上訊信息 高政偉
随着移動互聯網的飛速發展和移動終端的普及,證券移動業務自2012年起,迎來了迅猛發展,券商(shāng)通過接入信息化來作爲提高競争力的手段,各證券公司都相繼推出了自有的移動應用服務,基本涵蓋了資(zī)訊、行情、開(kāi)戶交易、轉賬、财富管理等多個功能,成爲連接證券企業與用戶的重要接口。廣大(dà)用戶在享受便利的同時也處于移動安全的風險之中(zhōng),證券類移動應用面臨着盜版軟件、隐私洩露、用戶密碼被竊取、數據被修改等諸多風險。
1)移動應用存在安全漏洞,應用由不同背景的團隊開(kāi)發,并且集成大(dà)量三方SDK,程序代碼自身潛在的安全漏洞風險和敏感數據洩露,給移動業務帶來極大(dà)的安全威脅。
2)移動應用存在破解風險,非法人員(yuán)借助第三方工(gōng)具,對移動應用進行逆向分(fēn)析和惡意破解,甚至篡改重新打包,導緻移動業務遭受重大(dà)損失。
3)移動應用存在非法攻擊,在應用運行過程中(zhōng),威脅攻擊可能随時發生(shēng),若不能實時防護,将無法保障移動應用的安全可靠運行,影響移動業務的正常開(kāi)展。
4)移動應用較多管理困難,移動應用較多,管理起來比較麻煩,上線發布渠道混亂,下(xià)載和版本升級的出口衆多,容易帶來應用僞造和仿冒風險。
近些年,金融類移動應用被盜版、被破譯、數據失竊的事件屢見不鮮,一(yī)旦移動應用遭遇黑客攻擊,将會給企業和用戶帶來直接的經濟損失。結合證券行業,這些風險也極有可能導緻交易APP被植入惡意程序後再傳播,導緻用戶的密碼或其它信息被盜,或者黑客利用漏洞攻入券商(shāng)的移動服務端,或者客戶被釣魚而錢款被惡意轉賬等風險。
移動業務安全整體(tǐ)防護
針對證券行業移動業務存在的安全風險,方案通過安全檢測、安全加固、安全沙箱、安全監測和應用商(shāng)店(diàn),構建移動業務的整體(tǐ)安全防護體(tǐ)系,實現移動業務應用的全生(shēng)命周期防護,保障證券移動業務安全。
安全檢測:通過逆向分(fēn)析和源碼還原,采用靜态特征匹配、動态行爲分(fēn)析、人機交互模拟和數據流關聯分(fēn)析等多種自動化掃描方式,發現應用程序中(zhōng)存在的安全漏洞和數據洩露,同時支持個人隐私保護條款和第三方SDK訪問權限的多維度檢測,針對應用存在的安全風險,給出詳細的檢測報告和整改建議,并在必要時輔以人工(gōng)安全滲透檢測,争取在移動應用上線發布前,解決應用程序存在的安全漏洞。
安全加固:采用虛拟機保護機制、JAVA2C和白(bái)盒加密技術,通過對移動應用程序進行自動化加殼,實現移動應用的防逆向分(fēn)析、防動态調試、防篡改二次打包、敏感數據保護和異常運行環境監測,保障企業移動應用程序安全。
安全沙箱:通過應用虛拟安全沙箱,實現應用運行環境隔離(lí),提供敏感權限控制、個人隐私保護、數據洩漏防護、數據加密保護、異常運行環境和威脅攻擊監測,增強移動應用業務數據和運行時的安全性,保障移動業務安全。應用安全沙箱,支持應用自動打包和SDK開(kāi)發集成兩種方式,同時提供安全鍵盤、數據加密和安全監測等多種安全賦能SDK。
安全監測:通過在業務應用中(zhōng)置入輕量化安全監測探針,從用戶、設備、應用和行爲等多方面進行持續安全監控,實時采集移動業務的運行環境、威脅攻擊、敏感操作和數據訪問等信息,經過關聯統計分(fēn)析、評估安全風險、産生(shēng)異常告警、觸發響應保護,并通過可視化的方式進行多維度呈現,提供安全态勢感知(zhī)能力,幫助管理人員(yuán)掌握移動業務安全的整體(tǐ)态勢,以便及時發現并規避移動業務的威脅與風險,保障移動業務安全。
應用商(shāng)店(diàn):在企業内部搭建自有應用商(shāng)店(diàn),進行衆多移動應用的上線分(fēn)發和版本升級,實現應用的集中(zhōng)管理和統一(yī)發布,獨立于第三方移動應用商(shāng)店(diàn),有效避免移動應用的僞造和仿冒,保護移動應用安全。
方案特色
應用全周期防護:通過移動業務安全解決方案,針對企業自建移動應用,進行應用漏洞安全檢測、應用代碼安全加固和應用運行狀态安全監控,結合移動應用商(shāng)店(diàn),實現移動應用從代碼開(kāi)發、上線發布、安裝運行到版本升級的全生(shēng)命周期安全防護,達到移動應用的集中(zhōng)統一(yī)管理。
數據全周期保護:通過移動業務安全解決方案,針對企業移動數據,從移動設備、移動應用和移動内容等多個方面,進行文件内容加密、頁面截屏防護、内容複制限制、頁面數字水印、遠程數據清除和恢複出廠設置等數據洩漏防護,實現移動數據從産生(shēng)、使用、傳輸、存儲到清除的全生(shēng)命周期保護。
持續性安全監測:通過移動業務安全解決方案,針對證券移動化面臨的移動安全威脅,從用戶、設備、應用和數據等多方面進行持續性監控,實時采集運行環境、威脅攻擊、敏感操作和數據訪問等行爲信息,經過關聯統計分(fēn)析,評估安全風險,産生(shēng)異常告警,觸發響應保護措施,感知(zhī)企業移動安全态勢。
滿足安全合規要求:證券移動業務安全解決方案,通過等保2.0三級安全測評要求,可将方案能力輸出給企業移動業務應用,幫助應用快速滿足國家及監管部門合規性要求,減少移動業務合規成本。
此處放(fàng)标題
内容暫無