信通院、顶象等五单位联合发布《移动金融应用安全白皮书》
近日,中国信息通信研究院发布了《移动金融应用安全白皮书(2019年)》。该白皮书由信息通信研究院、顶象等五家单位联合制作,聚焦于移动金融应用的安全,梳理了移动金融应用安全的政策和技术背景,重点剖析了移动金融 App 面临的五大风险,并提出了移动金融 App 安全建设的新思路和应对策略。
随着移动支付的普及,用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁。包括银行、证券、保险等传统金融服务向移动端的转移,金融服务业务已逐步实现移动化。移动金融,有效提升运营效率,降低管理成本,为客户提供更加便捷、实时、高效的服务。
移动金融应用在给大众生活带来巨大便利的同时,也带来了巨大的安全挑战。安卓版移动操作系统,由于其系统本身的开源性,系统漏洞容易被发现和利用,增加了App的脆弱性;部分金融行业 App 开发者安全意识淡薄,防护技术手段落后,开发流程不规范,更新修复不及时等,增加了移动金融 App的安全风险;同时,由于移动 App能够收集到大量精准且有价值的用户信息,成为不法分子的攻击目标。
为保障移动金融健康有序发展,监管部门应帮助 App 运营单位加强合规性安全检测能力建设,履行网络安全保护责任与义务,保护公民隐私信息,落实安全主体责任和网络实名验证、建立健全安全管理制度,防止数据泄露、窃取或篡改等问题。同时,针对移动 App 安全及个人信息安全问题,国家、行业主管部门等相关单位陆续出台了多项法律法规和标准规范,用于净化移动 App 个人信息安全市场。
白皮书认为,对于移动金融应用风险的防护,可以从事前、事中、事后进行全生命周期安全防护策略。
事前:通过加固、设备指纹、验证码、数据加密等防护,增强App自身安全性。并根据需要对App及业务展开模拟攻击测试,发现潜在风险点。
事中:针对网络中的异常流量进行检测,通常的做法是基于恶意流量的特征匹配,目前也有一些新的思路是通过AI技术进行智能判断。
事后:使用的手段是对大数据进行建模,及时发现异常行为和流量。
随着攻击手段的不断升级,靠单一手段就能实现有效防护,纵深式防御正成为主流。通过多种技术的结合,建立多层防御体系。