2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开。11月1日下午举办的金融业互联网信息安全分论坛上,爱加密移动安全研究院魏超副院长带来了《移动金融风险防护建设浅析》主题演讲。
大家下午好!
首先,我们对金融科学技术的看法
今年发行一系列法律法规对金融科学技术的要求,包括移动金融应用的个人信息和国家网络安全法等保证2.0的要求,主要是为了促进金融行业稳定有序的发展。二是科学技术对5G、移动应用、智能技术、块链、云计算的应用,给金融业带来了相应的创新和实际活动。
移动金融现在最重要的两种形态:第一种是输出。对于输入,金融业希望更新,更多的新用户融入金融平台,包装成熟的信息技术,输出各个网络平台。二是引进,提高移动金融行业现有客户粘度,增加什么扩展类金融服务,可以积极调整现有客户。输出和引入对环境的开放可能带来风险,这是目前移动金融带来的问题。
今年8月,中国人民银行发布了《金融科学技术发展计划(2019-2021年)》,发展计划对金融APP的稳定提出了相应的要求,对网上银行、手机银行等业务系统的监视提出了相应的要求,这是以前没有提出的。业务系统在互联网上的监视作为金融安全建设的重要环节,金融业资产,如APP资产在环境下可能出现的模仿、盗用、个人信息泄露等风险。前几天,最优艾设计网_设计圈高检查和最高法发表了违反个人信息的解释,个人信息超过500条后,将受到相应的刑事处罚。提高到如此严重的高度,对金融行业尤其是P2P这些掌握大量用户信息的企业,对移动应用出口的安全有更高的要求。包括银监会的通知和去年的网络保护行动和今年年初四部委共同发表的APP违法收集使用个人信息专业管理,处罚现在也有相应的依据,是非常合适的合规点。
从国家监督来看,金融企业如何保证自我遵守?相应的方法是什么?包括我们自己的应用程序,包括我们能力的SDK。制作SDK和API银行的原因是包裹银行自己,拉动互联网的能力,开放中可能发生的问题。现在我们关注的是个人信息,之后可能是金融数据和市场数据,发展到金融数据的安全性。希望总体职责:第一,保证企业自身安全;第二,我们向外输出的能力,包括SDK或第三方SDK的合规性是否会给我们的企业带来风险。第三,保证互联网应用生态合规性,响应国家安全政策,积极提高自身安全能力,保障人民财产安全。
二、移动互联网环境恶劣
2018年,新增恶意APP数量新增283万余个,最主要的是恶意扣费、短信或者违规采集个人信息等问题。上面的案例我就不着重说了,包括墨迹天气的事情在央视报道。
这是个人信息泄露事件,解读后或被网络中介劫持,提取个人重要信息。当然,个人信息泄露事件为什么能构成完整的一环?最重要的是个人信息的利益在黑产和安全行业形成了完整的利益链,个人信息的泄露如此严重。包括相应的平台和APP有越权和滥用权的行为在内,越权和滥用权的行为不会对个人造成单体的危害,有可能形成集体的危害。例如,收集地址簿、通话和录音等。此外,还有5G和AI,暴露了个人状况、设备状况、实际环境信息,最后在网上完全恢复了个人家庭生态和金融生态,变得非常可怕。
这是举去年个人所得税APP的例子,这个APP刚出来的第二天,就出现了几十个类似个人所得税模仿的APP,包括一些应征。现在我们在网上搜索某银行。以下是某银行使用助手、某银行使用帮助等应用程序,这些应用程序也包括恶意广告和广告代码的邮件费用,严重的是个人信息收集等问题,这些问题非常蔓延。
第三方SDK现在也隐藏着各种各样的玄机。例如,与第三方SDK相结合,隐藏代码,在某个页面陈列之前承载功能,在BS结构的PC时代非常容易理解,页面更新指向不同地址后,功能发生了变化,变成了贷款和广告这些第三方SDK带来的问题不是我们金融企业自身的问题吗?这在APP运行的初期和测试阶段不会发生,只有APP在用户端运行一段时间后才会发生,也能巧妙地避免检查风险。他们什么时候发生,什么时候触发,状态是否需要监视,这是金融企业应该考虑的问题。因为毕竟第三方SDK在使用的时候,如果其合规性得不到保障的话,我们作为主体会受到相应的危害。
