行业新闻

爱加密安全开发管理方案 ,助力开放银行业务发展

爱加密安全开发管理方案 ,助力开放银行业务发展

为达到普惠金融之愿景,我国已开始建立开放金融生态体系,银行作为平台构建者、服务撮合者、生态整合者,是以API为主要技术手段,将银行的产品和服务拆分和打包,与各场景结合、将各种不同的商业生态嫁接至平台之上,再通过这些商业生态间接为客户提供各类金融服务,形成全新的金融服务生态体系。

d36affca4e7b47d29d7ef4785bb03bc7.JPG

开放银行主要应用场景如个人帐户总览、支付场景优化、信评精准化、线上财富顾问以及公开信息统整平台,开放银行将连接金融机构与第三方服务业者,提供更多元、定制化的金融服务。随着SDK/API安全事件的频发,开放银行将面临着更多的安全挑战。

SDK/API常见威胁有代码逆向、非法调用、动态调试、注入攻击等,例如支付SDK被xposed框架进行hook攻击后,可修改其本地支付结果,造成未支付情况下的本地支付成功,因此,一旦发生黑客攻击将造成银行账户信息数据泄露等安全威胁。

政策驱动下,中国人民银行正式发布的《商业银行应用程序接口安全管理规范》,便是监管部门发布的首份开放银行监管政策和行业标准,能够为金融行业在数字化经济转型中提供更多参照与指导。为进一步助力开放银行安全业务发展, 爱加密推出开放银行应用接口安全开发管理方案, 对银行应用程序接口的接口设计、应用部署、集成运行、运维监测及系统下线等全生命周期过程进行安全防护。

爱加密安全开发全生命周期管理平台,是以企业应用接口开发全生命周期为基础,以安全基线、安全开发指引、资产管理、开源组件漏洞扫描、源代码审计、安全运维管理等为核心,集成第三方安全工具的安全开发管控平台。帮客户实现安全开发知识化,安全管理统一化、安全运营标准化。

72cf5045eac74f5a92c85ac1617c50d8.png

安全开发全生命周期管理平台包含了各阶段流程的梳理、评审机制的建立、相关资源库的建设,通过数据接口收集各阶段安全数据、开发数据及漏洞样本,并运用大数据、知识图谱及AI等核心技术,打造覆盖应用开发安全建设和使用全生命周期的 智能安全管控平台 ,为开放银行赋能。

91743e0aefa2402a8541a4bfc7028b65.png

01 立项及风险评估:

基于行业实践的系统安全风险等级评估模型、安全能力评价模型和流程裁剪机制,快速定位重点/高风险系统,实现与开发团队的动态反馈互动机制。

02 安全需求分析:

安全需求分析基于开放银行相关国家/行业标准、监管规范、威胁资源库以及典型案例等,重点考察开发过程的合法合规、业务安全、应用安全、数据安全、通信安全、客户端安全等方面,从而进行安全方案的设计。

03 安全设计方案:

与安全需求分析结果相对应的安全设计知识库,快速生成安全设计文档。涵盖业务功能类安全、攻击防御类安全、工具支持类安全。支持在线安全设计评审。 目前很多行为的攻击方式是利用SDK的业务漏洞来进行,需要对SDK业务环节的所有业务进行分析,为后续的业务加固提供条件。

04 安全开发:

编码检测, 利用知识图谱、机器学习、AI等技术,可定制自动检测任务,针对越权、短信炸弹等业务逻辑漏洞检测,大幅降低误报。

代码审计,C/C++源代码审计、Java源代码审计、JavaScript源代码审计、PHP源代码审计、SQL源代码审计、Python源代码审计。

05 安全测试:

SDK检测、漏洞检测、SDK渗透测试、接口安全评审。

241c97d89f7448038a3b37dfa5913ce4.png

06 安全部署:

为防止SDK代码被分析、被非法调用、防止HOOK类型攻击,因此需要对SDK所有代码进行安全防护加固。爱加密VMP保护技术,是基于虚拟化保护的软件技术实现,将原来的可执行代码转换成爱加密自定义的字节码,而这些字节码只能由爱加密 自定义的虚拟机解释器进行解释执行。

07 安全运维:

平台通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,可实现软件资产管理、全生命周期可量化、可视化的闭环管理,从而帮助企业安全管理人员掌握移动业务的整体安全。


主要优势

丰富的安全知识库: 包括安全需求库、安全威胁库、安全设计库、安全测试用例。 多年行业安全开发经验的积累,众多安全专家的知识沉淀,为安全需求落地实施提供技术支撑。

标准化安全组件库: 提供安全组件库,协助开发者快速解决安全需求。节约开发效率,提升安全效果。 通过标准化的安全组件日志输出,为后续的日志分析和攻击溯源提供数据支持,有效识别攻击源,保障系统安全性。

齐全的安全工具库: 包括移动APP安全检测、软件源代码安全检测、移动APP个人信息安全检测、 Web漏洞扫描等。

规范的安全管理流程: 协助客户建立软件开发全周期的安全开发制度、规范和体系,满足合规要求,梳理开发流程,合理设置安全控制流程和控制点。


微信图片_20200304150914.jpg

关闭