Oracle网银交易监控平台典型案例v5

1、网银交易实时监控案例分享网银交易实时监控案例分享 美国富国银行美国富国银行Oracle Adaptive Access Management解决方案解决方案Oracle Fusion Security2l 希望改善原有在线安全监控平台的设计，给用户提供更希望改善原有在线安全监控平台的设计，给用户提供更安全的服务；安全的服务；l为银行提供实时的交易监控和风险分析为银行提供实时的交易监控和风险分析l 需要达到联邦金融机构检查理事会需要达到联邦金融机构检查理事会(FFIEC)的指示要求的指示要求 部署了全面的网银交易实时风险分析；部署了全面的网银交易实时风险分析； 系统可以监测出用户是否从其常用地点

2、进行网银交易，监测是否有人从异常设系统可以监测出用户是否从其常用地点进行网银交易，监测是否有人从异常设备和地点进行非法登录，交易；备和地点进行非法登录，交易；实现了实现了99%的在线交易安全保证：让网银用户最大程度免于受到钓鱼网站、键盘的在线交易安全保证：让网银用户最大程度免于受到钓鱼网站、键盘精灵、二代钓鱼等的账户攻击，保护客户资金安全，大大提高客户的满意度；精灵、二代钓鱼等的账户攻击，保护客户资金安全，大大提高客户的满意度；投资回报投资回报Oracle成功案例成功案例 美国富国银行美国富国银行 -实时在线风险分析实时在线风险分析业务挑战业务挑战富国银行案例分享富国银行案例分享项目背景项目背

3、景美国富国银行简介美国富国银行简介 富国银行是美国唯一一家获得AAA评级的银行，建于1852年，名称一直未变；按商业银行资本市值，全球排名第四。 富国银行是一家提供全能服务的银行，业务范围包括社区银行、投资和保险、抵押贷款、专门借款、公司贷款、个人贷款和房地产贷款等。 富国银行存款的市场份额在美国的17个州都名列前茅，是美国第一的抵押贷款发放者，第一的小企业贷款发放者，拥有全美第一的网上银行服务体系。是美国唯一 一家被穆迪评级机构评为AAA级别的银行。可以不夸张地说，富国银行是美国最好的银行从1852年起，富国银行已经成为美国西部信贷服务的标志性企业之 一。 面临的挑战面临的挑战合规性要求合规

4、性要求 美国联邦金融机构检验委员会(FFIEC)要求所有在美国营业的银行必须部署多因素认证以及反钓鱼措施。这一规定迫使富国银行和其它美国银行改进它们在线渠道的安全解决方案。而富国银行也定期的对自己的安全性进行严格的内部审计。 风险风险/遭遇的攻击遭遇的攻击 富国银行的在线金融渠道经常受到以大型金融机构为目标的攻击手段，包括钓鱼，域欺骗，恶意软件（键盘记录器，man in the browser等），中间人攻击，字典攻击，密码窃取及其它各种人为手段的攻击/欺骗。传统监控手段的局限性传统监控手段的局限性 在实施OAAM之前，富国银行曾经使用初级的批处理式分析工具以及手动工序来鉴别潜在的欺骗。而在实

5、施OAAM之前，没有任何实时的欺诈探测和封锁机制。 由于实施了OAAM，富国银行大幅度的减少了遭遇欺诈的案例，同时也通过削减手动工序节省了大量的时间和人力成本。富国银行案例分享富国银行案例分享方案描述方案描述方案选择方案选择 最终入围的是RSA和Oracle。甄选程序经过了大约九个月。OAAM以其部署和集成的灵活性，高度可配置的安全策略，通俗易懂的风险评估规则及友好的基于风险的认证机制最终胜出。 由于Oracle并不是一个小型提供商，我们可以为客户提供一整套由同一个公司开发和测试过的安全解决方案。这一优势为客户提供了更好的支持，更强的稳定性，更统一的技术和更优秀的互操作性,而这些优势是通过简单

6、的拼凑多家厂商的产品所难以比拟的。即使客户目前只打算采购解决方案中某个单一的组件，对于一个大型企业来说，考虑到节省下的时间和金钱，一个易于扩展的解决方案也是非常重要的。此外OAAM是一个同时受到分析师和我们自己的客户好评的产品。方案简介方案简介用户用户机构机构管理员管理员客户化应用客户化应用网银网银内部业务应用内部业务应用UserLocationDevice使用的功能模块使用的功能模块Oracle Adaptive Risk ManagerOAAM Offline AnalysisOAAM ReportingOracle Adaptive Strong Authenticator提供用户自定义

