白癜风用仪器治疗 http://baidianfeng.39.net/a_zhiliao/130918/4259981.html随着移动互联网的广泛应用,移动金融服务迎来了爆发式增长的时代,打破了传统金融服务在空间和时间上的限制,根据《中国互联网络发展状况统计报告》统计可知,截止年12月,我国使用网上支付的用户规模达到5.31亿,较年底增加万人,年增长率为11.9%,使用率达68.8%。根据《支付体系运行总体情况》统计可知,年,银行业金融机构共处理电子支付业务.80亿笔,金额.20万亿元,较年均有不同程度的增长。
在移动互联网时代,移动金融在生活中扮演着越来越重要的角色,移动金融正以前所未有的速度改变着人们的工作和生活方式,移动金融将成为连接客户的主要渠道,并成为客户源的主要入口和数据采集入口,移动金融是决定金融市场成败的关键因素。
移动金融APP安全概述
移动金融给人们的生活带来了极大的便利,但是随着移动金融市场的需求快速增长,移动金融APP的开发与应用也是成几何级数量递增,移动金融APP在没有安全防范意识和安全开发规范的限制下迅速发展,在APP应用安全性方面的缺失直接成为阻碍移动金融前进的主要原因。
于是我们可以看到,近几年针对移动金融APP的攻击持续不断,逆向破解、病毒植入、仿冒侵权、信息截取等攻击给移动金融行业的安全造成了极大的威胁,每年对企业造成直接经济损失高达亿元,严重影响了企业收益,也对用户的隐私和财产的安全造成了极大的损害。而且,黑客和黑产从业者的攻击技术和手段在快速的更新迭代,一旦我们的防御能力不能与之相匹敌,出现“道高一尺魔高一丈”的技术代差,那么“人为刀俎我为鱼肉”的悲剧将不可避免的发生。
移动金融APP安全标准化工作的意义
正是基于当前严峻的移动金融安全形势,年8月14日,中国人民银行办公厅下发《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》银办发〔〕号(以下简称号文),开展支付安全风险专项排查,旨在要求商业银行、非银行支付机构、清算机构等从业机构切实加强风险防控意识,提高风险防控水平,保障金融体系的健康与安全。
从全面保障移动金融网络安全的角度来看,贯彻落实号文,开展移动金融网络安全标准化工作,是进一步夯实移动金融行业健康发展的根基,是移动金融行业切实落实《中华人民共和国网络安全法》的集中体现,对提升移动金融网络安全防护水平,保障移动金融网络安全具有重要意义。
移动金融APP安全政策和标准
网络安全法律政策
当前国内外在围绕互联网金融相关网络安全出台的法律政策方面,已经逐渐形成繁杂细密的监管和制度体系,为互联网金融提供可实施的规范。
国外情况
欧盟GDPR
GDPR是英文“GeneralDataProtectionRegulation”的缩写,通常翻译为“通用数据保护条例”,是欧盟议会和欧盟理事会在年4月通过,在年5月开始强制实施的规定,目的在于遏制个人信息被滥用,保护个人隐私。
GDPR本质上来说是一版强制执行隐私条例,规定了企业在对用户的数据收集、存储、保护和使用时的新标准;另一方面,对于自身的数据,也给予了用户更大处理权。因为考虑到全球性是写入互联网基因内到属性,几乎所有的服务都会受到影响,所以生活照欧洲之外的人其实也会从此条例中获益。
GDPR规定了所有欧盟的公民所享有的数字生活中的权利,在欧洲,事实上也是目前世界范围内,GDPR是最完善、最严格的隐私保护规定。
国内情况
中国人民银行文
由中国人民银行办公厅发布《关于开展支付安全风险专项排查工作的通知》(银办发〔〕号),通知称为进一步加强移动支付领域网络与信息安全管理,有效防范移动支付风险,切实保障消费者合法权益,人民银行决定开展支付安全风险专项排查工作。
按照《支付安全风险专项排查列表》开展专项排查,主要内容如下:
一、针对客户端应用软件安全,排查客户端应用软件关于敏感信息、数据传输等方面存在的安全隐患;
二、针对支付系统安全管理,排查支付业务系统在系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的问题;
三、针对支付交易安全管理,督查支付交易报文规范化改造、终端信息注册等工作落实情况,排查支付产品质量管理方面存在的不足,切实防范支付业务安全风险;
