GB/T 42929-2023
基本信息
标准号: GB/T 42929-2023
中文名称:互联网金融智能风险防控技术要求
标准类别:国家标准(GB)
英文名称:Technical requirements of intelligent risk prevention and control for Internet finance
标准状态:现行
发布日期:2023-08-06
实施日期:2023-12-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:5551732
标准分类号
标准ICS号:社会学、 服务、公司(企业)的组织和管理、行政、运输>>03.060金融、银行、货币体系、保险
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
出版信息
出版社:中国标准出版社
页数:28页
标准价格:49.0
相关单位信息
起草人:杨农、朱勇、辛路、单剑锋、于圆、张赫、彭晋、陆碧波、王维强、金颖、孟宪哲、王雪、何林芳、沈澍、杨春、梁嘉文、国枫、陈樑华、关晓辉、邹明明、张旭、何瑛、王明、赵成龙、张雨蒙、许泽灏、陈鑫、沈赟、陈沛瑶、徐啸、邸宏鸣、杨晓文、张鸿林、刘军、陈贺巍、赵峰等
起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、广东华兴银行股份有限公司、中国农业银行股份有限公司、中国平安保险(集团)股份有限公司、农信银资金清算中心有限责任公司等
归口单位:全国金融标准化技术委员会(SAC/TC 180)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了互联网金融场景下智能风险防控技术所需满足的技术框架、功能要求、技术要求、实现的安全要求以及运行要求等。
本文件适用于开展互联网金融业务的组织机构,以及提供智能风险防控技术服务的机构建设、运行和优化智能风险防控系统防控互联网金融风险。
标准图片预览
标准内容
ICS03.060
CCSA11
中华人民共和国国家标准
GB/T42929—2023
互联网金融智能风险防控技术要求Technicalrequirementsofintelligentriskpreventionandcontrolforlnternetfinance
2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
1范围
规范性引用文件
术语和定义
互联网金融业务与风险概述
智能风险防控技术框架
智能风险防控功能
6.1概述
6.2风险监测
风险识别与分析
6.4风险评价
6.5风险处置
7智能风险防控技术
7.1风险防控规则与模型
7.2智能分析与处理
8智能风险防控系统安全
8.1基础安全
8.2应用安全
8.3数据安全
9智能风险防控系统运行
9.1日常运行
9.2应急响应
附录A(资料性)
互联网金融典型业务及风险
A.1互联网金融典型业务场景及通用风险A.2注册场景及安全风险
A.3登录和密码找回场景及安全风险A.4交易场景及安全风险
A.5支付场景及安全风险
A.6信贷场景及安全风险
附录B(资料性)
机器学习
B.1有监督机器学习
B.2半监督机器学习
GB/T42929—2023
GB/T42929—2023
B.3无监督机器学习
B.4关系网络
B.5自动机器学习
附录 C(资料性)
突发事件分类分级示例
C.1突发事件分类
C.2突发事件分级.
参考文献
GB/T42929—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、广东华兴银行股份有限公司、中国农业银行股份有限公司、中国平安保险(集团)股份有限公司、农信银资金清算中心有限责任公司、京东科技控股股份有限公司、第四范式(北京)技术有限公司、深圳市腾讯计算机系统有限公司、度小满科技(北京)有限公司、上海淇毓信息科技有限公司、东方微银科技股份有限公司、简单汇信息科技(广州)有限公司、百融云创科技股份有限公司、同盾科技有限公司。本文件主要起草人:杨农、朱勇、辛路、单剑锋、于圆、张赫、彭晋、陆碧波、王维强、金颖、孟宪哲、王雪、何林芳、沈澍、杨春、梁嘉文、国枫、陈棵华、关晓辉、邹明明、张旭、何瑛、王明、赵成龙、张雨蒙、许泽灏、陈鑫、沈赞、陈沛瑶、徐啸、邸宏鸣、杨晓文、张鸿林、刘军、陈贺巍、赵峰、董纪伟。m
GB/T42929—2023
随着互联网金融的不断发展,基于互联网金融的新型金融欺诈风险不断涌现,并呈现出专业化、产业化、隐蔽化、跨区域等新特征,对传统的风险防控技术提出挑战。为此,互联网金融业务的从业机构提出了智能风险防控技术,通过采用大数据、人工智能等技术实现智能风险防控,但在实际应用过程中存在概念不清、技术迥异、效果参差不齐等问题。为加强开展互联网金融业务的金融机构和非银行支付机构,以及提供智能风险防控技术服务的机构规范使用智能风险防控技术,保障个人及金融主体的合法权益,制定本文件。
1范围
