備案來(lái)襲,金融A(yíng)PP監管持續加碼
近日,中國互聯(lián)網(wǎng)金融協(xié)會(huì )(下稱(chēng)"互金協(xié)會(huì )")公布首批移動(dòng)金融客戶(hù)端應用軟件實(shí)名備案名單,名單包括33家金融機構的73款客戶(hù)端軟件,分別來(lái)自銀行、證券、基金、保險、支付等領(lǐng)域。在完成第一批試點(diǎn)機構備案后,互金協(xié)會(huì )將在全國范圍內開(kāi)展客戶(hù)端軟件備案推廣工作。可以預見(jiàn),未來(lái)金融A(yíng)PP備案將會(huì )成為監管的常態(tài)手段之一。
實(shí)際上,近年隨著(zhù)金融與科技的加速融合和移動(dòng)金融普及性、重要性的提升,國家一直在對金融移動(dòng)應用的安全性進(jìn)行治理。自2017年起,互聯(lián)網(wǎng)金融各細分領(lǐng)域的規范政策相繼出臺,對金融A(yíng)PP的安全運行提出了諸多監管要求:
- 2017年12月,央行、銀監會(huì )發(fā)布《關(guān)于規范整頓"現金貸"業(yè)務(wù)的通知》;
- 2018年8月,央行下發(fā)《中國人民銀行辦公廳關(guān)于開(kāi)展支付安全風(fēng)險專(zhuān)項排查工作的通知》,開(kāi)展支付安全風(fēng)險專(zhuān)項排查;
- 2019年1月,中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局四部門(mén)聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規收集使用個(gè)人信息專(zhuān)項治理的公告》;
- 2019年9月,央行發(fā)布《移動(dòng)金融客戶(hù)端應用軟件安全管理規范》;11月,公安機關(guān)網(wǎng)安部門(mén)集中查處整改了100款違法違規A
PP及其運營(yíng)的互聯(lián)網(wǎng)企業(yè),其中金融類(lèi)APP是重災區,光大銀行、天津銀行、天津農商行赫然在列。 - 2020年2月,央行發(fā)布新版《網(wǎng)上銀行系統信息安全通用規范》,融合了《密碼法》、等保2.0等多項法律法規,從安全標準、安全觀(guān)、安全風(fēng)險等多個(gè)角度對網(wǎng)上銀行提出了新要求。
- 2020年2月,央行發(fā)布《個(gè)人金融信息保護技術(shù)規范》,從個(gè)人金融信息全生命周期管理的角度,要求強化個(gè)人金融信息風(fēng)險識別和監控、建立健全風(fēng)險事件處置機制、保障個(gè)人金融信息主體合法權益。
監管背后,金融A(yíng)PP安全風(fēng)險升級
然而,即使監管日趨嚴格,金融A(yíng)PP由于安全問(wèn)題"上頭條"的新聞卻仍然屢見(jiàn)不鮮。移動(dòng)金融在給人們生活帶來(lái)極大便利的同時(shí),其自身的安全問(wèn)題并不容樂(lè )觀(guān)。尤其是近幾年針對金融A(yíng)PP的攻擊持續不斷,除了傳統的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶(hù)端逆向、調試等問(wèn)題,還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲(chóng)、通過(guò)外掛程序或群控設備薅羊毛等業(yè)務(wù)安全隱患。應用與業(yè)務(wù)的深度交叉,讓金融行業(yè)的安全問(wèn)題更加棘手。
一方面,金融行業(yè)其實(shí)已經(jīng)采取了眾多安全手段,但現有的防護大多聚焦于應用側的安全防護,無(wú)論是客戶(hù)端APP加固還是服務(wù)器端Web應用防火墻,都只能解決非常有限的問(wèn)題。遺留的其他威脅,如非法第三方APP、構造數據包模擬合法用戶(hù)請求、批量接口調用獲取數據等問(wèn)題則需要新的安全解決方案。
另一方面,這類(lèi)針對移動(dòng)應用及業(yè)務(wù)融合的新型攻擊和威脅,超過(guò)90%都是借助自動(dòng)化工具實(shí)現,它們在基于真實(shí)用戶(hù)身份和信息的基礎上,使用模擬器,能夠偽造瀏覽器環(huán)境、UA、分布式IP等,模擬合法業(yè)務(wù)邏輯,實(shí)現批量業(yè)務(wù)操作。在這個(gè)攻防對抗的過(guò)程中,防守方處于弱勢,無(wú)法通過(guò)攻擊特征識別、請求頻率限制等方式有效應對。
瑞數APP動(dòng)態(tài)安全 - 端到端一體化防護解決方案
針對以上兩方面的問(wèn)題,瑞數信息提出APP 動(dòng)態(tài)安全(APP BotDefender)的端到端一體化防護解決方案,以"動(dòng)態(tài)防護"技術(shù)為核心,覆蓋對客戶(hù)端、數據傳輸、服務(wù)器端的威脅防控,為各類(lèi)金融A(yíng)PP、H5及混合業(yè)務(wù)提供提供強大的安全防護能力;同時(shí),利用AI人機識別等智能技術(shù),甄別非法客戶(hù)端和仿冒正常請求的各類(lèi)已知及未知自動(dòng)化攻擊,防止攻擊者對線(xiàn)上業(yè)務(wù)造成破壞與交易欺詐,保障用戶(hù)數據安全及業(yè)務(wù)穩定運行。
端:APP客戶(hù)端安全
- 設備唯一性識別:通過(guò)設備指紋唯一標識來(lái)源客戶(hù)端,實(shí)現精準身份管理與監控
- 運行環(huán)境監測:檢測客戶(hù)端是否處于可信環(huán)境,感知模擬器、越獄狀態(tài)、群控程序
管:通信層安全
- 動(dòng)態(tài)加密:對APP請求及服務(wù)器響應數據一次性加密,防止數據偽造和中間人攻擊
- 動(dòng)態(tài)令牌:賦予每個(gè)客戶(hù)端請求一次性令牌,防止重放攻擊和API接口惡意調用
云:服務(wù)器端安全
- APP合法性驗證:識別合法APP,可以拒絕被篡改、重打包等非法第三方APP訪(fǎng)問(wèn)
- 一體化安全防護:可以同時(shí)對APP、H5、WebView、網(wǎng)頁(yè)進(jìn)行防護,無(wú)需多次部署
- 自動(dòng)化攻擊防護:驗證請求是否由真實(shí)客戶(hù)端發(fā)起,杜絕撞庫、薅羊毛、爬蟲(chóng)等攻擊
- 用戶(hù)行為訪(fǎng)問(wèn)控制:對不可信的設備、賬戶(hù)及用戶(hù)行為,提供靈活響應及多種攔截方式
如今,金融A(yíng)PP的廣泛應用已經(jīng)深入滲透到人們生活的方方面面,但其安全防護能力的薄弱也使得用戶(hù)的財產(chǎn)安全及信息安全受到威脅。因此,監管常態(tài)化、規范化勢在必行,而金融A(yíng)PP及其運營(yíng)企業(yè)也應當借助創(chuàng )新的安全策略,從合規、技術(shù)、實(shí)踐等多個(gè)方面守住"安全紅線(xiàn)",合力打造更為健康優(yōu)質(zhì)的金融生態(tài)環(huán)境。
