏幕共享、高危軟件等各類已知和潛在威脅。

實時檢測設備運行狀態(tài)：實時監(jiān)控設備狀態(tài)和操作行為，一旦發(fā)現(xiàn)安全風險快速上報并根據(jù)風險等級采取風控措施。

3.智能終端密碼模塊（PMIT）：敏感數(shù)據(jù)加密存儲，有效防范數(shù)據(jù)泄露

針對金融交易中敏感數(shù)據(jù)的加密存儲、傳輸需求，智能終端密碼模塊（PMIT）打造了4重防護體系，確保信息的機密性和完整性：

一機一鑰：在客戶首次登錄時，將設備信息、用戶身份信息作為密鑰的組成部分，實現(xiàn)“一機一鑰”，進一步強化賬號與設備之間的綁定關(guān)系。

分割密鑰：將用戶的私鑰拆分成為兩半，分別存放于客戶端和服務端，提升密鑰的安全性；簽名時需客戶端與服務端協(xié)同完成，有效提升簽名和驗簽的安全性。

白盒算法：憑借自主研發(fā)的白盒算法，采用分段加密、部分加密等方式保護密鑰和數(shù)字證書存儲及運行過程安全，防止密鑰和數(shù)字證書被還原和破解。

支持國密算法：全面支持國產(chǎn)密碼算法，確保加密體系自主可控，滿足金融行業(yè)合規(guī)和密碼應用安全測評要求 。

4.安全沙箱：構(gòu)建可信執(zhí)行環(huán)境，保證程序安全運行

終端安全數(shù)據(jù)沙箱配合獨立進程保護，構(gòu)建可信執(zhí)行環(huán)境，保證加解密過程安全可控。

軟件定義可信執(zhí)行環(huán)境：在終端設備中構(gòu)建與本地空間完全隔離的安全工作空間，有效

防止關(guān)鍵數(shù)據(jù)被惡意程序竊取、篡改或重放，為敏感操作（如數(shù)據(jù)加密、數(shù)字簽名）提供安全運行環(huán)境。

在數(shù)字金融時代，終端安全已經(jīng)成為金融機構(gòu)保障業(yè)務安全的生命線。借助芯盾時代的終端安全產(chǎn)品方案，金融機構(gòu)能夠在每一臺終端中構(gòu)建安全防線，夯實終端安全基座，有效應對日益復雜的交易欺詐挑戰(zhàn)，讓每一次交易都安全可信，為數(shù)字化轉(zhuǎn)型保駕護航，共同守護清朗的金融科技生態(tài)。