互联网金融智能风险防控技术要求GB/T42929—2023
本文件规定了互联网金融场景下智能风险防控技术所需满足的技术框架、功能要求、技术要求、实现的安全要求以及运行要求等。本文件适用手开展互联网金融业务的组织机构,以及提供智能风险防控技术服务的机构建设、运行和优化智能风险防控系统防控互联网金融风险。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T35273信息安全技术个人信息安全规范GB/T35274信息安全技术大数据服务安全能力要求GB/T37721
信息技术大数据分析系统功能要求GB/T37722
GB/T37961
3术语和定义
信息技术大数据存储与处理系统功能要求服务基本要求
信息技术服务
下列术语和定义适用于本文件。3.1
风险防控riskpreventionandcontrolo
为有效控制或减少风险事件发生可能性、降低风险事件发生时造成损失而采取的措施和方法。3.2
riskidentification
风险识别
对影响各类目标实现的潜在事项或因素予以全面识别,进行系统分类并查找出风险原因的过程。注1:风险识别包括对风险源、事件及其原因和潜在后果的识别。注2:风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者的需求。[来源:GB/T42339—2023,4.3.9,有修改]3.3
风险评价riskevaluation
在风险识别和风险计量的基础上,结合其他因素对风险发生的概率、损失程度进行全面考虑,评估发生风险的可能性及其危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应措施的过程。
[来源:GB/T42339—2023,4.3.14]3.4
风险监测riskmonitoring
跟踪已识别风险的发展变化情况、风险产生的条件和导致的结果变化,根据风险的变化情况及时调1
GB/T42929—2023
整风险应对计划,对已发生的风险及其产生的遗留风险和新增风险进行识别和分析。[来源GB/T42339—2023,4.3.15]3.5wwW.bzxz.Net
风险处置risktreatment
风险分析与评价后对风险进行的降低风险、转移风险、规避风险等一系列处理活动。3.6
风险防控规则
riskpreventionandcontrolrule按照一定的业务逻辑制定的风险事件判定指标。3.7
风险防控模型riskpreventionandcontrolmode为描述、评价风险定义的一组特性及特性间的关系。注1:采用风险防控模型的方式实现风险的分析与识别,无须单独针对风险类型或特征制定相应的规则,通过模型的自反馈特性不断完善对风险判定的准确度注2:在风险分析和识别过程中,风险防控规则和风险防控模型通常组合使用。3.8
智能风险防控intelligentriskpreventionandcontro在传统风险防控基础上,基于大数据计算能力,结合机器学习、人工智能、规则与模型等技术进行的风险控制。
4互联网金融业务与风险概述
在互联网支付、互联网贷款、互联网基金销售、互联网保险、互联网信托等互联网金融业务中,风险防控的核心是业务场景的安全风险,属于GB/T41462金融风险分类中的操作风险。例如,在用户注册、用户登录、账户开户、资金交易、活动营销、信贷申请、信贷智能审批、内容发布等环节均可能面临风险。常见的互联网金融典型业务及风险见附录A,相关场景风险包括但不限于:a)交易场景:账户盗用、洗钱套现、涉赌涉诈、虚假开户等;b)营销场景:垃圾注册、渠道刷量、代下单套利、刷单套现、羊毛、恶意占库存等;c)信贷场景:伪冒身份、虚假身份、中介代办、团伙欺诈、信用伪造等。根据不同的主体对象,需要从交易维度、账户维度、商户维度、客户维度设计并实施风险防控策略,建立“点、线、面、体”的跨场景、跨渠道的全生命周期风险防控体系。5智能风险防控技术框架
互联网金融智能风险防控的目标是防控互联网金融业务风险。互联网金融智能风险防控能基于业务场景等上下文信息动态,智能地选择、使用和优化风险控制策略,通过智能风险防控系统来实现风险防控目标。智能风险防控系统主要包含以下四个部分,其技术框架见图1。智能风险防控功能,是在风险监测、风险识别与分析、风险评价和风险处置的风险防控核心流a)
程中的风险防控功能实现。
智能风险防控技术,通过风险防控规则与模型、智能分析与处理为核心流程提供判定规则和动b)
态调整等能力支撑。
智能风险防控系统安全,保障其自身的基础安全、应用安全、数据安全,支撑智能风险防控系统。
智能风险防控系统运行,在日常运行和应急响应中确保智能风险防控持续高效运行。d)
风验监测
风险评价
基础安
全要求
风险识期与分析
风险处置
吾能风险防控功能
应用安全
智能风险防控系统安全
数据安
全要求
互联网全融业务场景
风险防控规测与模型
智能分析与处理
智能风险防控技术
日滑运行
应急响应
智能风险防控系统运行
图1互联网金融智能风险防控技术框架智能风险防控功能
6.1概述
风险防控各环节核心功能如下:a)
