11月3日,由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。银行卡检测中心(国家金融科技测评中心)信息安全技术总监李博文以《移动金融App风险防控》为主题,进行了分享。
金融App关系金融安全
随着移动互联网的发展,金融App成为金融流量的主要入口。2020年新冠疫情的突发,利用App服务金融数字化进一步加快。
不同于专用的金融设备,App基于通用的消费者终端(手机、PAD等)和开放式的架构实现,使用场景不可控性更高。
而金融互联互通的特性,使App风险引发的传导进一步加快。由于风险传播路径长、风险隐藏进一步加深,发现和补救成本高。
李博文认为,金融App关系金融安全,需要建立多维度的风险防控机制。
他表示,金融App安全主要问题来自于三个方面:
1.身份认证机制不健全。目前,为便捷而被普遍采用的短信验证、手机号验证等受攻击风险突出,移动端的数字证书普遍采用软实现,安全强度较差;
2.系统安全机制不健全。Android操作系统的JAVA代码反编译问题突出,操作系统存储权限控制差,隐私保护机制脆弱,SE/TEE等安全机制普及度有待提高;
3.发布管理机制不健全。应用商城、网站、论坛等发布渠道混乱,审核机制参差不齐,App迭代速度加快,新旧版本交替存在,版本管理困难。
金融App风控策略
基于目前金融App的现状和存在的问题,金融App的风控册策略要怎么做呢?
首先是坚持体系化防控思路,加强标准引领作用,要通过标准的要求、指导、统一,提升金融行业安全认知。目前标准关注点有三个,软件安全与运行环境安全、数据安全保护和开发生命周期。
其次是实现风险防控常态化,推进行业自律。2019年10月,移动金融客户端纳入首批金融科技产品认证目录。App在通过安全认证后,将发布到金融备案平台,纳入自律监管;如有微小的变更,则报送变更信息,及时提交最新的登记版本;但如果有重大的变更,则需要重新进行安全认证,更新最新版本;需要下架,则通知备案平台进行标注。
最后是强化监管科技应用,强化技防能力,提升金融行业管理能力。按照人民银行对金融科技应用风险防范“可知、可析、可控”的总体要求,健全风险态势感知、分析评估及预警处置等方面能力。国家金融科技测评中心搭建金融科技应用风险监控平台,在漏洞发现、信息保护、版本检测、舆情感知等方面,全面加强对金融App的安全保护。
移动金融App风险防控的未来趋势
在分析当下移动金融App的相关风险及风控措施之后,李博文在三方面对移动金融App的未来风险防控进行分析。
一是,需要适应数字金融新态势。目前的相关风险防控已经从“App”向“API”转移,不仅仅要防控自身风险,还需要将风险防控覆盖到泛金融App,与此同时防控范围逐渐从金融机构自身辐射向相关合作伙伴,并且加强对API漏洞的监测。面对开放银行的新形势,关注因API内生安全能力不足的风险,和API业务组合复杂的问题,尤其关注API的敏感信息交互、数据泄露、权限滥用等。
二是,需要建设风险防控新能力。在深入底层数据逻辑的指令级追踪、强化漏洞风险主动探测能力、建立硬件级沙箱等技术,将被动的“已知”风险防控向主动积极预测“未知”风险的方向发展。
三是,需要适应普惠金融新局面。在很多视障、听障人群,老年人,少数民族无法享受到普惠金融的情况下,许多金融机构正在探索新的服务技术,其中包括音视频。在此背景下,相关机构需研究音视频金融服务风险,使信息无障碍与金融安全达到平衡。
展开全文
- 移动支付网 | 2020/11/17 17:33:44
- 移动支付网 | 2020/11/10 10:42:37
- 移动支付网 | 2020/11/9 17:36:19
- 移动支付网 | 2020/11/9 15:53:34
- 移动支付网 | 2020/11/9 14:16:26
- 移动支付网 | 2020/11/9 11:31:07
- 移动支付网 | 2020/11/9 10:12:30
- 移动支付网 | 2020/11/9 10:09:33
- 移动支付网 | 2020/11/9 9:46:47
- 移动支付网 | 2020/11/9 9:32:11
- 移动支付网 | 2019/11/6 18:19:06
- 移动支付网 | 2019/10/22 9:00:34
- 移动支付网 | 2022/7/26 10:45:50
- 移动支付网 | 2022/5/31 17:14:16
- 移动支付网 | 2022/4/22 11:25:38