備案來襲，金融APP監(jiān)管持續(xù)加碼

近日，中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)（下稱"互金協(xié)會(huì)"）公布首批移動(dòng)金融客戶端應(yīng)用軟件實(shí)名備案名單，名單包括33家金融機(jī)構(gòu)的73款客戶端軟件，分別來自銀行、證券、基金、保險(xiǎn)、支付等領(lǐng)域。在完成第一批試點(diǎn)機(jī)構(gòu)備案后，互金協(xié)會(huì)將在全國(guó)范圍內(nèi)開展客戶端軟件備案推廣工作。可以預(yù)見，未來金融APP備案將會(huì)成為監(jiān)管的常態(tài)手段之一。

實(shí)際上，近年隨著金融與科技的加速融合和移動(dòng)金融普及性、重要性的提升，國(guó)家一直在對(duì)金融移動(dòng)應(yīng)用的安全性進(jìn)行治理。自2017年起，互聯(lián)網(wǎng)金融各細(xì)分領(lǐng)域的規(guī)范政策相繼出臺(tái)，對(duì)金融APP的安全運(yùn)行提出了諸多監(jiān)管要求：

2017年12月，央行、銀監(jiān)會(huì)發(fā)布《關(guān)于規(guī)范整頓"現(xiàn)金貸"業(yè)務(wù)的通知》；

2018年8月，央行下發(fā)《中國(guó)人民銀行辦公廳關(guān)于開展支付安全風(fēng)險(xiǎn)專項(xiàng)排查工作的通知》，開展支付安全風(fēng)險(xiǎn)專項(xiàng)排查；

2019年1月，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》；

2019年9月，央行發(fā)布《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》；11月，公安機(jī)關(guān)網(wǎng)安部門集中查處整改了100款違法違規(guī)APP及其運(yùn)營(yíng)的互聯(lián)網(wǎng)企業(yè)，其中金融類APP是重災(zāi)區(qū)，光大銀行、天津銀行、天津農(nóng)商行赫然在列。

2020年2月，央行發(fā)布新版《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》，融合了《密碼法》、等保2.0等多項(xiàng)法律法規(guī)，從安全標(biāo)準(zhǔn)、安全觀、安全風(fēng)險(xiǎn)等多個(gè)角度對(duì)網(wǎng)上銀行提出了新要求。

2020年2月，央行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，從個(gè)人金融信息全生命周期管理的角度，要求強(qiáng)化個(gè)人金融信息風(fēng)險(xiǎn)識(shí)別和監(jiān)控、建立健全風(fēng)險(xiǎn)事件處置機(jī)制、保障個(gè)人金融信息主體合法權(quán)益。

監(jiān)管背后，金融APP安全風(fēng)險(xiǎn)升級(jí)

然而，即使監(jiān)管日趨嚴(yán)格，金融APP由于安全問題"上頭條"的新聞卻仍然屢見不鮮。移動(dòng)金融在給人們生活帶來極大便利的同時(shí)，其自身的安全問題并不容樂觀。尤其是近幾年針對(duì)金融APP的攻擊持續(xù)不斷，除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問題，還有非法第三方APP請(qǐng)求、中間人攻擊、API接口濫用、撞庫、批量注冊(cè)、刷單、爬蟲、通過外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。應(yīng)用與業(yè)務(wù)的深度交叉，讓金融行業(yè)的安全問題更加棘手。

一方面，金融行業(yè)其實(shí)已經(jīng)采取了眾多安全手段，但現(xiàn)有的防護(hù)大多聚焦于應(yīng)用側(cè)的安全防護(hù)，無論是客戶端APP加固還是服務(wù)器端Web應(yīng)用防火墻，都只能解決非常有限的問題。遺留的其他威脅，如非法第三方APP、構(gòu)造數(shù)據(jù)包模擬合法用戶請(qǐng)求、批量接口調(diào)用獲取數(shù)據(jù)等問題則需要新的安全解決方案。