GB/T42929—2023
风险监测:对接互联网金融业务渠道,实现业务风险监控场景接入,收集并转发互联网金融业务的上下文信息至风险识别与分析模块;风险识别与分析:接收业务信息后,基于风险防控规则与模型提供的支撑,结合智能分析与处b
理方法,对风险控制对象的上下文信息进行识别与分析,向风险评价模块输出风险识别与分析结果;
风险评价:对输入结果信息进行判定,结合智能分析与处理能力,可基于历史数据和场景信息进行动态的判定,量化评级风险大小,为风险处置提供决策依据;风险处置:根据风险评价结果,结合智能分析与处理能力,对不同业务、不同场景下量化后的风d)
险进行处置,给予相应的响应措施。6.2风险监测
风险监测主要技术包括:
应覆盖典型互联网金融业务流程,包括用户注册、绑卡、存管、充值、支付等业务流程;应根据互联网金融业务流程要素设置风险监测对象,业务流程要素包括交互方、操作过程、操作时间、操作地点、操作结果、业务数据等;应同时具备自动化监测功能和人工监测能力,并根据业务的重要程度和业务量大小进行合理选择;
应具备对业务相关数据的监测能力,包括支付信息、账户信息、身份信息、交易信息、验证手段、设备信息、社交关系等;
监测结果应实时传递到风险识别与分析功能模块;应具备对接处理外部数据用于风险监测的能力;监测要求涉及银行业应用系统的,可参考GB/T40473.2一2021中联机监控和批量监控相关3
GB/T42929—2023
要求;
各机构应根据风险偏好制定风险监测覆盖率和误判率指标,建议风险监测覆盖率不低于80%,误判率不高于10%;
i)监测结果应包括监测对象价值评估、事件类型、事件的发生频度、威胁来源与类型等内容。6.3风险识别与分析
6.3.1风险识别
风险识别主要技术包括:
应支持信息真实性(如姓名、证件号、手机号、银行卡号等是否真实)和信息一致性(如姓名、证a)
件号、手机号、银行卡号等信息是否对应)的信息标识风险识别:应支持对账户盗用、洗钱套现、涉赌涉诈、虚假开户、垃圾注册、渠道刷量、代下单套利、刷单套b)
现、羊毛、恶意占库存、伪冒身份、虚假身份、中介代办、团伙欺诈、信用伪造等风险的识别;c)
应采用层次化的技术方法进行风险识别;应具备快速识别层实现对高发风险的快速识别;宜支持标识技术,从设备、客户、账户等多维度对风险进行识别;宣支持风险识别过程可追溯、可审计:宜支持机器学习方式实现对风险的多维度、综合分析与识别,用于风险防控的机器学习技术见g)
附录B;
宜支持风险离线仿真、风险可视化等运营管理功能;宜具备能够识别潜在风险的异常检测功能;宜具备基于历史数据构建时序类风险特征变量、进行风险识别的能力。6.3.2
风险分析
6.3.2.1在线分析
在线分析包括在线实时分析、在线准实时分析两种。在线实时分析
在线实时分析主要针对安全威胁较高、计算资源需求较少、实时性要求较高的风险,分析过程为在线业务流程的必要步骤,分析结果决定所执行的即时业务流程分支。主要技术包括:应至少支持黑白名单过滤的风险分析:1)
应支持风险分析规则的动态扩展;2)
应支持风险分析过程可再现、可审计和可解释;宜支持使用模型进行风险分析;4)
宜支持画像方式进行风险分析。在线准实时分析
在线准实时分析主要针对安全威胁较高、计算资源需求较多、实时性要求较低的风险,分析过程不占用业务耗时分析结果间接影响该笔业务流程走向。主要技术包括:1)
应支持黑名单、白名单、风险列表等分析与过滤方法支撑数据的实时变更2)
应支持风险分析过程可再现、可审计和可解释;宜支持风险分析规则与模型的自动学习与更新:宜支持使用模型进行风险分析;5)
宜支持异步的风险预警。
6.3.2.2离线分析
离线分析主要针对计算资源需求较多、实时性要求较低的风险,主要技术包括:a)
应支持风险分析过程可再现、可审计和可解释;b)
宜支持风险分析规则与模型的自动学习与更新:宜支持风险分析数据变量的清洗;c)
宜支持数据质量监测:
宜支持风险特征变量的离线加工计算。6.4风险评价
6.4.1风险计算方法
GB/T42929—2023
风险计算采用定性、定量相结合的计算方法。风险计算方法针对业务面临风险的大小进行准确排序,以确定风险的处置策略。风险计算可参考GB/T20984一2022中给出的风险计算方法。6.4.2风险分级
通过风险计算,对业务实际风险进行综合分析与评价,并对风险计算值进行等级化处理。等级化处理的方法是按照风险评价得分的高低进行等级划分,风险值越高,风险等级越高。风险分级可参考GB/T20984一2022中给出的风险分级方法。6.5风险处置
6.5.1风险处置基本要求
风险处置的基本要求包括:
应及时有效消减业务流程中的实时风险,依据风险评价结果,按照风险分级进行风险处置;a)
应适度接受残余风险,根据业务可接受的处置成本将残余风险防控在可接受的范围内,处置方b)
式一股包括风险的接受、规避、转移和降低等;c)应依据国家和行业主管部门发布的信息安全建设要求进行风险处置。6.5.2风险处置方式
实时风险处置
业务流程中的实时风险处置应结合风险分级结果,主要技术包括:应至少支持拒绝服务、限权两种风险处置方式;a)