7、的动态虚拟键盘提供用户自定义的动态虚拟键盘、预留问题质询等强认证手段、预留问题质询等强认证手段基于策略的风险管理模型，对用户行为进行全方位的分析和审计基于策略的风险管理模型，对用户行为进行全方位的分析和审计离线风险分析功能，独立于实时在线监控平台，用于对历史数据进行批量分离线风险分析功能，独立于实时在线监控平台，用于对历史数据进行批量分析处理及新规则调试辅助析处理及新规则调试辅助强大的报表功能，对用户行为数据及风险情况进行汇总输出，并可对数据进强大的报表功能，对用户行为数据及风险情况进行汇总输出，并可对数据进行深入下钻查询行深入下钻查询逻辑架构逻辑架构高可用部署示意高可用部署示意富国银行采用富

8、国银行采用Native集成方式，通过集成方式，通过API与与OAAM进行交互进行交互 由于需要达到实时监控和干预高风险交易，富国银行采用Native集成方式，通过以下集成点将数据传送至OAAM监控平台，在数据获取方面未使用探针方式：登录页面通过在网银系统登录页面嵌入OAAM Flash对象，获取用户非隐私的设备信息，用于判断该设备是否为常用设备或是否多人共用此设备等风险情况；用户信息维护页面通过API将用户对个人信息的维护及修改情况传送至OAAM；交易页面通过API将用户的交易数据传送至OAAM；GIS数据通过OAAM的导入功能将第三方地理信息csv数据文件导入监控平台，用于判断用户的登录位置

9、；第三方数据库通过OAAM可实时引用联邦金融机构检查理事会(FFIEC)等部门发布的黑名单数据库，亦可连接网银开户用户数据库获取开户信息。富国银行案例分享富国银行案例分享界面截屏界面截屏OAAM at Wells FargoReal World Use Email from Wells Fargo - Step 1OAAM at Wells FargoReal World Use My Registration - Step 1chris.fox*OAAM at Wells Fargo Example Real World Use My Registration - Step 2Real-Ti

10、me Identity Theft + Fraud PreventionUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceOAAM at Wells Fargo Example Real World Use My Registration - Step 3Real-Time Identity Theft + Fraud PreventionUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLo

11、cationDeviceDevice Fingerprinting Under the Covers Used for Risk Scoring, Forensics and ReportingReal-Time Identity Theft + Fraud PreventionUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceAuto-Learns Patterns and BehaviorLogin TimesUser GroupsDevicesCitiesStatesCou

12、ntriesPatternsConfigurable Actions+/- User group+/- IP group+/- City group+/- State group+/- Country group+/- Device groupDevicesCitiesStatesCountriesUser ProfileIs/not member% membership:User vs himselfUser vs othersRulesDynamically Evaluate & Profile ActivityReal-Time Identity Theft + Fraud Pr

13、eventionUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplicationsUserLocationDeviceReal-Time Identity Theft + Fraud Prevention Computed Risk ScoreUsersMerchantsAdminsCustomApplicationsPortalsBusinessApplications Allow Block Challenge Alert OAAM at Wells Fargo Example Real World Use My Wells

14、Home Page $XX,XXX.XXSession Detail + Risk Scoring Under the Covers User Friendly UI with Predictable Outcomes27“Clear Box” Rules and Scoring#1 QuestionHow did it get that final score?28“Clear Box” Rules and Scoring#1 QuestionHow did it get that final score?29“Clear Box” Rules and Scoring#1 QuestionH

15、ow did it get that final score?In-Session Risk Evaluation - Transfers Knowledge-Based Challenge Upon Transfer with Different Device and/or Country32“In-Session” Real-Time SecurityAny ApplicationAny VerticalAny Transaction!SessionPre Authentication RuntimePost Authentication RuntimeEnterUserIDEnterPa

16、sswordChange Personal Info RuntimeTransfer Funds RuntimeCheckBalanceCheckMessagesAdaptive Reporting EngineOOTB, Adjustable Reports with Free Oracle BI Publisher Oracle BI PublisherPull Datafrom Source1XMLEDIEFTPDFRTFHTMLExcelOutput toDesiredFormats3Send to Destinations4E-mailPrinterFaxStorageBusines

