近年来, 随着移动互联网和通信技术的不断发展,移动应用在金融行业得到了井喷式的高速增长。5G时代的到来让移动端流量猛增,于是各行各业开展移动端入口抢夺大战,加速在无限商业化的布局和变现。基于此,金融行业也正在逐步向移动互联网靠拢, 据统计,2023年4月金融行业APP月活用户已突破9亿大关,其中支付结算类服务月活用户超过8.79亿,手机银行服务超过4.91亿,股票交易类服务超过0.97亿,综合理财服务超过0.79亿,保险服务超过0.54亿。这一数据反映了金融领域数字化的快速发展,以及用户对于金融服务的高需求。
随着智能手机的普及和移动互联网技术的飞速发展,手机端金融业务的交易量和支付额正在经历着前所未有的快速增长,移动金融已经成为人们日常生活中不可或缺的一部分。各大金融机构,包括银行、证券公司、保险公司、基金管理公司以及第三方支付平台,都在积极开发和推广各种移动金融应用程序,旨在为不同用户群体和各种生活场景提供更加灵活、便捷的金融服务。这些应用程序不仅简化了金融交易流程,还极大地提高了金融服务的可及性和效率。
然而,在移动金融业务蓬勃发展的同时,其所面临的应用安全和信息安全问题也日益凸显。根据威胁猎人发布的《2024年上半年数据泄露风险态势报告》,报告指出,2024年上半年全网监测并分析验证的有效数据泄露事件高达16011起,与2023年下半年相比,这一数字增长了59.58%,而后者的数据泄露事件为9539起。此外,监测到的3.4万个黑产团伙中,经过分析验证,发现有1973个团伙涉及真实的数据泄露事件,与2023年下半年相比,新增了984个,增长了近一倍。
从行业分布来看,2024年上半年的数据泄露事件波及了多达85个行业,其中数据泄露事件数量最多的五个行业分别是银行、电商、消费金融、保险和快递。这些数据揭示了当前移动金融领域所面临的严峻安全挑战,同时也为金融机构敲响了警钟,提醒它们必须采取更加有效的安全措施来保护用户的敏感信息,以防止数据泄露事件的发生,确保用户的资金和信息安全。
移动互联网给人们生活带来的便利的同时,也造成安全风险事件频发。从技术角度来观察,金融行业移动应用面临的风险主要体现在以下几方面:
由于目前智能手机尤其是Android手机的生态环境较为开放,终端和系统碎片化严重,权限控制灵活。应用自身面临诸多风险,如:源码反编译、数据窃取、二次打包、动态注入和界面劫持等。
新的操作系统、版本、攻击工具及攻击手段等更新频繁,需确保对应加固策略可以及时覆盖最新的漏洞及风险点,对于加固的优化工作提出了严峻的考验。
在考虑加固解决方案时,需将相关法律法规及行业标准纳入其中,确保解决安全问题的同时,也可以符合相关的法律法规等依据,为应用上线后的合规性提供保障。
业务系统运用开源软件的比例越来越高,衍生出的软件管理问题也越来越多,软件团队只关注其检测自主代码的潜在问题,往往忽视了对应用组件构成和应用中的开源组件中已知漏洞及开源协议的检查。
针对移动安全所存在的诸多问题、挑战与需求,为保证金融行业移动应用业务安全,需要建立一套牢固的移动应用安全防护体系。在移动端层面,通过建立APP开发安全管理机制,进行APP安全检测、APP安全加固、渠道监测、成分分析、代码审计、应用监测、合规检测等,确保应用的安全及合规风险在上线前就得到有效解决。同时,应用发布后,需根据应用更新频率,最新法律法规及行业标准,不断的对应用更新版本进行安全和合规检测,提高移动应用业务的核心竞争能力,更好地满足行业监管要求,为移动业务的可持续发展保驾护航。
移动应用安全解决方案
| 软件安全开发管理平台SDL | 覆盖软件生命周期主要环节,帮助企业进行软件安全需求分析、安全设计、安全测试、安全评审发布,提升全生命周期的安全质量。 |
| 源代码审计 | 支持 C\C++、 Java、 JS、 PHP、 SQL 等语言代码进行扫描检测,发现源代码中的安全缺陷、性能缺陷、代码质量等问题。 |
