上訊信息 高政偉

隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展和移動(dòng)終端的普及，證券移動(dòng)業(yè)務(wù)自2012年起，迎來了迅猛發(fā)展，券商通過接入信息化來作為提高競爭力的手段，各證券公司都相繼推出了自有的移動(dòng)應(yīng)用服務(wù)，基本涵蓋了資訊、行情、開戶交易、轉(zhuǎn)賬、財(cái)富管理等多個(gè)功能，成為連接證券企業(yè)與用戶的重要接口。廣大用戶在享受便利的同時(shí)也處于移動(dòng)安全的風(fēng)險(xiǎn)之中，證券類移動(dòng)應(yīng)用面臨著盜版軟件、隱私泄露、用戶密碼被竊取、數(shù)據(jù)被修改等諸多風(fēng)險(xiǎn)。

1）移動(dòng)應(yīng)用存在安全漏洞，應(yīng)用由不同背景的團(tuán)隊(duì)開發(fā)，并且集成大量三方SDK，程序代碼自身潛在的安全漏洞風(fēng)險(xiǎn)和敏感數(shù)據(jù)泄露，給移動(dòng)業(yè)務(wù)帶來極大的安全威脅。

2）移動(dòng)應(yīng)用存在破解風(fēng)險(xiǎn)，非法人員借助第三方工具，對移動(dòng)應(yīng)用進(jìn)行逆向分析和惡意破解，甚至篡改重新打包，導(dǎo)致移動(dòng)業(yè)務(wù)遭受重大損失。

3）移動(dòng)應(yīng)用存在非法攻擊，在應(yīng)用運(yùn)行過程中，威脅攻擊可能隨時(shí)發(fā)生，若不能實(shí)時(shí)防護(hù)，將無法保障移動(dòng)應(yīng)用的安全可靠運(yùn)行，影響移動(dòng)業(yè)務(wù)的正常開展。

4）移動(dòng)應(yīng)用較多管理困難，移動(dòng)應(yīng)用較多，管理起來比較麻煩，上線發(fā)布渠道混亂，下載和版本升級的出口眾多，容易帶來應(yīng)用偽造和仿冒風(fēng)險(xiǎn)。

近些年，金融類移動(dòng)應(yīng)用被盜版、被破譯、數(shù)據(jù)失竊的事件屢見不鮮，一旦移動(dòng)應(yīng)用遭遇黑客攻擊，將會(huì)給企業(yè)和用戶帶來直接的經(jīng)濟(jì)損失。結(jié)合證券行業(yè)，這些風(fēng)險(xiǎn)也極有可能導(dǎo)致交易APP被植入惡意程序后再傳播，導(dǎo)致用戶的密碼或其它信息被盜，或者黑客利用漏洞攻入券商的移動(dòng)服務(wù)端，或者客戶被釣魚而錢款被惡意轉(zhuǎn)賬等風(fēng)險(xiǎn)。

移動(dòng)業(yè)務(wù)安全整體防護(hù)

針對證券行業(yè)移動(dòng)業(yè)務(wù)存在的安全風(fēng)險(xiǎn)，方案通過安全檢測、安全加固、安全沙箱、安全監(jiān)測和應(yīng)用商店，構(gòu)建移動(dòng)業(yè)務(wù)的整體安全防護(hù)體系，實(shí)現(xiàn)移動(dòng)業(yè)務(wù)應(yīng)用的全生命周期防護(hù)，保障證券移動(dòng)業(yè)務(wù)安全。

安全檢測：通過逆向分析和源碼還原，采用靜態(tài)特征匹配、動(dòng)態(tài)行為分析、人機(jī)交互模擬和數(shù)據(jù)流關(guān)聯(lián)分析等多種自動(dòng)化掃描方式，發(fā)現(xiàn)應(yīng)用程序中存在的安全漏洞和數(shù)據(jù)泄露，同時(shí)支持個(gè)人隱私保護(hù)條款和第三方SDK訪問權(quán)限的多維度檢測，針對應(yīng)用存在的安全風(fēng)險(xiǎn)，給出詳細(xì)的檢測報(bào)告和整改建議，并在必要時(shí)輔以人工安全滲透檢測，爭取在移動(dòng)應(yīng)用上線發(fā)布前，解決應(yīng)用程序存在的安全漏洞。

安全加固：采用虛擬機(jī)保護(hù)機(jī)制、JAVA2C和白盒加密技術(shù)，通過對移動(dòng)應(yīng)用程序進(jìn)行自動(dòng)化加殼，實(shí)現(xiàn)移動(dòng)應(yīng)用的防逆向分析、防動(dòng)態(tài)調(diào)試、防篡改二次打包、敏感數(shù)據(jù)保護(hù)和異常運(yùn)行環(huán)境監(jiān)測，保障企業(yè)移動(dòng)應(yīng)用程序安全。

