梆梆资讯
人行146号文发布后,移动App安全大排查该如何做?
2018-08-31
致金融业客户的一封信
各位金融单位的安全主管们:
随着移动App向大众生活的逐渐渗透,移动金融App已发展成为金融机构业务系统中非常重要的一部分。据相关统计数据显示,2017年银行业平均离柜业务率达到84.31%,用户使用习惯的转化使得这一比例逐渐升高,而金融行业移动App也在逐步成为黑客的高价值攻击目标。随着移动金融的快速发展,更多的黑客和黑产从业者将目光转向了移动金融领域。在过去的5年里,移动金融App的破解、二次打包、钓鱼及盗版程序层出不穷,而随着攻防技术的不断更迭,近2年,运行时动态攻击在不断增多,设备造假、地理位置欺诈、硬件信息伪造、客户端数据窃取、机器刷单、团伙薅羊毛等问题对移动金融安全造成极大威胁,一方面对消费者的个人隐私和个人财产造成重大损失,另一方面也极大损害了金融机构信誉,降低了消费者对金融机构安全的信任度。
2018年8月14日,中国人民银行办公厅下发《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》银办发〔2018〕146号(以下简称146号文),开展支付安全风险专项检查,进一步加强支付领域网络与信息安全管理,有效防范支付风险。本次风险检查内容包含人民银行在2016年下发的170、192号文件的要求内容,检查范围和详细程度进一步增大。
本次146号文中的检查项,是2016年以来在支付安全风险检查中要求最为细致的一份文件。文中的绝大部分检查点细节源自于历年来的政策文件,比如针对客户端软件的运行环境监测、病毒木马监测等安全要求部分来自于2016年170、192号文件。这种延续性的检查方式以及对于重要安全问题的反复检查,也反映出应对这类安全威胁的重要性。
146号文的发布不仅仅是对于各商业银行、非银行支付机构、清算机构等的排查与检验,也是对于梆梆安全的一次检阅。梆梆安全深入研读146号文,基于公司8年来在移动金融安全领域的探索与研究,于近日发布《移动金融安全部分检查点解读及解决方案》。(如需了解,请随时联系梆梆安全销售团队)
梆梆安全成立8年来,从“保护您的APP”向“保护智能生活”迈进的每一步都离不开您的支持,从应用加固、源码加固、SDK加固、密钥白盒、安全软键盘、通信协议保护等单点静态防御手段,到移动威胁感知平台、移动应用安全开发管控平台、移动应用测评云平台等全方位移动金融安全解决方案,梆梆安全的全线移动安全产品可以帮助金融行业安全管理人员有效应对146号文件对应的移动应用安全排查项。梆梆安全始终以客户为中心,不断探索移动应用安全服务的新领域和新方向,为金融行业客户提供覆盖整个移动应用全生命周期的自适应安全防御体系。
唯爱与信任不可辜负!在过去的8年中,感谢您给予了梆梆安全充分的信任与支持,正是因为这份信任与期冀,梆梆安全方能不断在移动安全的市场上前行,在物联网安全领域开疆拓土。我们正在面临信息安全的严峻考验,梆梆安全愿竭尽全力,协同金融行业客户共同做好每一位消费者的个人隐私与财产保护工作!
人行支付安全风险专项检查应对方法速查(部分)
针对客户端应用软件安全第1条:原始身份验证信息不应明文保存在移动终端本地,可以考虑采用梆梆安全应用加固对本地存储的数据、资源文件进行透明化加密保护,实现本地任何文件/数据库的加密存储。针对客户端数据录入安全第6、7条,可以采用安全软键盘实现输入信息的加密保护。在13、14、20等其他排查要点中通过采用梆梆安全相关应用安全防护产品应对排查项目。
针对客户端应用软件自身安全排查项第15条:应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力,可以使用梆梆安全移动威胁感知平台,持续监测客户端在运行过程中出现的病毒木马及运行环境的可信安全问题,弥补运行时动态攻击防御短板。在13、15、16等其他排查要点中通过采用梆梆安全移动威胁感知平台也可以应对排查项目。
在客户端应用软件安全的大多数排查项中,可以考虑采用梆梆安全移动测评云平台进行自动化测试排查,如身份验证信息管理的密码复杂度校验、客户输入,敏感信息时的信息输入安全防护等排查重点可以通过自动化检测方式实现。
针对此次紧急的安全风险检查工作,梆梆安全特别推出“自动化检测+人工检查”的排查方案,全面检测应用软件的安全风险并提供检测结果及详细的风险整改方案。
针对支付系统安全管理排查项,其中包含的23个排查要点大部分与等级保护2.0要求不谋而合。可以采用梆梆安全合规检查服务来应对相关排查要点,梆梆安全具备等级保护咨询服务能力,能够以等级保护的安全强度要求为用户彻底排查相关排查项及排查要点的合规问题。
梆梆安全部分产品介绍
梆梆安全移动测评云平台
梆梆安全针对客户端应用软件安全,推出Android和iOS双平台测评系统,将移动应用主流安全问题分为自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全和恶意攻击防范能力等7大类,近100项小类,全面检测出应用程序的安全风险,定位问题代码位置,提供详细的整改代码示例,自动化实现应用软件的安全检测。
梆梆安全移动威胁感知平台
移动威胁感知平台是梆梆安全着力打造的移动应用运行过程的动态安全监控和运行监测平台,能够发现客户端的病毒木马和运行环境可信状况,能够对客户端运行过程中的各类攻击进行感知、阻断、溯源。通过平台的威胁情报服务,能够及时与客户的业务风控/反欺诈等后端安全系统进行联动,弥补现有业务安全系统对终端操作风险监控及运行环境可信的处理能力短板。
应用安全防护产品
应用加固系统为客户提供涵盖应用开发、打包、发布、运行全生命周期一体化安全保障服务,防止针对移动应用的反编译、二次打包、内存注入、动态调试、数据窃取、交易劫持、应用钓鱼等恶意攻击行为;
源码加固从源代码级保护应用核心逻辑及算法安全,防范应用核心逻辑被逆向分析;
密钥白盒可生成标准动态白盒密码,保持白盒库不变的情况下更换代码;
安全软键盘提供分布式的安全键盘,保证输入信息安全;
通信协议保护系统:保护客户端与服务器间的通信安全;
数据防泄漏
数据防泄露系统(DLP)是专为保护数据,防止数据泄漏的数据安全产品。数据防泄露系统基于统一管理框架,通过深度内容分析和事务安全关联分析来识别、监视和保护静止的数据、移动的数据以及使用中的数据。数据防泄露系统能与其它传统安全产品集成形成整体信息安全解决方案,满足客户的安全需求。
本产品安全能力可以应对支付安全风险专项排查项里的38、42条。
等级保护咨询服务
梆梆安全提供定级备案、安全评估、差距分析、方案设计、协助安全整改、协助等级测评、等级保护培训等一系列的等级保护咨询服务。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1