需要得到重视的是,央行往期排查主要聚焦在支付系统安全,而这一次的排查重点增加了对客户端应用软件安全的要求,客户端安全已经受到重视,未来在这方面的监管要求将越来越高。
等保2.0
等保全称为“信息系统安全等级保护”,现改为“网络安全等级保护”,是指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高,安全保护能力就越强。
这套制度标准的实施为信息系统安全开辟了一条可落地可操作的道路。不仅为各信息系统提供体系化的指导,根据各自责任落实相应技术措施,避免安全工作的不作为、或乱作为;同时为落实信息系统安全工作提供方向和依据,明确法律法规要求,让安全工作有法可依;还致力于落实保障个人信息、资金等安全,为个人隐私提供保护伞
为了配合《网络安全法》的实施,同时适应移动互联新技术发展情况下网络安全等级保护工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对移动互联新技术个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准,移动互联安全扩展要求标准如下:
移动金融APP安全威胁分析
Top10漏洞类型
(1)通信数据明文发送
客户端APP与服务器端交互的数据通过明文的通信信道传输
(2)通信数据可解密
客户端APP与服务器交互的数据传输加密,但数据依然可以被解密
(3)敏感数据本地可破解
客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密存储但通过逆向分析程序可以破解该数据
(4)调试信息泄露
客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。
(5)敏感信息泄露
客户端APP代码中泄露敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应该被暴露的后台服务器管理地址等等。
(6)密码学误用
客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中的IV固定,不安全的公钥进行非对称加密等。
(7)功能泄露
客户端APP中高权限等行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调试或访问。
(8)可二次打包
客户端APP可被修改代码后,重新打包发布在市场上供用户下载
(9)可调试
客户端APP能够被调试,动态的提取,修改运行时的程序数据和逻辑
(10)代码可逆向
客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据
典型业务场景
应用仿冒
移动金融APP应用井喷式增长,导致市场大量金融应用堆积,种类繁多,鱼目混杂,这些应用良莠不齐,甚至有些为恶意应用。由于使用人数较多,伴随着越来越多的仿冒应用参杂其中,给用户群体造成损失也是巨大的。
应用仿冒场景中,企业版应用被恶意者反编译破解,加入恶意代码后重新打包发布,或者整个程序都是恶意代码,只是利用了一部分企业版的资源文件图片等,这类恶意程序投入市场,会严重影响其他用户的资金安全。
二次打包漏洞,通常是由于企业没有对程序代码进行安全加固,通过这种漏洞,恶意者可以获取整个程序的逻辑代码,从而进行恶意应用的伪造危害用户。
经过统计分析,大部分金融行业的APP应用存在此类问题,缺乏必要的保护措施。
协议破解
移动金融的用户数据最为真实和最为完整,为保证用户数据信息不被泄露,厂商定制化了多种多样的加密协议来保护数据传输安全,在复杂的网络环境中,如果加密数据的算法被破解,那一切保护措施将形同虚设。
协议破解场景中,通常是由于客户端代码被逆向,加密算法代码逻辑信息被提取,对算法进行重构解密,这样一来,加密的数据流量就可以被解密获取。
算法重构风险,通常是由于设计者在设计算法的时候没有采用行业标准处理,或者采用了固定的密钥或者填充模式,在加上没有对核心算法代码进行保护,导致整个加密算法被逆向分析,进而导致互联网传输的加密数据被解密明文获取。
支付篡改
移动支付经过多年的发展,越来越多的商户和消费者注重移动支付设备的便捷性,在多元化的消费支付场景中,除了转账之外还有聚合
