解读|银发〔2019〕237号,加强金融行业安全建设标准
2019-11-18 17:06阅读:
近日,
中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知。
本次发文不仅加强了金融行业的监管力度,更是明确了保险、证券、基金乃至互联网金融行业的安全建设标准,并将个人信息安全治理工作真正贯彻到了金融领域。
在这样的趋势下,应该如何理解并按照相关规定来执行,快速区分自身移动金融客户端应用软件的定位,并加强其安全管理,真正做到合规、安全,也是各大金融企业面临的一个问题。
《移动金融客户端应用软件安全管理规范》提出的安全要求分为基本要求和增强要求,所有相关客户端都应在满足基本要求的基础上,建议满足增强要求。
针对不同类型的软件应该做到:
- 资金交易类 应符合资金交易、信息保护等所有技术及管理安全要求;
- 信息采集类 应重点符合信息保护相关技术及管理安全要求;
- 资讯查询类 应符合相关客户端软件安全和管理要求。
1
客户端应用软件安全要求
安全要求中包含
身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全
等五大类要求。
此部分包含认证方式、认证信息安全、认证失败处理、密码的设定与重置4大项若干小项要求,涉及到应用安全、个人账户安全、个人金融信息安全等方面。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。
此部分包含逻辑安全设计、软件权限控制、风险控制、回退处理、异常处理等5大项若干小项要求,涉及到业务逻辑漏洞、软件权限获取、个人金融信息安全、业务风向等方面。所有金融App都应满
足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。
此部分包含组件安全、接口安全、抗攻击能力、客户端应用软件环境检测等4大项若干小项要求,涉及到不安全的第三方组件对于客户端安全的影响以及用户个人信息的获取、接口的非授权调用、抵御攻击的能力、客户端运行环境的监测等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类、资讯查询类。
此部分包含密码算法、密钥管理等2大项若干小项要求,涉及到对交易或重要操作的保护、密钥本身的保护等。所有金融App都应满足其基本要求,其中应重点关注资金交易类。
此部分包含数据获取、数据访问控制、数据传输、数据存储、数据展示、数据销毁等6大项若干小项要求,涉及到支付等敏感信息的泄露、关键交易数据的篡改、个人信息的保护、敏感信息的销毁等。所有金融App都应满足其基本要求,其中应重点关注资金交易类、信息采集类。
2
客户端应用软件管理要求
管理要求中包括设计要求、开发要求、发布要求、维护要求等四大类要求。针对软件的全生命周期提出了要求。
3
爱加密可提供的保障/支撑服务
爱加密专注于移动安全治理,以服务+产品的方式提供体系化的移动安全管理方案。多年来,通过对监管部门的支撑、权威研究机构的合作以及和大量行业客户的合作,爱加密积累了丰富的移动安全建设经验、技术和服务能力覆盖,针对银发〔2019〕237号文,爱加密可从如下几个方面提供安全解决方案。
提升安全防护能力
爱加密提供
移动客户端安全加固服务
,对移动应用客户端进行安全加固,提供对移动应用的综合防护,涵盖代码保护、数据保护、防调试、完整性保护,本地数据及传输数据的保护,防止交易等敏感页面的截屏和劫持,系统安全键盘等,支持对android、ios、H5、SDK等的防护。
加强个人金融信息保护
爱加密
移动应用个人信息安全检测平台
是针对移动应用可能出现的个人信息安全风险而推出的专业检测平台,该平台针对个人信息安全安全问题对移动应用移动应用提供多维度的验证,并出具专业的个人信息安全检测报告。其可以作为移动应用开发商针对个人信息安全方面的合规依据和整改依据。
提高风险监测能力
包括移动应用安全检测、移动应用发布渠道监测以移动应用威胁态势感知。可针对Android和iOS移动应用可能出现的安全风险进行专业移动App安全检测,提供多方位全面体检,自动检测并生成专业的安全检测报告,可为移动应用开发商提供专业的安全加固数据依据。开发者通过使用爱加密渠道监测服务可以方便的管理App所有推广渠道,一站掌握所有信息。渠道监测平台还可以帮助开发者第一时间发现盗版App,保护公司合法权益。
爱加密
移动威胁感知系统
(InfoBeat)可为金融企业提供移动威胁管控功能。通过对移动终端威胁数据的深入挖掘、分析,向用户提供相关威胁情报信息,同时也可实现对威胁源的定位和控制。能够实时监测多种类型攻击事件,并记录攻击事件的来源、目标、过程及攻击结果,多种类型攻击事件基本覆盖应用攻击事件行为种类。