应支持风险处置策略的熔断机制:宜支持风险的自动处置;
宜根据业务模式(如日常模式、业务高峰模式)支持风险处置方式的分组管理,并支持处置方式组之间的快速切换;
e)宜采用自动学习和更新机制实现风险处置策略的优化。6.5.2.2残余风险处置
针对业务流程中的残余风险,应根据安全风险的严重程度、加固措施实施的难易程度、风险处置的时间紧迫程度、人员投入及资金成本等因素综合考虑,采用接受、规避、转移和降低等风险处置方式。5
GB/T42929—2023
7智能风险防控技术
7.1风险防控规则与模型
7.1.1风险防控规则
风险防控规则的主要技术包括:a)规则种类应包括名单型、流量型、时序型、匹配型和地理位置型等;b)规则阈值的选取应基于历史数据和风险样本分析,并结合覆盖率、预警率、打扰率、触发率、准确率、KS值(Kolmogorov-Smirnov)、曲线下面积(AreaUnderCurve,AUC)等指标进行综合考虑;
规则的生命周期管理应包括规则分析、设计、评审、部署、测试、执行、监控、优化、版本管理和下c)
线等方面;
d)风险防控规则宜支持规则集、评分卡、决策表、决策树、决策流等多种定义方式。7.1.2风险防控模型
风险防控模型的主要技术包括:宜遵循业务需求分析、建模设计、模型训练、模型调优、模型测试定版、模型发布上线、模型监a)
控、模型运行维护和模型下线等模型全生命周期流程进行管理;风险防控模型的建模设计、测试定版、发布上线、监控、运行维护和下线等模型生命周期中的设b)
计、开发、测试、部署、运维等环节应按模型框架类型遵循GB/T37961、GB/T37721、GB/T37722的要求;
模型训练流程应包括数据导入、数据预处理、特征工程、模型训练和模型评估等步骤;c)
模型库中的模型,宜采用在线、离线或自动更新等多种方式发布上线,满足模型应用的需求;d)
模型发布上线前应制定覆盖率、准确率、召回率等监控指标,并根据业务实际需求设置监控间e)
值,例如对欺诈交易的覆盖率大于90%、准确率大于95%等;f)
宜同时支持多种模式对模型覆盖率、准确率、召回率等指标进行监控,比照初始业务需求或业务需求变动对各项指标的要求,按模型生命周期流程完成模型的更新和选代,实现对模型变更调整的闭环管理;
9)规则与模型应按业务实际需要进行定期更新,防止发生被绕过而造成规则与模型失效的情况出现。
7.2智能分析与处理
智能分析与处理由以下四个部分构成。a)智能分析与处理逻辑:
应构建覆盖业务全渠道、全场景、全时段的企业级智能风险防控系统,集智能决策中心、指1
标引擎、知识图谱、图计算、机器学习平台为一体,支持跨渠道、跨场景的联防联控,支持全局风险核查与运营,支持风险决策效果量化评估与运营;应支持事前安全防护,结合终端风险态势感知、威胁情报构筑事前风险防线,利用可靠的2)
名单数据、设备指纹、账户风险评级、用户可信任智能认证体系等进行智能分析,形成基于大数据的风险感知和预警体系;应支持事中风险识别和决策,结合业务场景、规则、策略、模型实时识别风险,输出相关风3)
险类型、风险等级、处置建议至业务端,6
GB/T42929—2023
应支持事后风险核查与挖掘,对风险事件、案件的可视化流转和风险核查,利用机器学习模型、知识图谱等技术挖掘历史风险、群体风险,沉淀风险特征和名单,反哺事前安全防护和事中实时风险识别与决策;
应支持可视化风险运营和监控,利用工具或大数据分析技术,使用包括但不限于触发量、准确率、召回率、责献度、稳定性、KS值、AUC等指标实现对规、策略、模型的量化评价和优化。
b)智能分析与处理数据:
应具备多渠道、多场景、多源数据(实时业务数据、外部三方数据、内部离线数据)的对接能1)
力,为实时/准实时系统提供输入;2)
应对风险防控数据进行特征分类(如设备类、行为习惯类、位置类等),并结合业务场景和特征设计风险防护规则、策略对实施风险控制的关键数据和决策结果,采用增量、全量等多种备份策略;
3)应具备多种数据通信能力[如超文本传输协议(HTTP)、套接字(socket)协议]对接外部三方数据;
宜建设风险数据集市,形成体系化的风险防控知识库,包括渠道、场景、风险类型、特征、指4)
标、规则、策略、模型的知识沉淀和关联管理。c)智能分析与处理技术:
应具备对数据进行实时/离线分析、处理和查询能力;应具备计算资源动态和线性扩展能力;应具备结构化、半结构化、非结构化数据格式计算能力,及大数据处理计算能力;3)
宜具备数据选代计算,及运行多种机器学习算法的能力;4)
宜将图技术与业务场景结合,构建场景化知识图谱(如交易知识图谱、贷款申请知识图谱等),利用图算法加工指标作为风险特征用于事中风险识别与决策和A模型开发:利用图谱的可视化做风险核查与运营,提高风险核查可解释性:宜使用如自然语言处理(NaturalLanguageProcessing)、文本/图像/音视频分类等技术进6)
行分析与处理;
宜使用隐私计算技术(如联邦学习、多方安全计算、同态加密、机密计算、隐私枢纽等技术)力
实现建模过程中的数据保护;
