行业新闻

爱加密解读|《商业银行应用程序接口安全管理规范》

爱加密解读|《商业银行应用程序接口安全管理规范》

随着互联网以及智能移动终端的普及,智慧“开放银行”将开启未来银行业服务的新模式。“开放银行”生态是在开放银行的基础上,将第三方平台资源进行整合,将各个业务场景进行梳理和融合,创建以银行金融服务输出为核心,以业务场景建设和支持为基础,以自身和第三方平台资源为依托的生态系统,涉及到社会生活的各个行业,渗入到社会生活的各个场景。“开放银行”已经是银行在互联网大背景下的一种趋势。

开放银行应该如何“开放”,尽快建立起一套开放规则和监管规则至关重要。本次的中国人民银行发文,就是为了从商业银行应用程序接口的类型的角度,从而规定、规范:安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。


标准称,商业银行使用的API类型可分为内部API、企业定制API与外部API三种类型。并且此文中描述会有三个参与方:商业银行(接口提供者)、应用方(接口集成者)、用户。

1、针对商业银行

由于此次发文主要为了让商业银行的业务得到市场广泛推广,利用接口对接的方式和社会上其他合规应用提供者进行对接。本次发文也是为了提升要求商业银行需要对申请接入的应用方进行准入审核,如服务客群、服务场景、市场份额、运营能力、风控能力等方面并以及时的建立起对接口安全的规范。

2、针对应用提供者

本次发文的另外个主体就是应用提供者,在应用提供者获取商业银行相关业务接口后同样也能在应用功能中有所体现,从而在市场份额中有所占领优势。同样,此文也提出了诸多要求,用来约束应用提供者在与商业银行接口对接的前、中、后期的技术以及业务管理。

爱加密深耕于移动应用安全领域多年,全生命周期安全产品可覆盖金融银行移动应用开发、设计、上线、测试、运营、监测等阶段。可为其提供以下安全服务,助力开放银行合规、业务高效运营。


01

安全开发规范定制及培

爱加密通过在移动应用安全行业的工作经验,发现移动应用客户端开发人员大多不具备基本安全开发知识,大多数安全风险是由安全开发不规范引起的。爱加密可为用户提供针对开发人员的安全开发培训,为开发人员树立安全观念,使其知悉开发环节中存在的不安全的开源框架、组件等。

所对应本发文条款如下:


爱加密解读|《商业银行应用程序接口安全管理规范》

 

02

安全开发管控平

安全开发管控平台是贯穿应用开发从立项到上线全生命周期的安全管控平台,帮助用户构建模块化、标准化、流程化、可配置的安全开发工具,提供多种系统接口与其他平台对接,基于金融行业系统安全风险等级评估模型、安全能力评价模型,覆盖应用上线前、上线后的资产管理、漏洞侦测管理,实现应用设计、开发、测试过程中的安全管理可视化。

所对应本发文条款如下:


爱加密解读|《商业银行应用程序接口安全管理规范》

03

源码检测平台


源代码检测平台是针对软件开发生命周期阶段早期及时发现问题,找到问题的根源,改进代码质量,提高攻击门槛。该平台提供了:源代码安全检测、自动化测试任务、项目源代码安全评级、安全漏洞协同审计、安全漏洞趋势报告、安全测试数据统计、安全漏洞测试标准发布、安全漏洞测试策略管理、安全漏洞知识学习、安全编码经验分享等多项功能。可以使开发者、测试者和管理者在一个平台上都能够方便地、简单地完成相关软件安全测试。

所对应本发文条款如下:


爱加密解读|《商业银行应用程序接口安全管理规范》


04

传输加密SDK

采用传输加密SDK,实现移动应用客户端与服务端数据交互时的传输加密,传输加密SDK采用一次一密的加密方式,每次传输时采用的加密算法不同,即使传输数据被非法截获,攻击者也无法第一时间获取所有传输数据的明文,以此保障数据传输时的安全。

 

所对应本发文条款如下:


爱加密解读|《商业银行应用程序接口安全管理规范》

05

安全键盘SDK

通过采用安全键盘SDK,规避系统自带键盘可能被非法劫持的风险,安全键盘在进行数据传输时对数据进行加密,保证传输数据不被非法获取,为支付数据、敏感信息传输提供安全保障。

所对应本发文条款如下:


爱加密解读|《商业银行应用程序接口安全管理规范》



06

移动应用加固平台

爱加密提供移动客户端安全加固服务,对移动应用客户端进行安全加固,包括防逆向、防篡改、反调试、防劫持、数据防泄漏、页面数据防护等功能,同时包括加固包的压缩优化和移动应用崩溃信息监测服务。

爱加密所提供的加固平台,不光可以为移动端进行加固,目前还涉及到SDK、小程序、H5等一系列应用加固功能。

 

所对应本发文条款如下:



爱加密解读|《商业银行应用程序接口安全管理规范》



07
移动应用威胁感知平台

移动APP真正的风险来自于互联网端、来自于其运行环境。移动APP安全加固的侧重点在于防破解、防二次打包、防动态的调试攻击,是安全厂商赋予应用的安全防护能力,而移动APP在手机端运行时面临更多未知的威胁,利用APP自身业务逻辑的漏洞和脆弱性进行数据、业务层面的威胁。

爱加密提供移动应用威胁感知平台,通过对移动应用客户端在用户本地运行时的实时数据采集、数据汇总,可以做到对移动应用客户端环境安全风险的实时监测。

所对应本发文条款如下:


爱加密解读|《商业银行应用程序接口安全管理规范》



08

个人隐私合规评估

爱加密可以为用户提供个人隐私合规评测服务,评测服务依据《信息安全技术 个人信息安全规范GB/T 35273-2017 》、《关于开展App违法违规收集使用个人信息专项治理的公告》、《个人金融信息保护技术规范JR/T0171-2020》等国家标准、行业标准为用户提供评测服务。

爱加密除了针对以往的发文进行个人隐私合规的评估外,还能满足有新增合规、特殊定义的隐私合规等要求。

 

所对应本发文条款如下:

爱加密解读|《商业银行应用程序接口安全管理规范》

09

渗透测试

APP人工渗透测试

爱加密通过模拟黑客的攻击方式对移动应用分别从源码/代码、调试安全、数据安全、加密算法安全、常见安全漏洞、传输协议安全、身份鉴别安全、接口安全等方面进行人工渗透,输出渗透报告,帮助安全开发人员快速明确移动应用客户端的安全风险所在,为后续的安全整改工作提供有力支撑。


WEB应用渗透测试

爱加密专业的渗透工程师模拟黑客方式从配置管理、认证、会话管理、权限、业务逻辑、数据验证等方面对IP/域名进行人工渗透,输出渗透测试报告。

所对应本发文条款如下:

爱加密解读|《商业银行应用程序接口安全管理规范》

爱加密解读|《商业银行应用程序接口安全管理规范》


关闭