金融行業APP/小(xiǎo)程序開(kāi)發安全防護解決方案
來源:銘碩網絡 日期:2019-07-25 09:06:51
金融行業APP/公衆号/小(xiǎo)程序承載着大(dà)量的用戶信息,移動安全關乎企業及用戶的信息安全、資(zī)金安全。移動端安全風險亟待排查和解決,金融行業需要規劃和建設移動全生(shēng)命周期的安全體(tǐ)系。軟捷科技針對金融行業的合規性評估、代碼開(kāi)發階段的安全、應用漏洞檢測、用戶數據安全及應用本身的防破解竊取等需求,提供一(yī)整套穩定、可靠的安全保護解決方案。
1 行業背景
近年來,随着移動互聯網和通信技術的不斷發展,移動應用在金融行業得到了井噴式的高速增長。5G時代的來臨,移動端流量必将呈指數級的增長,各行各業開(kāi)展移動端入口搶奪大(dà)戰,加速在無限商(shāng)業化的布局和變現。基于此,金融行業均加速向移動互聯網靠攏。
手機端金融業務的交易量與支付額快速提升,移動金融成爲人們日常生(shēng)活的重要組成部分(fēn)。銀行、證券、保險、基金、第三方支付等紛紛推出各類移動金融應用,面向不同的人群與場景,提供靈活便捷的移動金融服務。但在移動金融快速發展的同時,其涉及系統和信息的安全問題越來越突出。
自2017年6月1日起施行《中(zhōng)華人民共和國網絡安全法》的發布,監管機構也進一(yī)步加強對移動端的安全的監督和管理,銀發【2016】170号文、銀監辦發【2017】2号文、銀辦發【2018】146号文等都對移動端安全提出了明确的要求;2019年1月25日,中(zhōng)央網信辦、工(gōng)業和信息化部、公安部、市場監管總局在北(běi)京舉行“App違法違規收集使用個人信息專項治理”新聞發布會,正式對外(wài)發布《關于開(kāi)展App違法違規收集使用個人信息專項治理的公告》,對APP的規範性也提出了更明确的要求。
2 安全風險
移動互聯網給人們生(shēng)活帶來的便利的同時,也造成安全風險事件頻(pín)發。從技術角度來觀察,金融行業移動應用面臨的風險主要體(tǐ)現在以下(xià)幾方面:
1、開(kāi)發階段沒有重視安全開(kāi)發,沒有制定響應的安全開(kāi)發規範,源代碼沒有經過專業的代碼審計;
2、測試階段沒有充分(fēn)重視APP兼容性和性能測試的重要性,測試重點僅放(fàng)在功能的實現,未制定滲透測試流程來确保應用的安全;
3、移動應用開(kāi)發完成後,忽略Android自身安全性缺陷帶來的安全風險,沒有做有效的加固及數據保護;
4、應用發布到應用市場以後,沒有有效的技術手段應對APP仿冒行爲。
3 解決方案
針對移動安全所存在的諸多問題、挑戰與需求,爲保證金融行業移動應用業務安全,需要建立一(yī)套牢固的移動應用安全防護體(tǐ)系。
開(kāi)發階段
針對源代碼缺陷進行靜态分(fēn)析檢測,對目标軟件代碼進行語法、語義分(fēn)析的技術上,輔以數據流分(fēn)析、控制流分(fēn)析和特有的缺陷分(fēn)析算法等高級靜态分(fēn)析手段,能夠高效的檢測出軟件源代碼中(zhōng)的可能導緻嚴重缺陷漏洞和系統運行異常的安全問題和程序缺陷,并準确定位告警,從而有效的幫助開(kāi)發人員(yuán)消除代碼中(zhōng)的漏洞、減少不必要的軟件補丁升級,可提供軟件産品和源代碼審計服務,爲軟件的信息安全保駕護航。
測試階段
1、兼容性測試:兼容性測試通過率、安裝失敗率、啓動失敗率、運行失敗率;包括主流系統的各品牌機器,機型總數300款左右;
2、性能測試:測試包括安裝時間、啓動時間、CPU占用、内存占用、耗電(diàn)量、網絡流量等等;
3、APP安全檢測:APP上市場前的基線檢測,包括安全性檢測、漏洞檢測、規範性檢測、病毒檢測等;
4、滲透測試:包括對APP/SDK/H5/公衆号/小(xiǎo)程序/web端的滲透測試;專業的滲透工(gōng)程師模拟黑客方式分(fēn)别從源碼/代碼、調試安全、數據安全、加密算法安全、常見安全漏洞、傳輸協議安全、身份鑒别安全、接口安全等方面進行人工(gōng)滲透,輸出滲透報告。
安全防護
1、移動應用安全加固:采用安全防護技術實現對移動端的保護,包括Android加固、ios加固、SDK加固、H5加固、傳輸安全SDK等,綜合運用防逆向、防篡改、防調試、數據保護、代碼混淆等多種加固技術确保移動應用安全。
2、移動應用威脅感知(zhī):通過對移動應用的實時數據采集,收集應用在使用過程中(zhōng)的安全信息,通過大(dà)數據技術對安全事件進行事前态勢感知(zhī),事中(zhōng)實時響應,事後追蹤溯源從而幫助企業安全管理人員(yuán)掌握移動業務的整體(tǐ)安全态勢的大(dà)數據平台。可有效感知(zhī):崩潰、框架攻擊、注入攻擊、調試攻擊、模拟器分(fēn)析、位置欺詐、劫持攻擊、病毒木馬分(fēn)析、root/越獄、惡意應用等。
3、移動安全管理平台:通過對各類安全/系統工(gōng)具和企業資(zī)産的整合,提高安全服務能力和安全響應能力。提供多維數據報表展示與管理模塊,包含綜合安全、資(zī)産安全、應用系統安全維度的數據統計分(fēn)析與報表展示。
4、移動應用運營階段:通過對全網APP的監測和分(fēn)析,幫助用戶監測APP的盜版、仿冒、侵權行爲。