17、s User Creates/EditsLayout Using Common Office and Adobe Tools2OfficeWebAdobeOracle Adaptive AccessOracle Access MgmtOracle Identity MgmtUserLocationDevice富国银行案例分享富国银行案例分享实施方法实施方法OAAM实施方法论实施方法论实时监控、数据收集实时监控、数据收集报警、报告报警、报告不改变用户体验不改变用户体验积累用户行为数据积累用户行为数据采用基本规则采用基本规则确定业务规则确定业务规则少量干涉风险交易少量干涉风险交易形成用户行为模型形

18、成用户行为模型个性化风险监控个性化风险监控对所有高风险交易进对所有高风险交易进行处理行处理扩大渠道范围扩大渠道范围系统扩容系统扩容规则改进规则改进为其它系统提供服务为其它系统提供服务业业务务重重点点技技术术重重点点实时风险监控平台实施步骤方法论实时风险监控平台实施步骤方法论第一阶段第一阶段第二阶段第二阶段第三阶段第三阶段第四阶段第四阶段五五 六六6个月个月3个月个月6个月个月X个月个月平台搭建平台搭建 风险平台风险平台API集成集成 集成其它渠道集成其它渠道 性能调优性能调优基本规则配置基本规则配置 用户行为模型启动用户行为模型启动 规则模型调整规则模型调整报告生成报告生成 强认证模块启动强认

19、证模块启动 集成其它应用集成其它应用数据源接入数据源接入阶阶段段成成果果认证认证 多因素认证多因素认证(OTP, CA/PKI)预防预防Fraudsters基本安全风险模型基本安全风险模型 行为行为安全风险模型安全风险模型基本仪表板基本仪表板&报告报告 有关交易报告有关交易报告结合运维结合运维&客户服务客户服务 自动化结合自动化结合富国银行实施路线富国银行实施路线与现有平台及业务流程关系与现有平台及业务流程关系 OAAM与一个全新定制开发的互联网金融应用程序及其基础设施进行了本地集成，因此并不存在与现有系统冲突的问题。同样，业务和管理流程也是为这个新的平台重新开发的。总而言之，

20、OAAM的用户将它与他们所使用的金融应用程序进行了本地集成。 这一手段提供了最佳的性能和灵活性。由于我们为本地集成所提供的API是相对轻量级的并且非常易于实现，所以它对性能的影响被控制在了最小的范围。为了适应自动化的欺诈侦测和在某些配置下极少量的手工调查步骤，我们必须对业务流程和管理机制进行扩展。通常情况下，比起离线或者手动工序下的风险分析，OAAM用户可以明显的减少在管理风险方面的人力需求，并且获得极大的效率提升。 OAAM需要占用专有的资源(容器和数据库)，因此它不会对其它平台造成影响。富国银行案例分享富国银行案例分享后期维护后期维护审查和维护周期审查和维护周期 类似富国银行这样的OAAM

21、客户通常会定期审查OAAM的产出，以确定相关策略仍然在按预期的效果运作。这样的审查通常以定期报告的形式进行，审查结果会包含被拒绝的事务总数，预留问题质询总数，以及各种类型警报的总数等等。一旦业务团队和安全团队在相关的阈值上达成一致，安全策略本身就很少需要修改了。此外，由于OAAM会在对不断变化的用户行为进行分析的基础上进行自我调整，它能够在没有人工干预的情况下对什么是正常行为，什么是可疑行为进行精确的鉴别。如果安全团队想要通过额外的规则和分析方法来改善风险分析的效果，那么他们可以通过图形化用户界面方便的进行改动，并且在一个离线的测试环境中基于真实生产数据安全的对这些改动进行测试。同样的，我们也

22、能找到一些第三方工具，用来生成“如果.，会怎么样”的测试场景来对各种假设进行测试。 除了软件补丁和版本升级，另一个主要的维护工作就是一些通过现成的脚本对数据库进行清理和数据保护的最佳实践。像富国银行这样的大型客户会在生产环境中保留六个月的数据，以进行基于历史数据的风险评估。采用采用OAAM 离线模式（离线模式（Offline）进行规则验证）进行规则验证DB LoaderOAAM监控平台监控平台OAAM 离线模式设计目的离线模式设计目的OAAM提供离线风险分析工具，可针对已有的数据进行离线运算分析。OAAM离线模式可满足以下场景：作为分析和测试工具创建和验证新的规则，在将新规则导入生产系统之前使

