證券移動業務的(of)整體安全防護

乐泾达软件科技 高政偉

随着移動互聯網的(of)飛速發展和(and)移動終端的(of)普及，證券移動業務自2012年起，迎來(Come)了(Got it)迅猛發展，券商通過接入信息化來(Come)作(do)爲(for)提高競争力的(of)手段，各證券公司都相繼推出(out)了(Got it)自有的(of)移動應用(use)服務，基本涵蓋了(Got it)資訊、行情、開戶交易、轉賬、财富管理等多個(indivual)功能，成爲(for)連接證券企業與用(use)戶的(of)重要(want)接口。廣大(big)用(use)戶在(exist)享受便利的(of)同時(hour)也處于(At)移動安全的(of)風險之中，證券類移動應用(use)面臨着盜版軟件、隐私洩露、用(use)戶密碼被竊取、數據被修改等諸多風險。

1）移動應用(use)存在(exist)安全漏洞，應用(use)由不(No)同背景的(of)團隊開發，并且集成大(big)量三方SDK，程序代碼自身潛在(exist)的(of)安全漏洞風險和(and)敏感數據洩露，給移動業務帶來(Come)極大(big)的(of)安全威脅。

2）移動應用(use)存在(exist)破解風險，非法人(people)員借助第三方工具，對移動應用(use)進行逆向分析和(and)惡意破解，甚至篡改重新打包，導緻移動業務遭受重大(big)損失。

3）移動應用(use)存在(exist)非法攻擊，在(exist)應用(use)運行過程中，威脅攻擊可能随時(hour)發生(born)，若不(No)能實時(hour)防護，将無法保障移動應用(use)的(of)安全可靠運行，影響移動業務的(of)正常開展。

4）移動應用(use)較多管理困難，移動應用(use)較多，管理起來(Come)比較麻煩，上(superior)線發布渠道混亂，下載和(and)版本升級的(of)出(out)口衆多，容易帶來(Come)應用(use)僞造和(and)仿冒風險。

近些年，金融類移動應用(use)被盜版、被破譯、數據失竊的(of)事件屢見不(No)鮮，一(one)旦移動應用(use)遭遇黑客攻擊，将會給企業和(and)用(use)戶帶來(Come)直接的(of)經濟損失。結合證券行業，這(this)些風險也極有可能導緻交易APP被植入惡意程序後再傳播，導緻用(use)戶的(of)密碼或其它信息被盜，或者黑客利用(use)漏洞攻入券商的(of)移動服務端，或者客戶被釣魚而錢款被惡意轉賬等風險。

移動業務安全整體防護

針對證券行業移動業務存在(exist)的(of)安全風險，方案通過安全檢測、安全加固、安全沙箱、安全監測和(and)應用(use)商店，構建移動業務的(of)整體安全防護體系，實現移動業務應用(use)的(of)全生(born)命周期防護，保障證券移動業務安全。

安全檢測：通過逆向分析和(and)源碼還原，采用(use)靜态特征匹配、動态行爲(for)分析、人(people)機交互模拟和(and)數據流關聯分析等多種自動化掃描方式，發現應用(use)程序中存在(exist)的(of)安全漏洞和(and)數據洩露，同時(hour)支持個(indivual)人(people)隐私保護條款和(and)第三方SDK訪問權限的(of)多維度檢測，針對應用(use)存在(exist)的(of)安全風險，給出(out)詳細的(of)檢測報告和(and)整改建議，并在(exist)必要(want)時(hour)輔以(by)人(people)工安全滲透檢測，争取在(exist)移動應用(use)上(superior)線發布前，解決應用(use)程序存在(exist)的(of)安全漏洞。

安全加固：采用(use)虛拟機保護機制、JAVA2C和(and)白盒加密技術，通過對移動應用(use)程序進行自動化加殼，實現移動應用(use)的(of)防逆向分析、防動态調試、防篡改二次打包、敏感數據保護和(and)異常運行環境監測，保障企業移動應用(use)程序安全。

安全沙箱：通過應用(use)虛拟安全沙箱，實現應用(use)運行環境隔離，提供敏感權限控制、個(indivual)人(people)隐私保護、數據洩漏防護、數據加密保護、異常運行環境和(and)威脅攻擊監測，增強移動應用(use)業務數據和(and)運行時(hour)的(of)安全性，保障移動業務安全。應用(use)安全沙箱，支持應用(use)自動打包和(and)SDK開發集成兩種方式，同時(hour)提供安全鍵盤、數據加密和(and)安全監測等多種安全賦能SDK。

安全監測：通過在(exist)業務應用(use)中置入輕量化安全監測探針，從用(use)戶、設備、應用(use)和(and)行爲(for)等多方面進行持續安全監控，實時(hour)采集移動業務的(of)運行環境、威脅攻擊、敏感操作(do)和(and)數據訪問等信息，經過關聯統計分析、評估安全風險、産生(born)異常告警、觸發響應保護，并通過可視化的(of)方式進行多維度呈現，提供安全态勢感知能力，幫助管理人(people)員掌握移動業務安全的(of)整體态勢，以(by)便及時(hour)發現并規避移動業務的(of)威脅與風險，保障移動業務安全。

應用(use)商店：在(exist)企業内部搭建自有應用(use)商店，進行衆多移動應用(use)的(of)上(superior)線分發和(and)版本升級，實現應用(use)的(of)集中管理和(and)統一(one)發布，獨立于(At)第三方移動應用(use)商店，有效避免移動應用(use)的(of)僞造和(and)仿冒，保護移動應用(use)安全。

方案特色

應用(use)全周期防護：通過移動業務安全解決方案，針對企業自建移動應用(use)，進行應用(use)漏洞安全檢測、應用(use)代碼安全加固和(and)應用(use)運行狀态安全監控，結合移動應用(use)商店，實現移動應用(use)從代碼開發、上(superior)線發布、安裝運行到(arrive)版本升級的(of)全生(born)命周期安全防護，達到(arrive)移動應用(use)的(of)集中統一(one)管理。

數據全周期保護：通過移動業務安全解決方案，針對企業移動數據，從移動設備、移動應用(use)和(and)移動内容等多個(indivual)方面，進行文件内容加密、頁面截屏防護、内容複制限制、頁面數字水印、遠程數據清除和(and)恢複出(out)廠設置等數據洩漏防護，實現移動數據從産生(born)、使用(use)、傳輸、存儲到(arrive)清除的(of)全生(born)命周期保護。

持續性安全監測：通過移動業務安全解決方案，針對證券移動化面臨的(of)移動安全威脅，從用(use)戶、設備、應用(use)和(and)數據等多方面進行持續性監控，實時(hour)采集運行環境、威脅攻擊、敏感操作(do)和(and)數據訪問等行爲(for)信息，經過關聯統計分析，評估安全風險，産生(born)異常告警，觸發響應保護措施，感知企業移動安全态勢。

滿足安全合規要(want)求：證券移動業務安全解決方案，通過等保2.0三級安全測評要(want)求，可将方案能力輸出(out)給企業移動業務應用(use)，幫助應用(use)快速滿足國(country)家及監管部門合規性要(want)求，減少移動業務合規成本。