證券移動業務的整體安全防護

上(shàng)訊信息 高(gāo)政偉

随着移動互聯網的飛(fēi)速發展和(hé)移動終端的普及，證券移動業務自(zì)2012年起，迎來(lái)了(le)迅猛發展，券商通過接入信息化來(lái)作(zuò)爲提高(gāo)競争力的手段，各證券公司都相繼推出了(le)自(zì)有的移動應用(yòng)服務，基本涵蓋了(le)資訊、行情、開(kāi)戶交易、轉賬、财富管理(lǐ)等多個功能(néng)，成爲連接證券企業與用(yòng)戶的重要接口。廣大(dà)用(yòng)戶在享受便利的同時(shí)也(yě)處于移動安全的風(fēng)險之中，證券類移動應用(yòng)面臨着盜版軟件、隐私洩露、用(yòng)戶密碼被竊取、數據被修改等諸多風(fēng)險。

1）移動應用(yòng)存在安全漏洞，應用(yòng)由不同背景的團隊開(kāi)發，并且集成大(dà)量三方SDK，程序代碼自(zì)身潛在的安全漏洞風(fēng)險和(hé)敏感數據洩露，給移動業務帶來(lái)極大(dà)的安全威脅。

2）移動應用(yòng)存在破解風(fēng)險，非法人員借助第三方工(gōng)具，對(duì)移動應用(yòng)進行逆向分析和(hé)惡意破解，甚至篡改重新打包，導緻移動業務遭受重大(dà)損失。

3）移動應用(yòng)存在非法攻擊，在應用(yòng)運行過程中，威脅攻擊可能(néng)随時(shí)發生，若不能(néng)實時(shí)防護，将無法保障移動應用(yòng)的安全可靠運行，影響移動業務的正常開(kāi)展。

4）移動應用(yòng)較多管理(lǐ)困難，移動應用(yòng)較多，管理(lǐ)起來(lái)比較麻煩，上(shàng)線發布渠道(dào)混亂，下(xià)載和(hé)版本升級的出口衆多，容易帶來(lái)應用(yòng)僞造和(hé)仿冒風(fēng)險。

近些(xiē)年，金(jīn)融類移動應用(yòng)被盜版、被破譯、數據失竊的事(shì)件屢見不鮮，一旦移動應用(yòng)遭遇黑客攻擊，将會(huì)給企業和(hé)用(yòng)戶帶來(lái)直接的經濟損失。結合證券行業，這(zhè)些(xiē)風(fēng)險也(yě)極有可能(néng)導緻交易APP被植入惡意程序後再傳播，導緻用(yòng)戶的密碼或其它信息被盜，或者黑客利用(yòng)漏洞攻入券商的移動服務端，或者客戶被釣魚而錢(qián)款被惡意轉賬等風(fēng)險。

移動業務安全整體防護

針對(duì)證券行業移動業務存在的安全風(fēng)險，方案通過安全檢測、安全加固、安全沙箱、安全監測和(hé)應用(yòng)商店(diàn)，構建移動業務的整體安全防護體系，實現(xiàn)移動業務應用(yòng)的全生命周期防護，保障證券移動業務安全。

安全檢測：通過逆向分析和(hé)源碼還原，采用(yòng)靜态特征匹配、動态行爲分析、人機交互模拟和(hé)數據流關聯分析等多種自(zì)動化掃描方式，發現(xiàn)應用(yòng)程序中存在的安全漏洞和(hé)數據洩露，同時(shí)支持個人隐私保護條款和(hé)第三方SDK訪問權限的多維度檢測，針對(duì)應用(yòng)存在的安全風(fēng)險，給出詳細的檢測報(bào)告和(hé)整改建議(yì)，并在必要時(shí)輔以人工(gōng)安全滲透檢測，争取在移動應用(yòng)上(shàng)線發布前，解決應用(yòng)程序存在的安全漏洞。