23、用生产系统的数据作为测试数据，进行规则验证；作为独立的安全监管系统离线分析、检测高风险行为并进行预警；作为补充分析工具基于真实用户数据进行规则调优，不影响用户的实时登录和交易。OAAM 离线模式数据来源离线模式数据来源 用户的登录和交易数据会被载入OAAM Offline数据库，数据可从以下来源进行获取：直接从OAAM Online数据库中获取；从临时数据库中获取；从网银数据库或远程第三方数据库中获取；从文件中获取，如日志文件。使用使用OAAM 报表查看规则触发情况报表查看规则触发情况 通过OAAM Offline模式，启用新规则针对已有的真实用户数据进行离线风险分析，并可通过开箱即用的报表功

24、能对分析结果进行总览查询，查看新规则被触发的总次数，并可深入下钻查询，查看每次被触发的具体情况。若触发次数过多，如占到25%以上，则可能规则阀值过低，可根据实际情况进行调整。团队建设及业务流程梳理团队建设及业务流程梳理 富国银行设立了一个78人的团队，负责OAAM监控平台的运维及业务处理。团队按职责划分角色的标准如下：高级管理团队高级管理团队 -监控执行官 -风险主管 -安全总架构师核心团队核心团队 -规则工程师 -规则设计师 -风险分析师 -业务分析师 -测试人员 -培训师系统扩展团队系统扩展团队 -数据库管理员/系统管理员 -运维支持人员 -Help Desk和/或客户关怀 -业务代表 O

25、AAM的客户通常会选择使用他们自己的安全团队来监控和使用OAAM。安全团队可以清楚地看到OAAM在评估哪些活动，以及准确的观测它们的性能，评估报告和最终产出如何。OAAM包含了强大易用的法证链接分析，报告及记录的功能，以方便事故调查员的工作。团队建设及业务流程梳理团队建设及业务流程梳理 团队按上述角色进行职责划分，在项目的不同时期，各角色的比重会按情形调整，一人可兼任多个角色，部分角色亦可在一定时期采用兼职人员。其中：业务分析师作为业务部门和监控部门的桥梁，负责收集整理业务需求，撰写需求说明文档，供规则设计师参考。规则设计师负责风险监管规则的设计和业务流程设计，通过团队内的接口角色与其它部门（

26、短信平台、呼叫中心等）进行沟通。Help Desk/客户关怀人员负责监管用户服务请求，作为解决用户使用网银问题的补充点，提供更高一级的支持和建议，确保每一请求的完结，并针对典型的触犯规则的用户进行回访，考察用户体验并记录反馈，上报核心团队进行分析，以此进行规则调优或制定新规则或保持现状。风险分析师依靠报表工具对周期内的用户行为风险情况进行数据挖掘分析，将分析结果上报高级管理团队，高级管理团队以此为依据之一考虑风险监控在战略上的调整。培训师负责培训业务人员及呼叫中心相关职责及技能。富国银行案例分享富国银行案例分享投资回报投资回报投资回报分析投资回报分析 通过实施OAAM风险监控平台，可极大为银行

27、用户节约人工成本并创造附加价值，以富国银行为例，其ROI分析可关注以下几个方面：用户安全保障加强后，投诉电话减少通过自动审计节约人工成本用户满意度提升带来的新用户数量增长及老用户流失率下降在防范欺诈风险方面减少了大量时间投入对用户行为的深入理解为网银改进、CRM及其它产品开发提供了有力信息支持减少用户因在线欺诈引起的经济损失极大提高品牌影响力 通过代入具体数据（如用户数和单位人工成本等）进行计算，OAAM可在一年内实现100%的投资回报，用户称赞“OAAM pay for itself”。 进一步了解OAAM详细ROI分析报告可参考：http:/ 客户客户Financial ServicesP