安全沙箱：通過應(yīng)用虛擬安全沙箱，實(shí)現(xiàn)應(yīng)用運(yùn)行環(huán)境隔離，提供敏感權(quán)限控制、個(gè)人隱私保護(hù)、數(shù)據(jù)泄漏防護(hù)、數(shù)據(jù)加密保護(hù)、異常運(yùn)行環(huán)境和威脅攻擊監(jiān)測，增強(qiáng)移動(dòng)應(yīng)用業(yè)務(wù)數(shù)據(jù)和運(yùn)行時(shí)的安全性，保障移動(dòng)業(yè)務(wù)安全。應(yīng)用安全沙箱，支持應(yīng)用自動(dòng)打包和SDK開發(fā)集成兩種方式，同時(shí)提供安全鍵盤、數(shù)據(jù)加密和安全監(jiān)測等多種安全賦能SDK。

安全監(jiān)測：通過在業(yè)務(wù)應(yīng)用中置入輕量化安全監(jiān)測探針，從用戶、設(shè)備、應(yīng)用和行為等多方面進(jìn)行持續(xù)安全監(jiān)控，實(shí)時(shí)采集移動(dòng)業(yè)務(wù)的運(yùn)行環(huán)境、威脅攻擊、敏感操作和數(shù)據(jù)訪問等信息，經(jīng)過關(guān)聯(lián)統(tǒng)計(jì)分析、評估安全風(fēng)險(xiǎn)、產(chǎn)生異常告警、觸發(fā)響應(yīng)保護(hù)，并通過可視化的方式進(jìn)行多維度呈現(xiàn)，提供安全態(tài)勢感知能力，幫助管理人員掌握移動(dòng)業(yè)務(wù)安全的整體態(tài)勢，以便及時(shí)發(fā)現(xiàn)并規(guī)避移動(dòng)業(yè)務(wù)的威脅與風(fēng)險(xiǎn)，保障移動(dòng)業(yè)務(wù)安全。

應(yīng)用商店：在企業(yè)內(nèi)部搭建自有應(yīng)用商店，進(jìn)行眾多移動(dòng)應(yīng)用的上線分發(fā)和版本升級，實(shí)現(xiàn)應(yīng)用的集中管理和統(tǒng)一發(fā)布，獨(dú)立于第三方移動(dòng)應(yīng)用商店，有效避免移動(dòng)應(yīng)用的偽造和仿冒，保護(hù)移動(dòng)應(yīng)用安全。

方案特色

應(yīng)用全周期防護(hù)：通過移動(dòng)業(yè)務(wù)安全解決方案，針對企業(yè)自建移動(dòng)應(yīng)用，進(jìn)行應(yīng)用漏洞安全檢測、應(yīng)用代碼安全加固和應(yīng)用運(yùn)行狀態(tài)安全監(jiān)控，結(jié)合移動(dòng)應(yīng)用商店，實(shí)現(xiàn)移動(dòng)應(yīng)用從代碼開發(fā)、上線發(fā)布、安裝運(yùn)行到版本升級的全生命周期安全防護(hù)，達(dá)到移動(dòng)應(yīng)用的集中統(tǒng)一管理。

數(shù)據(jù)全周期保護(hù)：通過移動(dòng)業(yè)務(wù)安全解決方案，針對企業(yè)移動(dòng)數(shù)據(jù)，從移動(dòng)設(shè)備、移動(dòng)應(yīng)用和移動(dòng)內(nèi)容等多個(gè)方面，進(jìn)行文件內(nèi)容加密、頁面截屏防護(hù)、內(nèi)容復(fù)制限制、頁面數(shù)字水印、遠(yuǎn)程數(shù)據(jù)清除和恢復(fù)出廠設(shè)置等數(shù)據(jù)泄漏防護(hù)，實(shí)現(xiàn)移動(dòng)數(shù)據(jù)從產(chǎn)生、使用、傳輸、存儲(chǔ)到清除的全生命周期保護(hù)。

持續(xù)性安全監(jiān)測：通過移動(dòng)業(yè)務(wù)安全解決方案，針對證券移動(dòng)化面臨的移動(dòng)安全威脅，從用戶、設(shè)備、應(yīng)用和數(shù)據(jù)等多方面進(jìn)行持續(xù)性監(jiān)控，實(shí)時(shí)采集運(yùn)行環(huán)境、威脅攻擊、敏感操作和數(shù)據(jù)訪問等行為信息，經(jīng)過關(guān)聯(lián)統(tǒng)計(jì)分析，評估安全風(fēng)險(xiǎn)，產(chǎn)生異常告警，觸發(fā)響應(yīng)保護(hù)措施，感知企業(yè)移動(dòng)安全態(tài)勢。

滿足安全合規(guī)要求：證券移動(dòng)業(yè)務(wù)安全解決方案，通過等保2.0三級安全測評要求，可將方案能力輸出給企業(yè)移動(dòng)業(yè)務(wù)應(yīng)用，幫助應(yīng)用快速滿足國家及監(jiān)管部門合規(guī)性要求，減少移動(dòng)業(yè)務(wù)合規(guī)成本。