近日，中国信息通信研究院发布了《移动金融应用安全白皮书（2019年）》。该白皮书由信息通信研究院、顶象等五家单位联合制作，聚焦于移动金融应用的安全，梳理了移动金融应用安全的政策和技术背景，重点剖析了移动金融 App 面临的五大风险，并提出了移动金融 App 安全建设的新思路和应对策略。

随着移动支付的普及，用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁。包括银行、证券、保险等传统金融服务向移动端的转移，金融服务业务已逐步实现移动化。移动金融，有效提升运营效率，降低管理成本，为客户提供更加便捷、实时、高效的服务。

移动金融应用在给大众生活带来巨大便利的同时，也带来了巨大的安全挑战。安卓版移动操作系统，由于其系统本身的开源性，系统漏洞容易被发现和利用，增加了App的脆弱性；部分金融行业 App 开发者安全意识淡薄，防护技术手段落后，开发流程不规范，更新修复不及时等，增加了移动金融 App的安全风险；同时，由于移动 App能够收集到大量精准且有价值的用户信息，成为不法分子的攻击目标。

为保障移动金融健康有序发展，监管部门应帮助 App 运营单位加强合规性安全检测能力建设，履行网络安全保护责任与义务，保护公民隐私信息，落实安全主体责任和网络实名验证、建立健全安全管理制度，防止数据泄露、窃取或篡改等问题。同时，针对移动 App 安全及个人信息安全问题，国家、行业主管部门等相关单位陆续出台了多项法律法规和标准规范，用于净化移动 App 个人信息安全市场。

白皮书认为，对于移动金融应用风险的防护，可以从事前、事中、事后进行全生命周期安全防护策略。

事前：通过加固、设备指纹、验证码、数据加密等防护，增强App自身安全性。并根据需要对App及业务展开模拟攻击测试，发现潜在风险点。

事中：针对网络中的异常流量进行检测，通常的做法是基于恶意流量的特征匹配，目前也有一些新的思路是通过AI技术进行智能判断。

事后：使用的手段是对大数据进行建模，及时发现异常行为和流量。

随着攻击手段的不断升级，靠单一手段就能实现有效防护，纵深式防御正成为主流。通过多种技术的结合，建立多层防御体系。