11月3日，由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。银行卡检测中心（国家金融科技测评中心）信息安全技术总监李博文以《移动金融App风险防控》为主题，进行了分享。

金融App关系金融安全

随着移动互联网的发展，金融App成为金融流量的主要入口。2020年新冠疫情的突发，利用App服务金融数字化进一步加快。

不同于专用的金融设备，App基于通用的消费者终端（手机、PAD等）和开放式的架构实现，使用场景不可控性更高。

而金融互联互通的特性，使App风险引发的传导进一步加快。由于风险传播路径长、风险隐藏进一步加深，发现和补救成本高。

李博文认为，金融App关系金融安全，需要建立多维度的风险防控机制。

他表示，金融App安全主要问题来自于三个方面：

1.身份认证机制不健全。目前，为便捷而被普遍采用的短信验证、手机号验证等受攻击风险突出，移动端的数字证书普遍采用软实现，安全强度较差；

2.系统安全机制不健全。Android操作系统的JAVA代码反编译问题突出，操作系统存储权限控制差，隐私保护机制脆弱，SE/TEE等安全机制普及度有待提高；

3.发布管理机制不健全。应用商城、网站、论坛等发布渠道混乱，审核机制参差不齐，App迭代速度加快，新旧版本交替存在，版本管理困难。

金融App风控策略

基于目前金融App的现状和存在的问题，金融App的风控册策略要怎么做呢？

首先是坚持体系化防控思路，加强标准引领作用，要通过标准的要求、指导、统一，提升金融行业安全认知。目前标准关注点有三个，软件安全与运行环境安全、数据安全保护和开发生命周期。

其次是实现风险防控常态化，推进行业自律。2019年10月，移动金融客户端纳入首批金融科技产品认证目录。App在通过安全认证后，将发布到金融备案平台，纳入自律监管；如有微小的变更，则报送变更信息，及时提交最新的登记版本；但如果有重大的变更，则需要重新进行安全认证，更新最新版本；需要下架，则通知备案平台进行标注。

最后是强化监管科技应用，强化技防能力，提升金融行业管理能力。按照人民银行对金融科技应用风险防范“可知、可析、可控”的总体要求，健全风险态势感知、分析评估及预警处置等方面能力。国家金融科技测评中心搭建金融科技应用风险监控平台，在漏洞发现、信息保护、版本检测、舆情感知等方面，全面加强对金融App的安全保护。

移动金融App风险防控的未来趋势

在分析当下移动金融App的相关风险及风控措施之后，李博文在三方面对移动金融App的未来风险防控进行分析。

一是，需要适应数字金融新态势。目前的相关风险防控已经从“App”向“API”转移，不仅仅要防控自身风险，还需要将风险防控覆盖到泛金融App，与此同时防控范围逐渐从金融机构自身辐射向相关合作伙伴，并且加强对API漏洞的监测。面对开放银行的新形势，关注因API内生安全能力不足的风险，和API业务组合复杂的问题，尤其关注API的敏感信息交互、数据泄露、权限滥用等。

二是，需要建设风险防控新能力。在深入底层数据逻辑的指令级追踪、强化漏洞风险主动探测能力、建立硬件级沙箱等技术，将被动的“已知”风险防控向主动积极预测“未知”风险的方向发展。

三是，需要适应普惠金融新局面。在很多视障、听障人群，老年人，少数民族无法享受到普惠金融的情况下，许多金融机构正在探索新的服务技术，其中包括音视频。在此背景下，相关机构需研究音视频金融服务风险，使信息无障碍与金融安全达到平衡。