首页> 安全资讯 > 技术颠覆传统金融 安全问题不容忽视

技术颠覆传统金融 安全问题不容忽视

发布时间:2017-04-25

去年,银监会发布了《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》,其中第七章关于“稳步开展云计算应用,主动实施架构转型”提到,积极开展云计算架构规划,制定云计算标准,联合建立行业云平台,主动实施架构转型。

云计算已经热闹了好几年,但是诸如银行这样的传统行业对于使用云计算的使用呈现的却是保守谨慎的态度,不少银行仍然以自建数据中心为主。云计算的便捷灵活毋庸置疑,但是云计算的风险也会更大,因此,云计算的热浪席卷了全球这么多年之后,银行对于云计算的态度一直是在保证稳妥的同时表现积极。不难看出,此次指导意见的出台也是在力求安全、制定标准的同时实现架构转型。

同样,除了调整架构,《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》提到了针对银行业的多项规划,包括大数据、移动应用、安全等诸多方面的意见。银行对于云计算的态度也是银行对于信息技术的态度,对于银行业来说,保证信息安全比使用一个灵活的IT架构更加重要。正是出于安全的考量,在互联网金融挟击下的时代里。用户经常会有传统金融的移动应用不如互联网金融移动应用灵活快捷的感受。但事实上,很多互联网金融都存在着极大的风向,金融行业移动APP成为黑客入侵的重灾区,尽管我们在日常使用中很难感受到危险,但是在网络的世界里,危险无处不在。

根据爱加密2017年第一季度对全国银行类APP检测发布的《银行APP安全报告》显示,移动应用主要面风险包括源码反编译、服务端控制、数据存储、传输层保护不足、数据泄露、客户端注入、不可信输入的安全决策等。动态调式、反编译、界面劫持、代码注入、篡改,这些风险将导致恶意转帐、篡改、用户名和密码丢失等导致银行交易安全风险。

    同时,《银行APP安全报告》报告中披露的3个常见漏洞包括:

1、SQL注入类漏洞占比38.2%,主要是代码中未过滤用户输入,攻击者可通过提交恶意SQL查询语句达到其作恶目的。SQL注入虽大部分属于中低危漏洞,但仍可造成敏感数据、系统最高权限被窃取等问题。

2、Webview的一些高危漏洞,主要由代码中使用addJavascriptInterface等危险函数、使用不校验证书等因素导致。这些漏洞可远程执行代码,对用户远程安装恶意软件。

3、Https相关的高危漏洞,主要由https使用ALLOW_ALL_HOSTNAME_VERIFIER等参数校验证书,没有对主机等信息进行校验导致,这些漏洞会引发攻击者轻易劫持https会话、嗅探用户密码和其他敏感信息等问题。

爱加密技术总监程智力表示:“从早期简陋纸质凭证,到信息技术的接入,银行的发展也见证了科技发展的脚步。‘云大物移’的时代已经来临,不只是银行,其实传统行业都在面临转型的问题,云计算、大数据的来临是无法抗拒的,但是新的技术一定会带来新的风险。对于银行、金融、传统行业这些直接关系到个人利益的企业会在考量企业技术架构的同时把安全问题放在首位、减少风险。在转型的过程中,使用新的安全管理思路和新的安全产品能够有效保证企业的安全需要。在移动互联网来临之前,传统的安全产品无法保障信息的安全,但是现在无论是硬件还是软件都有先进的安全解决方案为手机和智能硬件保驾护航。正是因为传统金融行业对风险的敏感使得这个行业多了一些特殊性,爱加密一直持续关注金融行业,为中国银行、平安银行、浦发银行、哈尔滨银行等多家传统金融行业都提供了安全服务,爱加密也希望通过对传统金融行业APP的检测帮助企业守护安全,同时这些数据能够帮助相关企业了解企业产品现状、更有针对性的做好产品防护。”

最近几年,银行行业涌现了越来越多的新奇技术,举个例子,人机交互已经渐渐取代一些重复性的人力办公。不难想象,在“十三五”的背景下,更多的新技术将会实现快速落地,让人们在安全的前提下感受到科技给我们带来的新的活力。

加入收藏