梆梆安全

梆梆安全,保护智能生活

—— 护航开放银行业务安全 ——
  • 金融

  • 开放银行

  • 游戏

  • 政企

  • 运营商

  • IoT

  • 教育

  • 中小企业

开放银行安全解决方案



开放银行的业务背景


伴随互联网对生活和产业的深度渗透及金融科技的进步,全球金融服务线上化的脚步不断加快。融入场景、融入生态、开放协同,已逐步成为未来所有机构开展金融业务的必然趋势。在此趋势下,开放银行应运而生。

开放银行代表了一种平台化的商业模式。在此模式下,银行通过与商业生态系统中掌握用户资源的合作伙伴共享数据、算法、交易、流程或其他业务功能,触达个人、企业、政府、金融机构等各类终端用户,为其提供无所不在、体验一流的金融服务。

开放银行具备以下核心特点:

•  以客户需求为导向

•  以生态场景为触点

•  以服务碎片化、数据商业化为特征

•  以体系化转型为方法

 

 

 


开放银行的技术模式

国内开放银行通常提及的都是线上模式,包括线上API、SDK、H5等。随着API数量和开放平台参与方的增加,以及互联网金融的业务创新,开放银行所应用的技术发展也经历了三种模式,最开始是单一银行直接以API方式连接多家外部伙伴,后演变为多家银行通过云化的BaaS平台(Banking as a service)模式连接多家外部合作伙伴,再后来是银行根据合作伙伴的需求,将多项金融功能进行定制化组合并封装至SDK,提供给合作伙伴。

当前API的模式已较为普及,而使用SDK进一步封装完整金融服务,使得移动终端更方便的对接,有望成为未来的主流趋势。综合SDK能融合多个API功能接口、串联API接口间逻辑关系、囊括了业务流程页面的整体对外服务软件包,让企业通过简单的几行代码就能完成金融服务的对接,从而实现最大化的服务开放和最小化的接入成本,同时保证客户信息与资金安全。

随着越来越多H5的应用场景,银行对H5的方便快捷认识也越来越深入,未来开发银行的H5技术模式也将成为趋势。


开放银行的安全风险

 数据合规性风险

2018 年 12 月 8 日召开的“2018 第二届中国互联网金融论坛”上,来自金融机构、金融管理部门和学术界的嘉宾就“开放银行”这一新事物的发展现状及前景展开探讨。开放银行在有效提升银行金融服务效能的同时,也使得风险敞口更多,风险管控链条更长,风险洼地的效应更加明显,风险的形势也出现了新特点、新变化。开放银行连接了服务的提供方、交易发起方等众多主体,数据泄露风险增大。

客户隐私及数据安全不仅是商业银行对于开放银行的监管与合规考虑,还涉及到银行客户对于开放银行业务的信任程度。银行业务与客户的资金安全息息相关,只有在确保安全的前提下,银行客户才会开始考虑采纳更具创新性和便捷性的开放银行业务。

 技术风险

在移动领域,银行等金融机构将其专用SDK、H5外发给第三方合作伙伴使用。第三方合作伙伴的App(宿主App)集成银行的外发SDK/H5,直接为其用户提供各类银行金融服务。如果第三方合作伙伴自身存在管理漏洞、安全漏洞甚或怀有恶意,将可能使得银行外发的业务也出现安全问题。主要体现在:

1. 开发过程安全

SDK、H5的业务代码存在逻辑漏洞、业务设计缺陷、第三方组件漏洞

2. 授权调用安全

外发出去的SDK、H5代码被非授权第三方非法集成和调用

3. 代码外发自身安全

外发SDK、H5代码可能被外部逆向破解,分析、调试其中的业务逻辑

4. 运行过程安全

业务运行过程中的安全问题,如SDK的宿主App运行环境是否真实、安全;是否存在恶意攻击SDK、通过SDK窃取敏感信息、扰乱正常的业务交易等风险问题。


开放银行安全解决方案

 开发安全检测

通过自动化安全扫描工具,扫描外发SDK中存在的常规安全问题。扫描工作可以穿插在开发的各个阶段。发现安全设置异常、权限设置异常、已知常见漏洞、敏感信息泄露等等安全隐患。提高SDK程序的安全性与健壮性。

通过对开放银行场景中的外发API、SDK、H5进行专业的渗透测试,发现系统中可能存在的业务逻辑缺陷、设计缺陷以及第三方组件安全隐患,最常见的问题如:注入攻击、身份认证和会话管理缺陷、信息泄露、权限控制漏洞等等。通过挖掘漏洞并整改,提升外发接口、代码的安全性和健壮性。

 代码安全保护

通过对外发API、SDK、H5做代码加固加固,可保护核心算法、密钥、后台 API 接口、业务逻辑等重要内容,避免被轻易泄露和利用。


承载形态

加固保护方案

API

Jar包代码VMP保护

SDK

Java反编译保护

SO反编译保护

VMP虚拟化保护

内存防调试保护

防Hook保护

iOS源码加固保护

H5

H5代码混淆保护

字符串加密保护

JSVMP虚拟化保护

JS动态防调试保护

运行域名绑定

运行APP绑定

 

 运行安全监控

外发SDK所运行的宿主App环境是安全不可控的环境,因此,梆梆才用SDK运行监测技术实现对外发SDK使用状态的主动监控,主动防御,在风险发生时或发生前做到预警和阻断、溯源。主要功能包括:

检测SDK运行环境是否安全:是否存在模拟、是否存在调试行为、是否存在风险进程、风险应用

监测宿主App是否安全:针对业务流程发现的异常,主动从SDK提取运行的App包,分析包异常点,收集异常APP的违规证据

主动防御:在动态监控基础上,提前感知风险,在威胁发生时或发生前做到预警和阻断、溯源


 



梆梆安全的技术实力和成就 


梆梆安全加固技术演进之路

梆梆安全产品研发之路

梆梆安全所取得的资质

梆梆安全所取得的荣誉成就



姓名*

联系电话*

有效商业邮箱*

公司/企业名称*

地址*

 省   市(县)

    *

问题/建议

验证码*

刷新

提示

  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >