能信安针对移动金融发展面临的安全挑战,推出体系化的移动金融应用安全解决方案。方案围绕“金融风险管理”的核心思路,从体系建设、技术控制、态势感知、事件响应四个维度建立覆盖移动应用生命周期的安全能力。
方案背景
随着移动互联网的迅速普及和通讯、支付技术的完善,移动社交、消费表现出常态化,移动银行、移动支付、移动证券、移动理财等移动金融服务已经发展成为新的生态。随之而来的是蜂拥而至的黑产团体,已经形成了面向移动金融的庞大黑色产业链,盗刷支付宝、电信诈骗、窃取 SIM 卡、攻击移动银行客户端等案件持续发生,给移动金融产业带来巨大威胁。
方案目标
对移动金融APP在生命周期内提供针对性的安全解决方案,从规划设计、开发测试、产品上线运营及版本更新各个阶段提供安全咨询、漏洞检测、风险评估、安全加固、安全防护及上线后的全渠道监测,保证移动应用安全,保障业务稳定运行。
方案特点
1. 客户端安全风险
由于目前智能手机尤其是Android手机的生态环境较为开放,终端和系统碎片化严重,权限控制灵活。应用自身面临诸多风险,解决如安全漏洞、源码反编译、恶意病毒木马、钓鱼仿冒、数据窃取、云端恶意代码下发、SDK权限、二次打包、动态注入和界面劫持等多种风险。
2. 网络通信安全风险
解决网络通信过程中,交易敏感信息易被https嗅探劫持被逆向分析,数据明文传输,基于短信或网站欺诈的钓鱼欺骗。
3. 服务端安全风险
移动应用的脆弱性成为了黑客攻击业务服务器、窃取个人隐私信息的捷径。解决黑客通过“SQL注入”攻击、“木马植入”攻击、“网络嗅探程序”抓取攻击等。
方案业务流程图
实现功能展示
1. 提供移动应用安全合规性、开发安全规范设计、安全管理策略设计、系统运维保障方案设计、系统安全应急预案设计的咨询及培训;
2. 针对移动应用自身的脆弱性,提供全平台、全链路安全漏洞检测和风险评估;
3. 利用无壳机器码加固技术,通过核心代码加密、关键指令转换、安全SDK加固等三重安全加固,有效防止对客户端软件的反编译等恶意攻击行为;
4. 提供移动应用客户端安全、数据安全通信、应用服务器端安全的三位一体安全防御;
5. 对移动应用客户端的安全和性能监测,并采集监测日志数据,实现对移动应用监测,智能筛选策略对数百个应用商店中的目标应用进行安全检测,第一时间了解移动金融应用客户端软件在分发渠道中的安全现状,实现对渠道的监测,对监测日志数据进行分析和展现,为移动金融应用的安全策略设计、安全运维保障、安全事件响应以提供数据支撑。
方案案例及效果
能信安已经为数以百计的政企客户提供专业安全服务,建立了标准化的安全服务体系和经验丰富的专业服务团队。在此基础上,通过对移动金融安全需求的深入调研与分析,为金融客户提供专业服务和解决方案。
客户收益:从根源上解决了移动应用业务面临的风险问题,提高移动应用业务的核心竞争能力,更好地满足行业监管要求,为移动业务的可持续发展保驾护航。
方案未来展望
近年,APP违规收集个人信息、过度索权、频繁骚扰,侵害用户权益及隐私安全问题日益严重,而APP运营如何符合监管要求,实现移动风险的主动防御也一直是国家政府密切关注的重点。为进一步强化互联网安全管理和移动应用安全合规运行,多项互联网安全法律法规相继出台,保障APP合法合规运营。12月22日,中国人民银行关于《发布金融行业标准加强移动金融客户端应用软件管理的通知》对金融行业移动应用安全做了特别要求,这都会使得针对移动应用安全的解决方案前景可期。