| 软件成分分析系统 | 对软件组成进行分析检测,具有二进制SCA、源代码SCA、运行时SCA检测能力,可以自动化梳理数字应用中的第三方组件资产,审查组件中涉及的已知漏洞、恶意代码和许可证使用风险。检测出软件中的组件分布信息,识别安全风险,准确定位告警,帮助开发人员消除应用中的漏洞、违禁协议、减少安全隐患,为软件的信息安全保驾护航。 |
| 灰盒测试系统 | 利用多种技术方式对软件内部执行过程进行分析、度量和验证,更全面的发现软件内部缺陷。 |
| 黑盒测试系统 | 主要进行软件的功能性测试,验证程序是否能正确地处理输入数据并产生正确的输出结果。 |
| 移动APP安全检测 | 支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的自动化安全检测,帮助企业进行内部或外包开发的移动应用进行安全水平评价;也可用于监管机构提供应用安全风险评价、取证。 |
| 移动APP合规检测 | 支持对Android、iOS、SDK、小程序等类型应用的自动化合规检测,帮助企业进行内部或外包开发的移动应用进行合规评价;也可用于监管机构提供应用违规风险评价、取证。 |
| 个人隐私合规评估服务 | 个人信息合规检测服务,从APP检测、政策解读、违规整改到证据存留,全方位赋能金融移动应用运营者,有效降低APP违规收集使用个人信息的风险,助力金融APP的长久运营。 |
| 移动APP安全加固及安全SDK | 支持对Android、iOS、鸿蒙、SDK、小程序、公众号等类型应用的安全加固,提供安全键盘、环境清场、通讯数据加密等安全开发组件,帮助企业提升移动应用的安全水平。 |
| 移动APP安全风险监测平台 | 支持对企业在互联网上的移动应用资产进行信息采集、安全及合规分析,帮助企业识别、跟踪自身及关联移动应用资产,并进行持续的安全、合规、盗版监测。 |
| 移动APP威胁感知 | 支持对Android、iOS、鸿蒙等应用进行风险环境、动态攻击等威胁检测威胁监测预警及响应处置,帮助企业加强移动应用的安全运营、风控处置。 |
| 人脸防护综合系统 | 精准辅助移动应用人脸认证环节,提供AI级算法绕过风险识别,降低人脸绕过的风险。 |
| 移动应用大数据平台 | 帮助监管机构摸清管辖范围内的移动应用资产,并实现安全、合规、恶意行为等维度的持续监测,提升监管范围和效率。 |
| 人工渗透评估服务 | 支持对各类型APP实施渗透测试服务;支持对WEB端实施渗透测试服务;支持实施人脸识别专项渗透测试服务;支持对APP、小程序等类型应用实施隐私合规评估服务。 |
| 反钓鱼风险监测服务 | 对金融企业钓鱼网站,APP,小程序,公众号等进行监测,通报风险,关停或下架钓鱼及仿冒相关网站等。 |
| 数据分类分级系统 | 根据企业数据敏感程度进行分类分级,基于数据级别定义安全策略、实现数据共享、满足监管要求,实现数据安全的基础性工作。 |
| 应用数据审计系统 | 基于业务数据流量分析,以用户访问角度,对数据中心的数据流动进行监测和溯源,发现内部数据泄露风险。 |
| 应用数据API监测系统 | 以数据为中心,面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统,帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。部署在企业/组织的互联网出口,实时监控企业组织API的数据暴露面以及被攻击情况。 |
| 应用系统攻击自免疫平台 | 作为一种新型Web防护手段,将保护代码像一剂疫苗注入到应用程序中,与应用程序融为一体,使应用程序具备自我保护能力。 |
| 网络安全有效性验证系统 | 可对当前网络所部署的安全防护体系进行持续的有效性验证,帮助企业及时识别和解决安全问题,提高企业的安全防御能力和风险管理水平。 |
| 外部攻击面管理系统 | 发现和清点企业未知的面向外部的资产,评估资产风险及脆弱性,帮助企业快速降低暴露面风险。 |
京公网安备
11010802025310号
