梆梆资讯
标准解读(一)|《证券期货业移动互联网应用程序安全规范》
2021-07-28
近日,证监会发布《证券期货业软件测试指南 软件安全测试》、《证券期货业移动互联网应用程序安全规范》等三项金融行业标准,自公布之日起施行。梆梆安全将结合在移动App安全领域的实践经验,分两期带您一起解读移动App安全规范和软件安全测试指南。
随着移动互联网新兴技术的蓬勃兴起,层出不穷的创新业务在移动端落地,在商业模式应用、技术风险控制等方面对证券期货业移动互联网应用程序安全提出了新的挑战。证券期货行业面临的信息安全形势日趋复杂,App安全问题尤为严峻。今天小编带您一起解读《证券期货业移动互联网应用程序安全规范》(以下简称“App安全规范”)。
App安全规范要求证券期货业市场主流移动终端应用开展安全检测与风险评估,完善监测渠道与预警机制,建立移动终端应用管理安全风险提示系统,及时发现并通报移动终端应用的设计缺陷与安全漏洞,以及假冒、篡改的移动终端应用,督促经营机构加强对移动终端应用的安全管理,切实提高投资者风险防范意识。
App安全规范从移动终端安全、身份鉴别、网络通信安全、数据安全、开发安全、安全审计等6个方面规范移动App全生命周期的安全性要求。该标准特别强调移动终端运行环境安全,要求移动App具备运行环境安全监测能力,同时有效将环境安全风险监测结果传递到后台,与业务进行联动处置。
移动终端安全:采取有效技术措施保障移动互联网应用程序的真实性、完整性,App在移动终端上处理客户信息的机密性,以及App在安装、运行、升级,卸载过程中的安全。
身份鉴别:提供账号鉴别和认证功能,应对访问客户提供有效的身份认证机制,在客户访问应用业务前对用户身份进行鉴别。
网络通信安全:采用安全的通信协议和加密算法,保障App与服务器之间的所有连接与数据传输安全。
数据安全:保障移动终端上的数据机密性、完整性。
开发安全:App开发过程中需制定安全需求、设计安全功能、测试安全模块,保障移动互联网应用程序的安全性。
安全审计:App在使用时会产生活动日志,服务器端应保存相应的日志记录,以备安全审计。
App安全规范的推出为证券期货行业建立了移动安全的“新基线”,明确指出了证券期货行业移动App全生命周期安全建设过程中的要求细则,正是梆梆安全在金融行业一直践行的安全建设标准。
在设计阶段,通过安全咨询为客户建立安全基线,评估业务设计安全缺陷,将安全能力前移;在开发阶段,提供标准的安全工具组件,模块化解决数据传输及输入输出安全问题;在安全测试阶段,提供自动化检测+人工渗透测试多种测试手段,全面解决软件开发过程中引入的安全漏洞并及时指导修复;在发布阶段,为客户提供App加固、源码加固等代码保护服务,有效防止反编译、二次打包等安全问题;在运维阶段,为客户提供渠道监测、运行环境可信检测、移动应用安全监测等服务,帮助客户解决产品上线后运行过程中的风险和攻击行为以及钓鱼行为。
梆梆安全作为国内最大移动应用安全厂商,凭借在应用安全技术方面的深厚积累,已经为国内绝大部分的金融行业客户提供了相应的安全服务。我们将充分发挥资深移动应用安全积累的优势,保护您的智能生活!
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1