记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

要点解读 |《证券期货业移动互联网应用程序安全检测规范》

2022-03-15 11:30

近年来,随着移动应用程序的飞速发展,移动应用的安全性也受到了越来越多的重视,尤其在金融行业,移动应用因数字化转型得到全面深化和革新,伴随的安全挑战也越来越严峻。证券期货业作为金融行业的重要组成部分,移动应用体系正在不断建设和完善。对于证券期货业来说,在移动应用快速便捷的证券业务服务之下,潜藏着诸多影响行业健康发展的安全隐患。

为防范和化解安全风险,自网络安全上升到国家战略以来,维护网络安全的相关法律规范陆续出台,《证券期货业移动互联网应用程序安全检测规范》(以下简称《规范》)是近日证监会发布的规范之一。

《规范》规定了证券期货业移动互联网应用程序安全检测的总体要求及检测方法等,适用于信息安全检测服务、移动互联网应用程序的安全测试评估、自动化安全检测工具的设计与开发等。业内人士称,《规范》的制定实施,将统一行业对移动互联网应用程序的安全要求,提高移动互联网应用程序的安全性,增强行业机构移动业务信息安全能力,有效防范相关安全风险。

01《规范》检测程序类型

  • 办公类移动互联网应用程序
  • 信息披露类移动互联网应用程序
  • 业务办理类移动互联网应用程序
  • 证券期货交易类移动互联网应用程序
  • 证券期货业其他参与机构(信息技术服务机构)发布的非交易类、非业务办理类移动互联网应用程序

02《规范》要点解读

为全面防范证券期货业移动互联网应用程序安全风险,《规范》对移动终端安全提出了细致的检测要求和检测方式,主要包含应用程序保护、移动终端环境、密码安全、开发安全、安全审计等几个维度。

  • 应用程序保护:

防逆向:移动应用需采取防动态调试、代码混淆、防逆向等技术对关键代码、核心逻辑进行保护。

输入保护:移动应用需采取自定义键盘、随机键盘位、防范键盘窃听技术等措施保障输入信息的机密性。

外部资源授权:移动应用在移动端上与个人信息相关数据进行操作,未得到用户许可前,不允许访问、修改、删除移动终端上与个人信息相关的数据。

授权提示:获取移动终端系统上与个人信息相关权限,以明显方式提示用户获取该权限的目的,包括但不限于图标、文字和声音提示等,并得到用户许可。

完整性校验:应用需具备完整性校验机制,防止被重签名和二次打包。

  • 移动终端环境:

运行环境安全:移动应用程序客户端需具备运行环境安全性检测功能,对诸如移动终端操作系统是否已被获取最高管理员权限、是否运行于虚拟环境等内容进行检测,并提示发现的风险。

进程保护:移动应用程序启动及运行过程,应采取相应的进程保护措施,防止非法程序获取该进程的访问权限。

异常监测:对应用进行实时监测,并向后台系统反馈移动终端环境安全状况,在必要时停止应用运行。

  • 密码安全:

存储安全:密码不以任何形式明文保存在移动终端的本地存储上,防止应用被逆向之后造成敏感数据泄露。

传输安全:密码在传输过程中不以明文的形式传输,采用符合国家密码主管部门认可的密码算法对密码进行保护,防止敏感信息泄露。

  • 开发安全:

上线测试:在应用开发完成正式上线前,对应用进行安全测试,以实现版本迭代过程中的安全把控,保证上线应用的安全。

残留信息保护:不允许密码和密钥在缓存和日志中输出。

  • 安全审计:

调试日志:应用程序不允许向操作系统提供开发过程的调试日志,防止应用被调试攻击。

个人信息保护:应用程序依据《APP违法违规收集使用个人信息行为认定方法》,需完全满足个人信息保护要求。

03证券期货业移动安全合规解决方案

针对证券期货业移动互联网应用程序安全,梆梆安全自主打造的“证券期货业移动安全合规解决方案”提供从底层代码加固、测评检查、运行安全监测到安全运营的全流程闭环移动应用程序保护方案。

 梆梆安全证券期货业移动安全合规解决方案   架构图

为全面维护证券期货业移动应用安全,梆梆安全按照移动应用生命周期阶段将该方案分为:应用安全保护、安全与合规检测、运行安全监测、安全运营、安全制度和标准体系、安全和运营保障体系六个部分。

  • 应用安全保护:

方案通过代码加固、代码混淆等技术,利用梆梆安全自研的代码加固平台对Android应用、iOS应用以及其他轻应用等进行加固处理,帮助客户解决应用反编译、调试攻击等问题,避免发布之后的应用被反编译代码并引发应用盗版等安全风险,满足《规范》相关要求:

5.1移动终端安全中的防逆向、输入保护、完整性校验、运行环境安全;

5.2身份鉴别中的存储安全、传输安全;

5.5开发安全中的残留信息保护;

5.6安全审计中的调试日志。

  • 安全与合规检测:

方案采用自动化检测以及人工辅助检测等手段,通过梆梆安全的安全合规检测平台、安全测评平台以及人工安全服务对应用进行合规检测与安全测评,帮助客户解决应用合规以及应用安全的问题,避免在应用发布之后出现应用不合规的风险,满足《规范》:

5.1移动终端安全中的外部资源授权、授权提示;

5.5开发安全中的上线测试;

5.7安全审计中的个人信息保护。

  • 运行安全监测:

方案通过在应用中植入探针等技术,利用梆梆安全渠道监测平台、应用安全监测平台以及API安全平台对全网600+应用市场、应用运行过程以及运行环境的对外接口等进行全方位监测,帮助客户解决应用盗版、运行过程中的隐私泄露、屏幕共享等风险,避免应用出现盗版以及在运行过程中被窃取相关敏感信息等情况的发生,满足《规范》5.1移动终端环境中的运行环境安全、异常监测等要求。

  • 安全运营:

方案通过日常安全运营、产品使用培训以及应用运行数据分析,实时把控应用运行状况,帮助客户应对突发安全事件,避免突发安全事件对企业造成负面影响,维护客户声誉。

  • 安全制度和标准体系:

方案通过建立专业化安全制度和标准体系,对移动应用运营过程中的安全事件处理、信息访问权限设定等进行规范化管理,帮助客户在移动应用运营过程中避免人为误操作所带来的安全风险。

  • 安全和运营保障体系:

方案通过建立安全和运营保障体系,对应用高标准、高要求提升移动端安全保障和风险防控能力,构建全方位、多层次、一致性的安全防护体系,保障客户移动应用安全平稳运行。

梆梆安全作为移动安全的领跑者,深耕网络安全领域十余年,形成了成熟可信自主研发的政企、金融、运营商、物联网、交通、能源、教育、医疗等行业的专业网络安全解决方案。目前,梆梆安全证券期货业移动安全合规解决方案已赋能行业诸多客户,为证券、保险、基金等泛金融类机构提供专业的产品、解决方案和安全服务,帮助客户提升移动应用全生命周期风险防控能力,逐步完善安全体系及个人隐私合规长效机制,并最终保护移动应用使用者的信息安全,营造健康持续、安全可信的智能生活环境。


知识来源: https://www.aqniu.com/vendor/81701.html

阅读:167089 | 评论:0 | 标签:移动 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“要点解读 |《证券期货业移动互联网应用程序安全检测规范》”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