可具备依托自动机器学习技术自动发现风险特征、自动进行风险模型训练的能力。8)
d)智能分析与处理管理:
应支持灵活的规则、模型、策略编排设定,对相关的执行做好优先级控制,并有效控制规1)
则、策略的串行关系,根据系统资源使用情况合理设定并行执行个数;2)
应支持在线规则、模型、策略的灵活上下线和更新;3)
应对规则、模型、策略预估时间具备有效的管理机制,避免模型异常影响正常风险防控;4)
应对离线计算资源和在线业务计算资源做好隔离,避免离线计算影响在线业务运行;宜从机构、角色等多维度,采用权限访问控制策略,对不同角色主体授予匹配的数据权5)
限,并留存系统操作日志,对账号和对应操作过程具备事后可追溯能力宜构建完善的风险运营体系,建设高效的风险管理制度、流程和团队,标准统一,分工合6)
理,职责分明,提高风险运营效率。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSA11
中华人民共和国国家标准
GB/T42929—2023
互联网金融智能风险防控技术要求Technicalrequirementsofintelligentriskpreventionandcontrolforlnternetfinance
2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
1范围
规范性引用文件
术语和定义
互联网金融业务与风险概述
智能风险防控技术框架
智能风险防控功能
6.1概述
6.2风险监测
风险识别与分析
6.4风险评价
6.5风险处置
7智能风险防控技术
7.1风险防控规则与模型
7.2智能分析与处理
8智能风险防控系统安全
8.1基础安全
8.2应用安全
8.3数据安全
9智能风险防控系统运行
9.1日常运行
9.2应急响应
附录A(资料性)
互联网金融典型业务及风险
A.1互联网金融典型业务场景及通用风险A.2注册场景及安全风险
A.3登录和密码找回场景及安全风险A.4交易场景及安全风险
A.5支付场景及安全风险
A.6信贷场景及安全风险
附录B(资料性)
机器学习
B.1有监督机器学习
B.2半监督机器学习
GB/T42929—2023
GB/T42929—2023
B.3无监督机器学习
B.4关系网络
B.5自动机器学习
附录 C(资料性)
突发事件分类分级示例
C.1突发事件分类
C.2突发事件分级.
参考文献
GB/T42929—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国互联网金融协会、支付宝(中国)网络技术有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、广东华兴银行股份有限公司、中国农业银行股份有限公司、中国平安保险(集团)股份有限公司、农信银资金清算中心有限责任公司、京东科技控股股份有限公司、第四范式(北京)技术有限公司、深圳市腾讯计算机系统有限公司、度小满科技(北京)有限公司、上海淇毓信息科技有限公司、东方微银科技股份有限公司、简单汇信息科技(广州)有限公司、百融云创科技股份有限公司、同盾科技有限公司。本文件主要起草人:杨农、朱勇、辛路、单剑锋、于圆、张赫、彭晋、陆碧波、王维强、金颖、孟宪哲、王雪、何林芳、沈澍、杨春、梁嘉文、国枫、陈棵华、关晓辉、邹明明、张旭、何瑛、王明、赵成龙、张雨蒙、许泽灏、陈鑫、沈赞、陈沛瑶、徐啸、邸宏鸣、杨晓文、张鸿林、刘军、陈贺巍、赵峰、董纪伟。m
GB/T42929—2023
随着互联网金融的不断发展,基于互联网金融的新型金融欺诈风险不断涌现,并呈现出专业化、产业化、隐蔽化、跨区域等新特征,对传统的风险防控技术提出挑战。为此,互联网金融业务的从业机构提出了智能风险防控技术,通过采用大数据、人工智能等技术实现智能风险防控,但在实际应用过程中存在概念不清、技术迥异、效果参差不齐等问题。为加强开展互联网金融业务的金融机构和非银行支付机构,以及提供智能风险防控技术服务的机构规范使用智能风险防控技术,保障个人及金融主体的合法权益,制定本文件。
1范围
互联网金融智能风险防控技术要求GB/T42929—2023
本文件规定了互联网金融场景下智能风险防控技术所需满足的技术框架、功能要求、技术要求、实现的安全要求以及运行要求等。本文件适用手开展互联网金融业务的组织机构,以及提供智能风险防控技术服务的机构建设、运行和优化智能风险防控系统防控互联网金融风险。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T35273信息安全技术个人信息安全规范GB/T35274信息安全技术大数据服务安全能力要求GB/T37721
信息技术大数据分析系统功能要求GB/T37722
GB/T37961
3术语和定义
信息技术大数据存储与处理系统功能要求服务基本要求
信息技术服务
下列术语和定义适用于本文件。3.1
风险防控riskpreventionandcontrolo
为有效控制或减少风险事件发生可能性、降低风险事件发生时造成损失而采取的措施和方法。3.2
