首页> 安全资讯 > 移动金融殇在安全,移动产品需要怎样的安全体系

移动金融殇在安全,移动产品需要怎样的安全体系

发布时间:2017-05-13

从IT时代到DT时代,数据变得越发敏感和透明,如何为海量数据提供可靠的安全支撑就成了重中之重。2013年6月,国内最大的第三方支付平台“支付宝”正式推出了新型金融产品“余额宝”,这一产品的出现在市场上引起了不小的关注。我们知道,传统金融是指只具备存款、贷款和结算三大传统业务的金融活动;互联网金融泛指互联网技术和金融功能的有机结合,依托大数据和云计算在开放的互联网平台上形成的功能化金融业态及其服务体系。而余额宝的出现意味着互联网金融的触角已经延伸到了理财即传统金融的范围里,而随着传统金融的转型,互联网与传统的金融边界变得也越来越模糊。

似乎从2013年开始,金融行业在风口上被吹得越发的猛了。随着科技的发展,如今的“互联网+金融”涉猎范围越来越广,理财、保险、P2P、借贷等都成为了市面上的主流产品。这些产品依托的基本都是移动端,传统金融机构也越来越依赖互联网技术,为个人提供很多可以通过移动端完成的个人业务。

随着移动端的兴起,传统的安全防护已经不能守护移动安全。目前常见的移动端攻击形式有对移动应用的程序、数据、业务逻辑、系统环境等内容进行静态、动态的破解,以获取应用安装卸载的过程、用户数据的输入、存储处理、网络传输以及所处系统环境等方面的漏洞,从而发起攻击。主流的攻击方式主要有系统使用键盘和输入法攻击、界面截取、本地数据窃取、用户隐私窃取、反编译源码、网络交互协议抓取等。

举个例子,现在通过监听系统键盘或第三方输入法等方式来导致用户信息泄露已经是一种常见的被攻击现象,信息很容易泄露到不法分子手中,一旦追究起来会给厂商和用户带来巨大的威胁。

那么金融相关行业应该如何部署移动端安全?服务了国内主流金融企业的移动信息安全知名服务商爱加密针对这个问题给出了答案。爱加密CEO郭训平认为,确保移动端安全问题并不是仅靠单一的技术和单一的产品就可以实现的:“从构建的体系角度来讲,我觉得应该覆盖在这个APP(移动金融)在移动业务这一块它的整个生命周期,包括事前、事中和事后。事中就是指的事即时防御,事前和事后则是比较容易被忽略掉的部分。APP在发布之前其实就是涉及了开发和测试这三个重要环节,即事前阶段,最主要的核心包括工业技术、服务等一些因素,它的解决提前发现问题、提前整改问题。事后包括上线之后要有一定的保护设施,上线整个防护体系和业务体系融合的如何,即在使用过程当中的一些不同层次的一些情况。比如说,爱加密的银行用户,类似建行、中行、农行的使用者已经过亿了。这些人使用银行移动业务当中,它的风险状况有没有掉余量?APP有没有问题?有没有被篡改过的?如果有的话,在哪个地方能下载的到?他的几个亿当中的用户,有没有人下载这些有问题的APP?针对这些问题,好的防护系统应该能起到监控的效果。所以,我们将构建好的移动安全防护体系要注意以下两点,第一,要覆盖他很多业务的基本信息;第二就是应该覆盖事前、事中、事后,建立这么一套体系,至少需要是个闭环。加固确实能够解决安全问题,但是他只是解决用户在使用过程中的一个方面的问题。”

显然,移动端防护实在移动端兴起以后才逐渐被广泛应用的技术,但是相比较于PC端的应用和防护历史,移动安全绝对算得上是新兴产业,正是因为相关产业链的不够成熟,导致很多移动APP在安全方面没有很好的参考。作为移动APP安全的领头羊,爱加密表示,爱加密APP安全方案在企业用户中得到了广泛的应用,不过,与之相应的针对移动应用的安全防护领域才刚刚进入大众视野,而如何在未来形成有效的应用安全治理机制,仍需要政府、企业、公众的多方参与。

加入收藏