近日,中国互联网金融协会(下称"互金协会")公布首批移动金融客户端应用软件实名备案名单,名单包括33家金融机构的73款客户端软件,分别来自银行、证券、基金、保险、支付等领域。在完成第一批试点机构备案后,互金协会将在全国范围内开展客户端软件备案推广工作。可以预见,未来金融APP备案将会成为监管的常态手段之一。
实际上,近年随着金融与科技的加速融合和移动金融普及性、重要性的提升,国家一直在对金融移动应用的安全性进行治理。自2017年起,互联网金融各细分领域的规范政策相继出台,对金融APP的安全运行提出了诸多监管要求:
2017年12月,央行、银监会发布《关于规范整顿"现金贷"业务的通知》;
2018年8月,央行下发《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》,开展支付安全风险专项排查;
2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》;
2019年9月,央行发布《移动金融客户端应用软件安全管理规范》;11月,公安机关网安部门集中查处整改了100款违法违规APP及其运营的互联网企业,其中金融类APP是重灾区,光大银行、天津银行、天津农商行赫然在列。
2020年2月,央行发布新版《网上银行系统信息安全通用规范》,融合了《密码法》、等保2.0等多项法律法规,从安全标准、安全观、安全风险等多个角度对网上银行提出了新要求。
2020年2月,央行发布《个人金融信息保护技术规范》,从个人金融信息全生命周期管理的角度,要求强化个人金融信息风险识别和监控、建立健全风险事件处置机制、保障个人金融信息主体合法权益。
监管背后,金融APP安全风险升级
然而,即使监管日趋严格,金融APP由于安全问题"上头条"的新闻却仍然屡见不鲜。移动金融在给人们生活带来极大便利的同时,其自身的安全问题并不容乐观。尤其是近几年针对金融APP的攻击持续不断,除了传统的漏洞扫描、注入攻击、跨站脚本以及APP客户端逆向、调试等问题,还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批量注册、刷单、爬虫、通过外挂程序或群控设备薅羊毛等业务安全隐患。应用与业务的深度交叉,让金融行业的安全问题更加棘手。
一方面,金融行业其实已经采取了众多安全手段,但现有的防护大多聚焦于应用侧的安全防护,无论是客户端APP加固还是服务器端Web应用防火墙,都只能解决非常有限的问题。遗留的其他威胁,如非法第三方APP、构造数据包模拟合法用户请求、批量接口调用获取数据等问题则需要新的安全解决方案。
另一方面,这类针对移动应用及业务融合的新型攻击和威胁,超过90%都是借助自动化工具实现,它们在基于真实用户身份和信息的基础上,使用模拟器,能够伪造浏览器环境、UA、分布式IP等,模拟合法业务逻辑,实现批量业务操作。在这个攻防对抗的过程中,防守方处于弱势,无法通过攻击特征识别、请求频率限制等方式有效应对。
瑞数APP动态安全-端到端一体化防护解决方案
针对以上两方面的问题,瑞数信息提出APP动态安全(APPBotDefender)的端到端一体化防护解决方案,以"动态防护"技术为核心,覆盖对客户端、数据传输、服务器端的威胁防控,为各类金融APP、H5及混合业务提供提供强大的安全防护能力;同时,利用AI人机识别等智能技术,甄别非法客户端和仿冒正常请求的各类已知及未知自动化攻击,防止攻击者对线上业务造成破坏与交易欺诈,保障用户数据安全及业务稳定运行。
端:APP客户端安全
·设备唯一性识别:通过设备指纹唯一标识来源客户端,实现精准身份管理与监控
·运行环境监测:检测客户端是否处于可信环境,感知模拟器、越狱状态、群控程序
管:通信层安全
·动态加密:对APP请求及服务器响应数据一次性加密,防止数据伪造和中间人攻击
·动态令牌:赋予每个客户端请求一次性令牌,防止重放攻击和API接口恶意调用
云:服务器端安全
·APP合法性验证:识别合法APP,可以拒绝被篡改、重打包等非法第三方APP访问
·一体化安全防护:可以同时对APP、H5、WebView、网页进行防护,无需多次部署
·自动化攻击防护:验证请求是否由真实客户端发起,杜绝撞库、薅羊毛、爬虫等攻击
·用户行为访问控制:对不可信的设备、账户及用户行为,提供灵活响应及多种拦截方式
如今,金融APP的广泛应用已经深入渗透到人们生活的方方面面,但其安全防护能力的薄弱也使得用户的财产安全及信息安全受到威胁。因此,监管常态化、规范化势在必行,而金融APP及其运营企业也应当借助创新的安全策略,从合规、技术、实践等多个方面守住"安全红线",合力打造更为健康优质的金融生态环境。