能信安针对移动金融发展面临的安全挑战，推出体系化的移动金融应用安全解决方案。方案围绕“金融风险管理”的核心思路，从体系建设、技术控制、态势感知、事件响应四个维度建立覆盖移动应用生命周期的安全能力。

方案背景

随着移动互联网的迅速普及和通讯、支付技术的完善，移动社交、消费表现出常态化，移动银行、移动支付、移动证券、移动理财等移动金融服务已经发展成为新的生态。随之而来的是蜂拥而至的黑产团体，已经形成了面向移动金融的庞大黑色产业链，盗刷支付宝、电信诈骗、窃取 SIM 卡、攻击移动银行客户端等案件持续发生，给移动金融产业带来巨大威胁。

方案目标

对移动金融APP在生命周期内提供针对性的安全解决方案，从规划设计、开发测试、产品上线运营及版本更新各个阶段提供安全咨询、漏洞检测、风险评估、安全加固、安全防护及上线后的全渠道监测，保证移动应用安全，保障业务稳定运行。

方案特点

1. 客户端安全风险

由于目前智能手机尤其是Android手机的生态环境较为开放，终端和系统碎片化严重，权限控制灵活。应用自身面临诸多风险，解决如安全漏洞、源码反编译、恶意病毒木马、钓鱼仿冒、数据窃取、云端恶意代码下发、SDK权限、二次打包、动态注入和界面劫持等多种风险。

2. 网络通信安全风险

解决网络通信过程中，交易敏感信息易被https嗅探劫持被逆向分析，数据明文传输，基于短信或网站欺诈的钓鱼欺骗。

3. 服务端安全风险

移动应用的脆弱性成为了黑客攻击业务服务器、窃取个人隐私信息的捷径。解决黑客通过“SQL注入”攻击、“木马植入”攻击、“网络嗅探程序”抓取攻击等。

方案业务流程图

实现功能展示

1. 提供移动应用安全合规性、开发安全规范设计、安全管理策略设计、系统运维保障方案设计、系统安全应急预案设计的咨询及培训；

2. 针对移动应用自身的脆弱性，提供全平台、全链路安全漏洞检测和风险评估；

3. 利用无壳机器码加固技术，通过核心代码加密、关键指令转换、安全SDK加固等三重安全加固，有效防止对客户端软件的反编译等恶意攻击行为；

4. 提供移动应用客户端安全、数据安全通信、应用服务器端安全的三位一体安全防御；

5. 对移动应用客户端的安全和性能监测，并采集监测日志数据，实现对移动应用监测，智能筛选策略对数百个应用商店中的目标应用进行安全检测，第一时间了解移动金融应用客户端软件在分发渠道中的安全现状，实现对渠道的监测，对监测日志数据进行分析和展现，为移动金融应用的安全策略设计、安全运维保障、安全事件响应以提供数据支撑。

方案案例及效果

能信安已经为数以百计的政企客户提供专业安全服务，建立了标准化的安全服务体系和经验丰富的专业服务团队。在此基础上，通过对移动金融安全需求的深入调研与分析，为金融客户提供专业服务和解决方案。

客户收益：从根源上解决了移动应用业务面临的风险问题，提高移动应用业务的核心竞争能力，更好地满足行业监管要求，为移动业务的可持续发展保驾护航。

方案未来展望

近年，APP违规收集个人信息、过度索权、频繁骚扰，侵害用户权益及隐私安全问题日益严重，而APP运营如何符合监管要求，实现移动风险的主动防御也一直是国家政府密切关注的重点。为进一步强化互联网安全管理和移动应用安全合规运行，多项互联网安全法律法规相继出台，保障APP合法合规运营。12月22日，中国人民银行关于《发布金融行业标准加强移动金融客户端应用软件管理的通知》对金融行业移动应用安全做了特别要求，这都会使得针对移动应用安全的解决方案前景可期。