互联网
首页  >  互联网  >  网络生活

移动金融殇在安全,移动产品需要怎样的安全体系

2017-05-08  来源:przhushou  作者:admin

从IT时代到DT时代,数据变得越发敏感和透明,如何为海量数据提供可靠的安全支撑就成了企业安全部门工作的重中之重。2013年6月,第三方支付平台“支付宝”正式推出了新型金融产品“余额宝”,这一产品的出现在市场上引起了不小的关注。我们知道,传统金融是指只具备存款、贷款和结算三大传统业务的金融活动。互联网金融泛指互联网技术和金融功能的有机结合,依托大数据和云计算在开放的互联网平台上形成的功能化的金融业态及其服务体系。而余额宝的出现意味着互联网金融的触角已经延伸到了理财即传统金融的范围里,而随着技术发展,传统金融不断的转型,互联网与传统的金融边界变得也越来越模糊。

如今的“互联网金融”业务涉猎范围越来越广,理财、保险、P2P、借贷等都成为了市面上的主流产品。这些产品依托的基本都是移动端,传统金融机构也越来越依赖互联网技术,为用户提供很多可以通过移动端完成的个人业务。

随着移动端的兴起,传统的安全防护已经不能守护移动安全。目前常见的移动端攻击形式有对移动应用的程序、数据、业务逻辑、系统环境等内容进行静态、动态的破解,以获取应用安装卸载的过程、用户数据的输入、存储处理、网络传输以及所处系统环境等方面的漏洞,从而发起攻击。主流的攻击方式主要有系统使用键盘和输入法攻击、界面截取、本地数据窃取、用户隐私窃取、反编译源码、网络交互协议抓取等。

举个例子,现在通过监听系统键盘或第三方输入法等方式来导致用户信息泄露已经是一种常见的被攻击现象,信息很容易泄露到不法分子手中,一旦追究起来会给厂商和用户带来巨大的威胁。

那么金融相关行业应该如何部署移动端安全?致力于为金融行业提供专业服务的移动信息安全服务商爱加密针对这个问题给出了答案。爱加密CEO郭训平认为,确保移动端安全问题并不是仅靠单一的技术和单一的产品就可以实现的:“从构建的体系角度来讲,移动安全应该覆盖APP(移动金融)在移动业务的整个生命周期,包括事前、事中和事后。事中指的是即时防御,事前和事后则是比较容易被忽略的部分。APP在发布前需要经过开发和测试,即事前阶段,要在APP本身的技术和服务不被影响的前提下保证这个阶段的安全,能够提前发现问题、整改问题。事后阶段要确保上线后有一定的保护设施,比如上线后整个防护体系和业务体系融合效果如何。现在爱加密的银行用户,类似建行、中行、农行的用户已经过亿了。在用户使用银行移动业务当中风险状况如何?APP有没有问题?有没有被篡改过?如果有的话,在哪些渠道能下载?几个亿用户当中有没有人下载这些有问题的APP?针对这些问题,好的防护系统应该能起到监控的效果。所以,构建好的移动安全防护体系要注意以下两点,第一,要覆盖客户业务的基本信息;第二就是应该覆盖事前、事中、事后整个周期,至少需要是个闭环。加固确实能够解决安全问题,但是这只能解决用户在使用过程中的某一个方面的问题。”

显然,移动端防护是在移动端兴起以后才逐渐被广泛应用的技术,但是相比较于PC端的应用和防护历史,移动安全绝对算得上是新兴产业,正是因为相关产业链的不够成熟,导致很多APP在安全方面没有很好的参考。作为APP安全的领头羊,爱加密表示,爱加密APP安全方案在企业用户中得到了广泛的应用,不过,针对移动应用的安全防护领域才刚刚进入大众视野,而如何在未来形成有效的应用安全治理机制,仍需要政府、企业、公众的多方参与。

关键词:

相关新闻