另一方面，這類針對(duì)移動(dòng)應(yīng)用及業(yè)務(wù)融合的新型攻擊和威脅，超過90%都是借助自動(dòng)化工具實(shí)現(xiàn)，它們?cè)诨谡鎸?shí)用戶身份和信息的基礎(chǔ)上，使用模擬器，能夠偽造瀏覽器環(huán)境、UA、分布式IP等，模擬合法業(yè)務(wù)邏輯，實(shí)現(xiàn)批量業(yè)務(wù)操作。在這個(gè)攻防對(duì)抗的過程中，防守方處于弱勢(shì)，無法通過攻擊特征識(shí)別、請(qǐng)求頻率限制等方式有效應(yīng)對(duì)。

瑞數(shù)APP動(dòng)態(tài)安全 - 端到端一體化防護(hù)解決方案

針對(duì)以上兩方面的問題，瑞數(shù)信息提出APP 動(dòng)態(tài)安全（APP BotDefender）的端到端一體化防護(hù)解決方案，以"動(dòng)態(tài)防護(hù)"技術(shù)為核心，覆蓋對(duì)客戶端、數(shù)據(jù)傳輸、服務(wù)器端的威脅防控，為各類金融APP、H5及混合業(yè)務(wù)提供提供強(qiáng)大的安全防護(hù)能力；同時(shí)，利用AI人機(jī)識(shí)別等智能技術(shù)，甄別非法客戶端和仿冒正常請(qǐng)求的各類已知及未知自動(dòng)化攻擊，防止攻擊者對(duì)線上業(yè)務(wù)造成破壞與交易欺詐，保障用戶數(shù)據(jù)安全及業(yè)務(wù)穩(wěn)定運(yùn)行。

端：APP客戶端安全

·    設(shè)備唯一性識(shí)別：通過設(shè)備指紋唯一標(biāo)識(shí)來源客戶端，實(shí)現(xiàn)精準(zhǔn)身份管理與監(jiān)控

·    運(yùn)行環(huán)境監(jiān)測(cè)：檢測(cè)客戶端是否處于可信環(huán)境，感知模擬器、越獄狀態(tài)、群控程序

管：通信層安全

·    動(dòng)態(tài)加密：對(duì)APP請(qǐng)求及服務(wù)器響應(yīng)數(shù)據(jù)一次性加密，防止數(shù)據(jù)偽造和中間人攻擊

·    動(dòng)態(tài)令牌：賦予每個(gè)客戶端請(qǐng)求一次性令牌，防止重放攻擊和API接口惡意調(diào)用

云：服務(wù)器端安全

·    APP合法性驗(yàn)證：識(shí)別合法APP，可以拒絕被篡改、重打包等非法第三方APP訪問

·    一體化安全防護(hù)：可以同時(shí)對(duì)APP、H5、WebView、網(wǎng)頁進(jìn)行防護(hù)，無需多次部署

·    自動(dòng)化攻擊防護(hù)：驗(yàn)證請(qǐng)求是否由真實(shí)客戶端發(fā)起，杜絕撞庫、薅羊毛、爬蟲等攻擊

·    用戶行為訪問控制：對(duì)不可信的設(shè)備、賬戶及用戶行為，提供靈活響應(yīng)及多種攔截方式

如今，金融APP的廣泛應(yīng)用已經(jīng)深入滲透到人們生活的方方面面，但其安全防護(hù)能力的薄弱也使得用戶的財(cái)產(chǎn)安全及信息安全受到威脅。因此，監(jiān)管常態(tài)化、規(guī)范化勢(shì)在必行，而金融APP及其運(yùn)營(yíng)企業(yè)也應(yīng)當(dāng)借助創(chuàng)新的安全策略，從合規(guī)、技術(shù)、實(shí)踐等多個(gè)方面守住"安全紅線"，合力打造更為健康優(yōu)質(zhì)的金融生態(tài)環(huán)境。