riskidentification
风险识别
对影响各类目标实现的潜在事项或因素予以全面识别,进行系统分类并查找出风险原因的过程。注1:风险识别包括对风险源、事件及其原因和潜在后果的识别。注2:风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者的需求。[来源:GB/T42339—2023,4.3.9,有修改]3.3
风险评价riskevaluation
在风险识别和风险计量的基础上,结合其他因素对风险发生的概率、损失程度进行全面考虑,评估发生风险的可能性及其危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应措施的过程。
[来源:GB/T42339—2023,4.3.14]3.4
风险监测riskmonitoring
跟踪已识别风险的发展变化情况、风险产生的条件和导致的结果变化,根据风险的变化情况及时调1
GB/T42929—2023
整风险应对计划,对已发生的风险及其产生的遗留风险和新增风险进行识别和分析。[来源GB/T42339—2023,4.3.15]3.5wwW.bzxz.Net
风险处置risktreatment
风险分析与评价后对风险进行的降低风险、转移风险、规避风险等一系列处理活动。3.6
风险防控规则
riskpreventionandcontrolrule按照一定的业务逻辑制定的风险事件判定指标。3.7
风险防控模型riskpreventionandcontrolmode为描述、评价风险定义的一组特性及特性间的关系。注1:采用风险防控模型的方式实现风险的分析与识别,无须单独针对风险类型或特征制定相应的规则,通过模型的自反馈特性不断完善对风险判定的准确度注2:在风险分析和识别过程中,风险防控规则和风险防控模型通常组合使用。3.8
智能风险防控intelligentriskpreventionandcontro在传统风险防控基础上,基于大数据计算能力,结合机器学习、人工智能、规则与模型等技术进行的风险控制。
4互联网金融业务与风险概述
在互联网支付、互联网贷款、互联网基金销售、互联网保险、互联网信托等互联网金融业务中,风险防控的核心是业务场景的安全风险,属于GB/T41462金融风险分类中的操作风险。例如,在用户注册、用户登录、账户开户、资金交易、活动营销、信贷申请、信贷智能审批、内容发布等环节均可能面临风险。常见的互联网金融典型业务及风险见附录A,相关场景风险包括但不限于:a)交易场景:账户盗用、洗钱套现、涉赌涉诈、虚假开户等;b)营销场景:垃圾注册、渠道刷量、代下单套利、刷单套现、羊毛、恶意占库存等;c)信贷场景:伪冒身份、虚假身份、中介代办、团伙欺诈、信用伪造等。根据不同的主体对象,需要从交易维度、账户维度、商户维度、客户维度设计并实施风险防控策略,建立“点、线、面、体”的跨场景、跨渠道的全生命周期风险防控体系。5智能风险防控技术框架
互联网金融智能风险防控的目标是防控互联网金融业务风险。互联网金融智能风险防控能基于业务场景等上下文信息动态,智能地选择、使用和优化风险控制策略,通过智能风险防控系统来实现风险防控目标。智能风险防控系统主要包含以下四个部分,其技术框架见图1。智能风险防控功能,是在风险监测、风险识别与分析、风险评价和风险处置的风险防控核心流a)
程中的风险防控功能实现。
智能风险防控技术,通过风险防控规则与模型、智能分析与处理为核心流程提供判定规则和动b)
态调整等能力支撑。
智能风险防控系统安全,保障其自身的基础安全、应用安全、数据安全,支撑智能风险防控系统。
智能风险防控系统运行,在日常运行和应急响应中确保智能风险防控持续高效运行。d)
风验监测
风险评价
基础安
全要求
风险识期与分析
风险处置
吾能风险防控功能
应用安全
智能风险防控系统安全
数据安
全要求
互联网全融业务场景
风险防控规测与模型
智能分析与处理
智能风险防控技术
日滑运行
应急响应
智能风险防控系统运行
图1互联网金融智能风险防控技术框架智能风险防控功能
6.1概述
风险防控各环节核心功能如下:a)
GB/T42929—2023
风险监测:对接互联网金融业务渠道,实现业务风险监控场景接入,收集并转发互联网金融业务的上下文信息至风险识别与分析模块;风险识别与分析:接收业务信息后,基于风险防控规则与模型提供的支撑,结合智能分析与处b
理方法,对风险控制对象的上下文信息进行识别与分析,向风险评价模块输出风险识别与分析结果;
风险评价:对输入结果信息进行判定,结合智能分析与处理能力,可基于历史数据和场景信息进行动态的判定,量化评级风险大小,为风险处置提供决策依据;风险处置:根据风险评价结果,结合智能分析与处理能力,对不同业务、不同场景下量化后的风d)
险进行处置,给予相应的响应措施。6.2风险监测
风险监测主要技术包括:
应覆盖典型互联网金融业务流程,包括用户注册、绑卡、存管、充值、支付等业务流程;应根据互联网金融业务流程要素设置风险监测对象,业务流程要素包括交互方、操作过程、操作时间、操作地点、操作结果、业务数据等;应同时具备自动化监测功能和人工监测能力,并根据业务的重要程度和业务量大小进行合理选择;
