近年来，随着移动互联网和通信技术的不断发展，移动应用在金融服务组织中得到了井喷式的高速增长。各行各业纷纷加入抢占移动端入口大战，加速寻找商业化布局和变现的更多可能。但在移动金融快速发展的同时，其涉及系统和信息的安全问题越来越突出，金融服务组织也越来越多地受到网络威胁。

7月11日，英国网络安全服务提供商Wandera对拥有50,000台设备的225家金融服务公司近六个月的安全数据做调研，发表最新的《金融服务公司移动安全》报告。

（图为报告中金融服务公司的网络钓鱼风险数据）

01 金融行业移动安全的现状

1、爆发频率高：在6个月内分析的设备子集中有470万个事件，每个组织平均约21,000个事件是发生在移动设备上。

2、金融钓鱼攻击占比高：金融服务组织正经历比其垂直线外同行更高数量的网络钓鱼攻击（金融服务组织为57%，而跨行业为42%）。

3、中间人攻击潜在风险高：金融服务业受到中间人攻击的风险更高（金融服务业为36％，跨行业为24％），可能是因为旅行活动和公共Wi-Fi使用高于正常水平。

4、设备安全有待提高：当涉及到密码劫持时，金融服务员工在使用设备上似乎比其他行业更负责任谨慎些，因此，总体设备影响要小得多（金融服务组织占比1%，跨行业占比2.65%）。

5、安全意识有待提升：金融服务业每20个人中就有一个人的锁屏被禁用，如果设备丢失或被盗会产生巨大后果影响。

6、逐步调整侧载程序安全性能：在金融服务领域，几乎所有的移动设备都有侧载应用程序，iOS设备占3%，Android设备占比接近4%。

7、重视系统补丁升级维护设备安全：越来越多的金融服务用户使用最新的操作系统和安全补丁来维护他们的设备（这很可能是该公司有文件记录的规则要求或者移动程序的管理策略）。

Wandera的产品战略副总裁Michael Covington说：“金融服务行业和许多行业一样，客户信息的安全性是最重要的资产，因此移动安全仍然是一个令人不可松懈的事情。”

02 移动金融应用面临的信息安全风险

从技术的角度来观察，一个典型的商业银行移动金融应用，整个系统主要包含客户端、网络通信、应用服务端三大部分，相对应地，系统可能面临的安全风险主要也体现在这三个环节：

(一) 客户端安全风险：

1. 客户端应用程序自身的风险：被反编译、篡改、盗版、非法植入广告代码等，以及常见的动态调试和获取root权限，修改数据存储文件等。

2. 钓鱼欺骗：基于仿冒应用的钓鱼欺骗以及基于短信、网站欺诈的钓鱼欺骗

3. 界面劫持、“撞库”攻击、暴力登录尝试、外联风险等

(二) 网络通信安全风险：主要体现在通信信道信息安全和https嗅探劫持上。

(三)   应用服务端安全：常见风险有：DDoS攻击、Session重放攻击、SQL注入和传统互联网应用服务端存在的其它风险，如目录遍历、物理路径泄露、缓冲区溢出、失效的访问控制等。

03 针对安全风险的应对策略思考

加强金融行业内部信息安全建设：

金融服务行业对网络安全的投资上，通常是围绕建造更高、更安全的外围墙壁。然而，现实情况却大相径庭，快速移动的动态威胁每天都在创造新的挑战，而金融服务行业常常忽略其内部能力的提升。虽然保卫外围是至关重要的，但是墙内的人通常面临着最大的风险，也是对抗外围攻击最大的武器。因此，金融服务行业应更多的加强企业自身的安全团队建设，提升网络安全攻防能力，加强事件应急响应和漏洞管理能力。

提升企业内部安全意识的培养：

安全是维持企业良好发展的重要因素，所以一个想要发展的的企业都会非常重视安全工作，培养企业的安全文化。企业的安全文化主要是又员工组成的，因此当员工有着良好的安全观念后，企业安全必将不再是问题。

总结

金融机构的增长正在努力往规范化发展，除了其他新兴的技术趋势外，云迁移和广泛采用BYOD解决方案，使得行业安全专家不仅要保护设备，还要保护安装在设备上的应用程序及其访问的数据，这一点对于金融行业至关重要。因此我们要从制度、技术、业务、运营、运维等多个层面、多个环节加强重视，共同努力，防微杜渐，才能保障移动互联时代的金融安全。

作者：張張 | X安全主编

互联网潜藏分子，关注安全，诚邀行内大咖关注&投稿分享。