这是一个相应的智能终端环境。我们统计了全国移动发布渠道。北京和广东有大约100个应用程序下载渠道,包括智能终端操作系统、安卓蚂蚁等。我们想说的是,作为企业、监督机构,如果面对这件事,很多移动市场、这么多不同的操作系统版本、相应的问题和风险,移动操作系统带来的风险和危害是我们APP方面无法自己解决的实际问题。那么,如何满足监督要求,如何解决APP本身的安全呢?这是我们需要考虑的事情。
这是刚才的总结,首先技术环境复杂,其次管理监督复杂。我们的思路是这样:首先,自身肯定要安全防护,包括动态静态检测和运营安全防护,以及有没有考虑移动运营全生命周期的状态监测,包括有没有从开发者、从应用市场、从监管层面要求,比如我们现在有些应用需要相应的认证以后才能进入应用市场,通过这样的方式保证应用安全和企业的利益。
三、爱加密防护体系建设
包括:事前检测能力、事中防护响应能力、安全加固、事后智能监管。这是我们首次提出的APP个人信息安全检查、隐私条款合规检查、权限检查、静态检查、动态分析等,得到监督机构和CCRC的认可,提供个人信息安全检查的服务。
安全风险漏洞这点比较明确,你自身的问题,基本信息的,包括组件的、包括原文件的这些。当然,组件有数据的、身份认证的和安全策略的相应的风险。这归结为两个阶段,第一,操作系统给应用带来的风险,第二,应用自己的风险,检测出这两个部分就OK了。
第三方SDK的检查,我们倾向于提供两种技术能力,一种是隐私,另一种是恶意行为。包括自己的SDK未说明或未说明的功能在内,数据和动态信息可能被隐藏,监督比较严格的APP本身可能没有问题,但是突然向美国和加利福尼亚州、洛杉矶发送数据,这些数据可能是商业服务器配置的威胁,但是由于这个原因不符合规定也是不值得的包括病毒、超范围收集这些新检查,我们也相应提供。
这是爱加密积累的第三方SDK支持库,我们自己为各用户提供相应的检查和加固,为各用户的APP资产提供可能与使用的第三方SDK,包括网上主流的SDK监督机构需要合规分析或认定分析,提供相应的技术支持。对企业来说,如何选择第三方SDK,提供相应的经验。
安全感知是我们刚才明确提出的科学技术发展计划,首先将智能控制嵌入业务流程,实现风险拦截处理。在过去的反欺诈中,许多制造商建议在服务器前端进行有效的识别,然后进行自动拦截。我们能在APP方面进行相应的拦截和控制吗?这是我们提出的方案,在APP方面提供相应的智能控制,包括我们提供的商用SDK收集、可视埋入点等相关方案。提高透明监督管理,通过系统嵌入API的手段获取风险信息,自动抓住业务特征数据,该建设范围已经为银行、证券、第三方保险提供的APP采用相应的技术手段收集和控制APK和SDK。
在政策允许、技术满足的情况下,用户个人应用程序的预约事件、安全事件可以通过智能化、本地化功能,相应的应用列表和应用属性可以对企业进行安全图像。这是我们提供的安全防护,前检查和感知完成后,后安全加强与第一代、第二代、第三代有关。爱加密在安全加固方面从2013年到现在,加固的强度和细节现在有质的提高。
这是我们为安卓、ios、h5、SDK提供的加固方案。这是事件的保护,通过各APP间端点的保护,可以合理利用互动结合、弹出窗口、执行、退出困难等方法。
网络监视是刚才我们总结的,网络上有多少人使用你的应用程序,有多少人使用你的应用程序等,对渠道进行监视,包括钓鱼、科学调查分析,可以协助金融机构应用
这是我们给监管机构提供的资产梳理,包括地区的分布,比如我们希望知道广东省有多少金融APP,合规情况怎样、企业怎样、恶意应用、钓鱼应用等实际情况。当然,我们也做了一些相应的数据输出,通过我们自有的数据安全、大数据平台,可以向客户提供单点APP的分析报告或者整个区域的分析报告,或者整个行业的分析报告。
在安全服务能力方面,我们协助检测加强,感知相应的业务线,为渗透测试服务、业务界面提供合规评价,SDK发表前146号文件后,我们向许多银行提供146号文件的合规检查服务。
这是支持客户端软件程序代码调整、业务安全的功能的案例。
爱加密方案从企业APP技术水平、业务水平、合规水平三个方面,在开发前、开发中、在线后、互联网事前、事中、事后全过程智能化全生命周期安全合规设计。
四、关于爱加密
爱加密从2013年到现在,目前服务的行业用户、市场保护类APP、网络监控类APP、智能终端设备已经达到行业第一位。
这是金融客户,目前证券、银行服务客户达到60%,为网络金融相应用户提供了大量支持。
以上是我的共享,非常感谢
加载中,请稍侯......
精彩评论