应具备对业务相关数据的监测能力,包括支付信息、账户信息、身份信息、交易信息、验证手段、设备信息、社交关系等;
监测结果应实时传递到风险识别与分析功能模块;应具备对接处理外部数据用于风险监测的能力;监测要求涉及银行业应用系统的,可参考GB/T40473.2一2021中联机监控和批量监控相关3
GB/T42929—2023
要求;
各机构应根据风险偏好制定风险监测覆盖率和误判率指标,建议风险监测覆盖率不低于80%,误判率不高于10%;
i)监测结果应包括监测对象价值评估、事件类型、事件的发生频度、威胁来源与类型等内容。6.3风险识别与分析
6.3.1风险识别
风险识别主要技术包括:
应支持信息真实性(如姓名、证件号、手机号、银行卡号等是否真实)和信息一致性(如姓名、证a)
件号、手机号、银行卡号等信息是否对应)的信息标识风险识别:应支持对账户盗用、洗钱套现、涉赌涉诈、虚假开户、垃圾注册、渠道刷量、代下单套利、刷单套b)
现、羊毛、恶意占库存、伪冒身份、虚假身份、中介代办、团伙欺诈、信用伪造等风险的识别;c)
应采用层次化的技术方法进行风险识别;应具备快速识别层实现对高发风险的快速识别;宜支持标识技术,从设备、客户、账户等多维度对风险进行识别;宣支持风险识别过程可追溯、可审计:宜支持机器学习方式实现对风险的多维度、综合分析与识别,用于风险防控的机器学习技术见g)
附录B;
宜支持风险离线仿真、风险可视化等运营管理功能;宜具备能够识别潜在风险的异常检测功能;宜具备基于历史数据构建时序类风险特征变量、进行风险识别的能力。6.3.2
风险分析
6.3.2.1在线分析
在线分析包括在线实时分析、在线准实时分析两种。在线实时分析
在线实时分析主要针对安全威胁较高、计算资源需求较少、实时性要求较高的风险,分析过程为在线业务流程的必要步骤,分析结果决定所执行的即时业务流程分支。主要技术包括:应至少支持黑白名单过滤的风险分析:1)
应支持风险分析规则的动态扩展;2)
应支持风险分析过程可再现、可审计和可解释;宜支持使用模型进行风险分析;4)
宜支持画像方式进行风险分析。在线准实时分析
在线准实时分析主要针对安全威胁较高、计算资源需求较多、实时性要求较低的风险,分析过程不占用业务耗时分析结果间接影响该笔业务流程走向。主要技术包括:1)
应支持黑名单、白名单、风险列表等分析与过滤方法支撑数据的实时变更2)
应支持风险分析过程可再现、可审计和可解释;宜支持风险分析规则与模型的自动学习与更新:宜支持使用模型进行风险分析;5)
宜支持异步的风险预警。
6.3.2.2离线分析
离线分析主要针对计算资源需求较多、实时性要求较低的风险,主要技术包括:a)
应支持风险分析过程可再现、可审计和可解释;b)
宜支持风险分析规则与模型的自动学习与更新:宜支持风险分析数据变量的清洗;c)
宜支持数据质量监测:
宜支持风险特征变量的离线加工计算。6.4风险评价
6.4.1风险计算方法
GB/T42929—2023
风险计算采用定性、定量相结合的计算方法。风险计算方法针对业务面临风险的大小进行准确排序,以确定风险的处置策略。风险计算可参考GB/T20984一2022中给出的风险计算方法。6.4.2风险分级
通过风险计算,对业务实际风险进行综合分析与评价,并对风险计算值进行等级化处理。等级化处理的方法是按照风险评价得分的高低进行等级划分,风险值越高,风险等级越高。风险分级可参考GB/T20984一2022中给出的风险分级方法。6.5风险处置
6.5.1风险处置基本要求
风险处置的基本要求包括:
应及时有效消减业务流程中的实时风险,依据风险评价结果,按照风险分级进行风险处置;a)
应适度接受残余风险,根据业务可接受的处置成本将残余风险防控在可接受的范围内,处置方b)
式一股包括风险的接受、规避、转移和降低等;c)应依据国家和行业主管部门发布的信息安全建设要求进行风险处置。6.5.2风险处置方式
实时风险处置
业务流程中的实时风险处置应结合风险分级结果,主要技术包括:应至少支持拒绝服务、限权两种风险处置方式;a)
应支持风险处置策略的熔断机制:宜支持风险的自动处置;
宜根据业务模式(如日常模式、业务高峰模式)支持风险处置方式的分组管理,并支持处置方式组之间的快速切换;
e)宜采用自动学习和更新机制实现风险处置策略的优化。6.5.2.2残余风险处置
针对业务流程中的残余风险,应根据安全风险的严重程度、加固措施实施的难易程度、风险处置的时间紧迫程度、人员投入及资金成本等因素综合考虑,采用接受、规避、转移和降低等风险处置方式。5
GB/T42929—2023
7智能风险防控技术
7.1风险防控规则与模型
7.1.1风险防控规则
风险防控规则的主要技术包括:a)规则种类应包括名单型、流量型、时序型、匹配型和地理位置型等;b)规则阈值的选取应基于历史数据和风险样本分析,并结合覆盖率、预警率、打扰率、触发率、准确率、KS值(Kolmogorov-Smirnov)、曲线下面积(AreaUnderCurve,AUC)等指标进行综合考虑;