安全加固：采用(yòng)虛拟機保護機制、JAVA2C和(hé)白(bái)盒加密技術，通過對(duì)移動應用(yòng)程序進行自(zì)動化加殼，實現(xiàn)移動應用(yòng)的防逆向分析、防動态調試、防篡改二次打包、敏感數據保護和(hé)異常運行環境監測，保障企業移動應用(yòng)程序安全。

安全沙箱：通過應用(yòng)虛拟安全沙箱，實現(xiàn)應用(yòng)運行環境隔離，提供敏感權限控制、個人隐私保護、數據洩漏防護、數據加密保護、異常運行環境和(hé)威脅攻擊監測，增強移動應用(yòng)業務數據和(hé)運行時(shí)的安全性，保障移動業務安全。應用(yòng)安全沙箱，支持應用(yòng)自(zì)動打包和(hé)SDK開(kāi)發集成兩種方式，同時(shí)提供安全鍵盤、數據加密和(hé)安全監測等多種安全賦能(néng)SDK。

安全監測：通過在業務應用(yòng)中置入輕量化安全監測探針，從(cóng)用(yòng)戶、設備、應用(yòng)和(hé)行爲等多方面進行持續安全監控，實時(shí)采集移動業務的運行環境、威脅攻擊、敏感操作(zuò)和(hé)數據訪問等信息，經過關聯統計(jì)分析、評估安全風(fēng)險、産生異常告警、觸發響應保護，并通過可視(shì)化的方式進行多維度呈現(xiàn)，提供安全态勢感知(zhī)能(néng)力，幫助管理(lǐ)人員掌握移動業務安全的整體态勢，以便及時(shí)發現(xiàn)并規避移動業務的威脅與風(fēng)險，保障移動業務安全。

應用(yòng)商店(diàn)：在企業内部搭建自(zì)有應用(yòng)商店(diàn)，進行衆多移動應用(yòng)的上(shàng)線分發和(hé)版本升級，實現(xiàn)應用(yòng)的集中管理(lǐ)和(hé)統一發布，獨立于第三方移動應用(yòng)商店(diàn)，有效避免移動應用(yòng)的僞造和(hé)仿冒，保護移動應用(yòng)安全。

方案特色

應用(yòng)全周期防護：通過移動業務安全解決方案，針對(duì)企業自(zì)建移動應用(yòng)，進行應用(yòng)漏洞安全檢測、應用(yòng)代碼安全加固和(hé)應用(yòng)運行狀态安全監控，結合移動應用(yòng)商店(diàn)，實現(xiàn)移動應用(yòng)從(cóng)代碼開(kāi)發、上(shàng)線發布、安裝運行到(dào)版本升級的全生命周期安全防護，達到(dào)移動應用(yòng)的集中統一管理(lǐ)。

數據全周期保護：通過移動業務安全解決方案，針對(duì)企業移動數據，從(cóng)移動設備、移動應用(yòng)和(hé)移動内容等多個方面，進行文(wén)件内容加密、頁面截屏防護、内容複制限制、頁面數字水(shuǐ)印、遠程數據清除和(hé)恢複出廠(chǎng)設置等數據洩漏防護，實現(xiàn)移動數據從(cóng)産生、使用(yòng)、傳輸、存儲到(dào)清除的全生命周期保護。

持續性安全監測：通過移動業務安全解決方案，針對(duì)證券移動化面臨的移動安全威脅，從(cóng)用(yòng)戶、設備、應用(yòng)和(hé)數據等多方面進行持續性監控，實時(shí)采集運行環境、威脅攻擊、敏感操作(zuò)和(hé)數據訪問等行爲信息，經過關聯統計(jì)分析，評估安全風(fēng)險，産生異常告警，觸發響應保護措施，感知(zhī)企業移動安全态勢。

滿足安全合規要求：證券移動業務安全解決方案，通過等保2.0三級安全測評要求，可将方案能(néng)力輸出給企業移動業務應用(yòng)，幫助應用(yòng)快(kuài)速滿足國家及監管部門(mén)合規性要求，減少移動業務合規成本。