如何解决金融行业移动应用业务面临的风险问题?
如何解决金融行业移动应用业务面临的风险问题?
金融行业APP/公众号/小程序承载着大量的用户信息,移动安全关乎企业及用户的信息安全、资金安全。移动端安全风险亟待排查和解决,金融行业需要规划和建设移动全生命周期的安全体系。爱加密针对金融行业的合规性评估、代码开发阶段的安全、应用漏洞检测、用户数据安全及应用本身的防破解窃取等需求,提供一整套稳定、可靠的安全保护解决方案。
1
行业背景
近年来,随着移动互联网和通信技术的不断发展,移动应用在金融行业得到了井喷式的高速增长。5G时代的来临,移动端流量必将呈指数级的增长,各行各业开展移动端入口抢夺大战,加速在无限商业化的布局和变现。基于此,金融行业均加速向移动互联网靠拢。
手机端金融业务的交易量与支付额快速提升,移动金融成为人们日常生活的重要组成部分。银行、证券、保险、基金、第三方支付等纷纷推出各类移动金融应用,面向不同的人群与场景,提供灵活便捷的移动金融服务。但在移动金融快速发展的同时,其涉及系统和信息的安全问题越来越突出。
自2017年6月1日起施行《中华人民共和国网络安全法》的发布,监管机构也进一步加强对移动端的安全的监督和管理,银发【2016】170号文、银监办发【2017】2号文、银办发【2018】146号文等都对移动端安全提出了明确的要求;2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》,对APP的规范性也提出了更明确的要求。
2
安全风险
移动互联网给人们生活带来的便利的同时,也造成安全风险事件频发。从技术角度来观察,金融行业移动应用面临的风险主要体现在以下几方面:
1、开发阶段没有重视安全开发,没有制定响应的安全开发规范,源代码没有经过专业的代码审计;
2、测试阶段没有充分重视APP兼容性和性能测试的重要性,测试重点仅放在功能的实现,未制定渗透测试流程来确保应用的安全;
3、移动应用开发完成后,忽略Android自身安全性缺陷带来的安全风险,没有做有效的加固及数据保护;
4、应用发布到应用市场以后,没有有效的技术手段应对APP仿冒行为。
3
解决方案
针对移动安全所存在的诸多问题、挑战与需求,为保证金融行业移动应用业务安全,需要建立一套牢固的移动应用安全防护体系。
开发阶段
针对源代码缺陷进行静态分析检测,对目标软件代码进行语法、语义分析的技术上,辅以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段,能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷,并准确定位告警,从而有效的帮助开发人员消除代码中的漏洞、减少不必要的软件补丁升级,可提供软件产品和源代码审计服务,为软件的信息安全保驾护航。
测试阶段
1、兼容性测试:兼容性测试通过率、安装失败率、启动失败率、运行失败率;包括主流系统的各品牌机器,机型总数300款左右;
2、性能测试:测试包括安装时间、启动时间、CPU占用、内存占用、耗电量、网络流量等等;
3、APP安全检测:APP上市场前的基线检测,包括安全性检测、漏洞检测、规范性检测、病毒检测等;
4、渗透测试:包括对APP/SDK/H5/公众号/小程序/web端的渗透测试;专业的渗透工程师模拟黑客方式分别从源码/代码、调试安全、数据安全、加密算法安全、常见安全漏洞、传输协议安全、身份鉴别安全、接口安全等方面进行人工渗透,输出渗透报告。
安全防护
1、移动应用安全加固:采用安全防护技术实现对移动端的保护,包括Android加固、ios加固、SDK加固、H5加固、传输安全SDK等,综合运用防逆向、防篡改、防调试、数据保护、代码混淆等多种加固技术确保移动应用安全。
2、移动应用威胁感知:通过对移动应用的实时数据采集,收集应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源从而帮助企业安全管理人员掌握移动业务的整体安全态势的大数据平台。可有效感知:崩溃、框架攻击、注入攻击、调试攻击、模拟器分析、位置欺诈、劫持攻击、病毒木马分析、root/越狱、恶意应用等。
3、移动安全管理平台:通过对各类安全/系统工具和企业资产的整合,提高安全服务能力和安全响应能力。提供多维数据报表展示与管理模块,包含综合安全、资产安全、应用系统安全维度的数据统计分析与报表展示。
4、移动应用运营阶段:通过对全网APP的监测和分析,帮助用户监测APP的盗版、仿冒、侵权行为。
爱加密移动安全解决方案协助金融行业建立移动应用全生命周期安全体系,综合采用代码审计、APP安全检测、兼容性/性能测试、渗透测试、APP安全加固、威胁感知、渠道安全监测等服务方案;从流程出发把控安全的重要节点,从而有效解决了金融行业移动应用业务面临的风险问题,提高移动应用业务风险抵抗能力,更好地满足行业监管要求,为移动业务的可持续发展保驾护航。