规则的生命周期管理应包括规则分析、设计、评审、部署、测试、执行、监控、优化、版本管理和下c)
线等方面;
d)风险防控规则宜支持规则集、评分卡、决策表、决策树、决策流等多种定义方式。7.1.2风险防控模型
风险防控模型的主要技术包括:宜遵循业务需求分析、建模设计、模型训练、模型调优、模型测试定版、模型发布上线、模型监a)
控、模型运行维护和模型下线等模型全生命周期流程进行管理;风险防控模型的建模设计、测试定版、发布上线、监控、运行维护和下线等模型生命周期中的设b)
计、开发、测试、部署、运维等环节应按模型框架类型遵循GB/T37961、GB/T37721、GB/T37722的要求;
模型训练流程应包括数据导入、数据预处理、特征工程、模型训练和模型评估等步骤;c)
模型库中的模型,宜采用在线、离线或自动更新等多种方式发布上线,满足模型应用的需求;d)
模型发布上线前应制定覆盖率、准确率、召回率等监控指标,并根据业务实际需求设置监控间e)
值,例如对欺诈交易的覆盖率大于90%、准确率大于95%等;f)
宜同时支持多种模式对模型覆盖率、准确率、召回率等指标进行监控,比照初始业务需求或业务需求变动对各项指标的要求,按模型生命周期流程完成模型的更新和选代,实现对模型变更调整的闭环管理;
9)规则与模型应按业务实际需要进行定期更新,防止发生被绕过而造成规则与模型失效的情况出现。
7.2智能分析与处理
智能分析与处理由以下四个部分构成。a)智能分析与处理逻辑:
应构建覆盖业务全渠道、全场景、全时段的企业级智能风险防控系统,集智能决策中心、指1
标引擎、知识图谱、图计算、机器学习平台为一体,支持跨渠道、跨场景的联防联控,支持全局风险核查与运营,支持风险决策效果量化评估与运营;应支持事前安全防护,结合终端风险态势感知、威胁情报构筑事前风险防线,利用可靠的2)
名单数据、设备指纹、账户风险评级、用户可信任智能认证体系等进行智能分析,形成基于大数据的风险感知和预警体系;应支持事中风险识别和决策,结合业务场景、规则、策略、模型实时识别风险,输出相关风3)
险类型、风险等级、处置建议至业务端,6
GB/T42929—2023
应支持事后风险核查与挖掘,对风险事件、案件的可视化流转和风险核查,利用机器学习模型、知识图谱等技术挖掘历史风险、群体风险,沉淀风险特征和名单,反哺事前安全防护和事中实时风险识别与决策;
应支持可视化风险运营和监控,利用工具或大数据分析技术,使用包括但不限于触发量、准确率、召回率、责献度、稳定性、KS值、AUC等指标实现对规、策略、模型的量化评价和优化。
b)智能分析与处理数据:
应具备多渠道、多场景、多源数据(实时业务数据、外部三方数据、内部离线数据)的对接能1)
力,为实时/准实时系统提供输入;2)
应对风险防控数据进行特征分类(如设备类、行为习惯类、位置类等),并结合业务场景和特征设计风险防护规则、策略对实施风险控制的关键数据和决策结果,采用增量、全量等多种备份策略;
3)应具备多种数据通信能力[如超文本传输协议(HTTP)、套接字(socket)协议]对接外部三方数据;
宜建设风险数据集市,形成体系化的风险防控知识库,包括渠道、场景、风险类型、特征、指4)
标、规则、策略、模型的知识沉淀和关联管理。c)智能分析与处理技术:
应具备对数据进行实时/离线分析、处理和查询能力;应具备计算资源动态和线性扩展能力;应具备结构化、半结构化、非结构化数据格式计算能力,及大数据处理计算能力;3)
宜具备数据选代计算,及运行多种机器学习算法的能力;4)
宜将图技术与业务场景结合,构建场景化知识图谱(如交易知识图谱、贷款申请知识图谱等),利用图算法加工指标作为风险特征用于事中风险识别与决策和A模型开发:利用图谱的可视化做风险核查与运营,提高风险核查可解释性:宜使用如自然语言处理(NaturalLanguageProcessing)、文本/图像/音视频分类等技术进6)
行分析与处理;
宜使用隐私计算技术(如联邦学习、多方安全计算、同态加密、机密计算、隐私枢纽等技术)力
实现建模过程中的数据保护;
可具备依托自动机器学习技术自动发现风险特征、自动进行风险模型训练的能力。8)
d)智能分析与处理管理:
应支持灵活的规则、模型、策略编排设定,对相关的执行做好优先级控制,并有效控制规1)
则、策略的串行关系,根据系统资源使用情况合理设定并行执行个数;2)
应支持在线规则、模型、策略的灵活上下线和更新;3)
应对规则、模型、策略预估时间具备有效的管理机制,避免模型异常影响正常风险防控;4)
应对离线计算资源和在线业务计算资源做好隔离,避免离线计算影响在线业务运行;宜从机构、角色等多维度,采用权限访问控制策略,对不同角色主体授予匹配的数据权5)
限,并留存系统操作日志,对账号和对应操作过程具备事后可追溯能力宜构建完善的风险运营体系,建设高效的风险管理制度、流程和团队,标准统一,分工合6)
理,职责分明,提高风险运营效率。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。