備案來襲,金融APP監(jiān)管持續(xù)加碼
近日,中國互聯(lián)網(wǎng)金融協(xié)會(下稱"互金協(xié)會")公布首批移動金融客戶端應(yīng)用軟件實(shí)名備案名單,名單包括33家金融機(jī)構(gòu)的73款客戶端軟件,分別來自銀行、證券、基金、保險、支付等領(lǐng)域。在完成第一批試點(diǎn)機(jī)構(gòu)備案后,互金協(xié)會將在全國范圍內(nèi)開展客戶端軟件備案推廣工作?梢灶A(yù)見,未來金融APP備案將會成為監(jiān)管的常態(tài)手段之一。
實(shí)際上,近年隨著金融與科技的加速融合和移動金融普及性、重要性的提升,國家一直在對金融移動應(yīng)用的安全性進(jìn)行治理。自2017年起,互聯(lián)網(wǎng)金融各細(xì)分領(lǐng)域的規(guī)范政策相繼出臺,對金融APP的安全運(yùn)行提出了諸多監(jiān)管要求:
- 2017年12月,央行、銀監(jiān)會發(fā)布《關(guān)于規(guī)范整頓"現(xiàn)金貸"業(yè)務(wù)的通知》;
- 2018年8月,央行下發(fā)《中國人民銀行辦公廳關(guān)于開展支付安全風(fēng)險專項(xiàng)排查工作的通知》,開展支付安全風(fēng)險專項(xiàng)排查;
- 2019年1月,中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項(xiàng)治理的公告》;
- 2019年9月,央行發(fā)布《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》;11月,公安機(jī)關(guān)網(wǎng)安部門集中查處整改了100款違法違規(guī)A
PP及其運(yùn)營的互聯(lián)網(wǎng)企業(yè),其中金融類APP是重災(zāi)區(qū),光大銀行、天津銀行、天津農(nóng)商行赫然在列。 - 2020年2月,央行發(fā)布新版《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》,融合了《密碼法》、等保2.0等多項(xiàng)法律法規(guī),從安全標(biāo)準(zhǔn)、安全觀、安全風(fēng)險等多個角度對網(wǎng)上銀行提出了新要求。
- 2020年2月,央行發(fā)布《個人金融信息保護(hù)技術(shù)規(guī)范》,從個人金融信息全生命周期管理的角度,要求強(qiáng)化個人金融信息風(fēng)險識別和監(jiān)控、建立健全風(fēng)險事件處置機(jī)制、保障個人金融信息主體合法權(quán)益。
監(jiān)管背后,金融APP安全風(fēng)險升級
然而,即使監(jiān)管日趨嚴(yán)格,金融APP由于安全問題"上頭條"的新聞卻仍然屢見不鮮。移動金融在給人們生活帶來極大便利的同時,其自身的安全問題并不容樂觀。尤其是近幾年針對金融APP的攻擊持續(xù)不斷,除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問題,還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲、通過外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。應(yīng)用與業(yè)務(wù)的深度交叉,讓金融行業(yè)的安全問題更加棘手。
一方面,金融行業(yè)其實(shí)已經(jīng)采取了眾多安全手段,但現(xiàn)有的防護(hù)大多聚焦于應(yīng)用側(cè)的安全防護(hù),無論是客戶端APP加固還是服務(wù)器端Web應(yīng)用防火墻,都只能解決非常有限的問題。遺留的其他威脅,如非法第三方APP、構(gòu)造數(shù)據(jù)包模擬合法用戶請求、批量接口調(diào)用獲取數(shù)據(jù)等問題則需要新的安全解決方案。
另一方面,這類針對移動應(yīng)用及業(yè)務(wù)融合的新型攻擊和威脅,超過90%都是借助自動化工具實(shí)現(xiàn),它們在基于真實(shí)用戶身份和信息的基礎(chǔ)上,使用模擬器,能夠偽造瀏覽器環(huán)境、UA、分布式IP等,模擬合法業(yè)務(wù)邏輯,實(shí)現(xiàn)批量業(yè)務(wù)操作。在這個攻防對抗的過程中,防守方處于弱勢,無法通過攻擊特征識別、請求頻率限制等方式有效應(yīng)對。
瑞數(shù)APP動態(tài)安全 - 端到端一體化防護(hù)解決方案
針對以上兩方面的問題,瑞數(shù)信息提出APP 動態(tài)安全(APP BotDefender)的端到端一體化防護(hù)解決方案,以"動態(tài)防護(hù)"技術(shù)為核心,覆蓋對客戶端、數(shù)據(jù)傳輸、服務(wù)器端的威脅防控,為各類金融APP、H5及混合業(yè)務(wù)提供提供強(qiáng)大的安全防護(hù)能力;同時,利用AI人機(jī)識別等智能技術(shù),甄別非法客戶端和仿冒正常請求的各類已知及未知自動化攻擊,防止攻擊者對線上業(yè)務(wù)造成破壞與交易欺詐,保障用戶數(shù)據(jù)安全及業(yè)務(wù)穩(wěn)定運(yùn)行。
端:APP客戶端安全
- 設(shè)備唯一性識別:通過設(shè)備指紋唯一標(biāo)識來源客戶端,實(shí)現(xiàn)精準(zhǔn)身份管理與監(jiān)控
- 運(yùn)行環(huán)境監(jiān)測:檢測客戶端是否處于可信環(huán)境,感知模擬器、越獄狀態(tài)、群控程序
管:通信層安全
- 動態(tài)加密:對APP請求及服務(wù)器響應(yīng)數(shù)據(jù)一次性加密,防止數(shù)據(jù)偽造和中間人攻擊
- 動態(tài)令牌:賦予每個客戶端請求一次性令牌,防止重放攻擊和API接口惡意調(diào)用
云:服務(wù)器端安全
- APP合法性驗(yàn)證:識別合法APP,可以拒絕被篡改、重打包等非法第三方APP訪問
- 一體化安全防護(hù):可以同時對APP、H5、WebView、網(wǎng)頁進(jìn)行防護(hù),無需多次部署
- 自動化攻擊防護(hù):驗(yàn)證請求是否由真實(shí)客戶端發(fā)起,杜絕撞庫、薅羊毛、爬蟲等攻擊
- 用戶行為訪問控制:對不可信的設(shè)備、賬戶及用戶行為,提供靈活響應(yīng)及多種攔截方式
如今,金融APP的廣泛應(yīng)用已經(jīng)深入滲透到人們生活的方方面面,但其安全防護(hù)能力的薄弱也使得用戶的財產(chǎn)安全及信息安全受到威脅。因此,監(jiān)管常態(tài)化、規(guī)范化勢在必行,而金融APP及其運(yùn)營企業(yè)也應(yīng)當(dāng)借助創(chuàng)新的安全策略,從合規(guī)、技術(shù)、實(shí)踐等多個方面守住"安全紅線",合力打造更為健康優(yōu)質(zhì)的金融生態(tài)環(huán)境。