28、ublic SectorEducationeCommerceHealthcareTelecomHi Tech50l需要处理高速增长的跨渠道的安全漏洞：需要处理高速增长的跨渠道的安全漏洞：包括网银、手机包括网银、手机银行，银行，ATM，POS等；并需要经常调整各渠道的风险规则等；并需要经常调整各渠道的风险规则l需要构建统一风险监控平台来保护和监测所有电子渠道；需要构建统一风险监控平台来保护和监测所有电子渠道；l 需要满足数据安全和隐私控制的合规要求；需要满足数据安全和隐私控制的合规要求； 新的网银监控平台基于原有的渠道支付规则，将银行安全策略融入其中，实现了多新的网银监控平台基于原有的渠道支付规

29、则，将银行安全策略融入其中，实现了多渠道的银行业务风险监控管理；渠道的银行业务风险监控管理；节省了节省了80%的安全防范成本，大大提高了银行声望；的安全防范成本，大大提高了银行声望；投资回报投资回报业务挑战业务挑战规规 模：模：管理分布于管理分布于7个国个国家的家的40万网银用户万网银用户; 客户反馈：节省客户反馈：节省 80% 由于由于网银安全风险带来的各种网银安全风险带来的各种成本和损失；成本和损失；Oracle成功案例成功案例 EFG Eurobank - 保护多渠道银行业务保护多渠道银行业务51l 除了对网银交易的风险监控和分析以外，还需要在线实时除了对网银交易的风险监控和分析以外，还

30、需要在线实时地风险控制防御平台；地风险控制防御平台；l 需要对多渠道银行交易系统风险进行监控，包括银行交易，需要对多渠道银行交易系统风险进行监控，包括银行交易，信贷系统，支付网关等系统。信贷系统，支付网关等系统。l 业务部门要求风险监控平台不对现有用户正常操作产生干业务部门要求风险监控平台不对现有用户正常操作产生干扰或影响用户体验。扰或影响用户体验。把银行业务监控平台扩展到多个业务部门，多个国家，使得获得潜在的巨量客户群（把银行业务监控平台扩展到多个业务部门，多个国家，使得获得潜在的巨量客户群（10亿级用亿级用户）成为可能。户）成为可能。采用开放技术架构，部署了多级的主动型，实施风险防范，监测

31、控制系统。同时提供了多因素采用开放技术架构，部署了多级的主动型，实施风险防范，监测控制系统。同时提供了多因素强认证机制。强认证机制。方案在不影响现有银行业务使用和性能的前提下，帮在线用户避免风险欺诈，增加客户对电子方案在不影响现有银行业务使用和性能的前提下，帮在线用户避免风险欺诈，增加客户对电子银行业务交易的信息和使用率。银行业务交易的信息和使用率。业务挑战业务挑战规规 模：模：作为印度第二大银行，管理作为印度第二大银行，管理2千千万网银用户万网银用户; 客户反馈：快速系统集成能力，客户反馈：快速系统集成能力，满足了电子渠道业务飞速发展对满足了电子渠道业务飞速发展对交易安全的要求。交易安全的要

32、求。投资回报投资回报Oracle成功案例成功案例 印度印度 ICICI Bank - 多渠道银行业务监控平台多渠道银行业务监控平台ICICI Frand Management System7-Feb-2009 GOA CxO ForumChannelsFraud PreventionE-Commerce Transaction (E-COM)Real-time integration with payment gateway for risk scoringPoint of Sales (POS)Near real-time integration with switchInternet Ba

33、nking (I-Banking)Real-time integration for authentication and risk scoringInternally Originated Transaction (Internal)Offline interface with core systems for fraud pattern detectionLoans and Credit Card System (Credit)Online interface for pattern detection & risk scoringCase Study ICICI BankReal

34、-time Multi-Channel Fraud Prevention PlatformOAAM Implementation MethodologyInitiationAssessmentCollectionEnforcementEnhancementPhase 1.1 No change to the user Profiling Review CommunicationPhase 1.2Optional Registration“Launch” CommunicationPhase 1.3Required RegistrationSecurity & ControlsPhase 2+In Session (Transaction based Policy)In Band Verification“On-going” Communication55l 缺乏有效手段了解网银平台的风险分布情况；缺乏有效手段了解网银平台的风险分布情况；l不能实时检测和发现网银交易风险；不能实时检测和发现网银交易风险；l需要提高网银安全达到信用卡需要提高网银安全达到信用卡/借记卡级的安全级别；借记卡级的安全级别；l需要实现全面自动的在线交易监控，满足国际和本需要实现全面自动的在线交易监控，满足国际和本地的网银法规要求；地的网银