日前,由中国信息通讯研究院主办的2019(第二届)中国金融科技产业峰会在北京国际会议中心隆重召开。在“金融业网络信息安全”分论坛研讨会上,爱加密移动研究院副院长魏超以《移动金融风险防护建设浅析》为题,探讨了移动金融风险的背景和成因,分享了爱加密进行全生命周期移动安全合规建设的经验。
今年八月,中国人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》,规划对金融APP的稳定提出了相应的要求,并明确要求运用金融科技提升跨市场、跨业态、跨区域金融风险的识别、预警和处置能力,加强网络安全风险管控和金融信息保护,做好新技术应用风险防范,坚决守住不发生系统性金融风险的底线。
随着移动互联网技术的不断创新,移动应用在金融行业得到了高速发展,手机端金融业务的交易量与支付额直线上升,但与此同时,移动金融在涉及系统和信息的安全问题越来越突出。魏超认为,个人信息的不法获取在黑产已经形成了完整的利益链,在移动端用户随时都有可能暴露个人情况、设备情况乃至实际环境信息,黑产团伙可以完整还原用户个人的家庭生态和金融生态,这种情况是非常可怕的。
魏超指出,手机APP端的安全风险当下集中于三点:其一,常见的仿冒APP往往包含大量恶意广告、短信扣费,更严重的是蓄意采集个人隐私信息;其二,APP引入的第三方SDK可能“暗藏玄机”,通过暗藏代码,出现信息盗取、传播垃圾广告、诱骗欺诈等违法行为;其三,智能终端环境复杂,手机APP端无法回避但又无法依靠自身解决移动操作系统带来的不同风险或者危害。
针对移动安全所存在的诸多痛点,为了维护移动金融业务的安全,爱加密致力于建设一套牢固的移动金融动态防护体系。魏超从安全加固、威胁感知、全网APP监控等方面进行了阐述。
安全加固方面,采用安全防护技术实现对移动端的保护,包括Android加固、ios加固、SDK加固、H5加固、传输安全SDK等,综合运用防逆向、防篡改、防调试等多种加固技术确保移动应用安全;威胁感知方面,将智能风控嵌入到业务流程里,实现风险拦截处置。提升穿透式监管管理,另外通过大数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源;互联网监控方面,通过对全网APP的监测和分析,可以向客户提供单点APP的分析报告或者整个区域、整个行业的分析报告。
会后魏超接受了记者采访。在采访中他谈到,爱加密从技术、业务、合规性三个层面为移动应用提供事前、事中、事后全生命周期的移动安全防护。一方面从流程出发把控安全的重要节点,保障金融机构的业务安全运营,实现价值最大化发展;另一方面,提高移动应用业务风险抵抗能力,更好地满足行业监管要求,为移动业务的可持续发展解决了后顾之忧。未来,爱加密将在移动物联网、移动数据、移动用户认证管理三个方向加大投入力度,持续创新为客户提供一站式的移动安全全生命周期解决方案。