随着互联网技术的不断进步,互联网+金融的发展给我们生活带来了极大的便利,中国移动互联网金融从2014年开始呈爆发式增长,全年交易额超过20万亿元人民币。在过去的几年里,各种各样的移动金融APP逐渐占领我们手机的屏幕,在银行排队办理业务的时代似乎已经离我们很遥远,我们购物时也不用再从自动取款机取出大把的钞票去付钱,只需在手机APP上输入几个数字,然后轻轻按下确认键,剩下所有的事情都交给互联网处理了。
在我们享受移动金融APP带给我们极大便利的同时,黑暗中一双双眼睛也在悄悄的盯着移动金融APP这块令人垂涎的肥肉。是的,这里的用户数据最为真实和最为完整,这里是离钱最近也是最快捷的通道,而且APP含金量相当的高,就像在大海中流出血液一样,这充满诱惑力的血腥味必将会吸引无数鲨鱼的到来。于是我们可以看到,这几年针对移动金融APP的攻击持续不断,窃取用户数据、盗刷资金、薅羊毛等问题给移动金融行业的安全造成了极大的威胁,另外,也对用户的隐私和财产的安全造成了极大的损害,如果相关机构不能采取有效的措施,将会动摇人们对移动金融安全的信心。而且,黑客和黑产从业者的攻击技术和手段在快速的更新,一旦我们的防御能力不能与之相匹敌,出现“道高一尺魔高一丈”的技术代差,那么“人为刀俎我为鱼肉”的悲剧将不可避免的发生。
正是基于当前严峻的移动金融安全形势,2018年8月14日,中国人民银行办公厅下发《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》银办发〔2018〕146号(以下简称146号文),开展支付安全风险专项排查,认真贯彻落实《中国人民共和国网络安全法》,进一步加强支付领域网络与信息安全管理,有效防范支付风险,切实保障消费者合法权益。
146号文要求商业银行等金融从业机构对手机银行、移动支付等客户端应用软件进行安全漏洞、数据保护、环境监测等问题进行专项排查,大部分的检查细节来源于历年政策文件,如2016年的170号文和2017年208号文,可见这类安全问题对移动金融APP的威胁之大。146号文既是对商业银行、非银行支付机构等从业机构的一次安全检测,也是对在安全领域钻研多年的七七元素的一次考验。
七七元素的核心研发成员均为资深白帽子,创始人及核心高管均在信息安全领域从业平均10年以上,以深厚的安全背景、尖端的安全技术和专业的安全服务见长。公司专注于移动应用安全,致力于为政府机构、企业、移动互联网金融、第三方支付、视频娱乐、电商、O2O、游戏等领域提供全面技术保障及全生命周期平台化解决方案,塑造坚固、可信、绿色的新一代移动互联网生态环境。
针对人行146号文的支付安全风险专项检查,七七元素为商业银行、非银行支付机构等从业机构提供了一套ICEFIRE APP安全可视化解决方案,其ICEFIRE-MAS APP安全加固能够有效应对146号文中第1、6、7、13、20、35条的检查,ICEFIRE-MAS APP安全检测平台能够满足第14条的检查,而ICEFIRE-MAS APP态势感知平台能够帮助相关机构轻松通过第15、16条的检查。检查项与解决方案的详细情况如下:
第1条:原始身份验证信息不应明文保存在移动端本地。
七七方案:可以采用七七元素的ICEFIRE-MAS APP安全加固,对本地存储的数据、APP的资源文件进行加密保护,增强本地存储类型的文件和数据的安全性。
第6条:客户输入交易密码等信息时,客户端不应明文显示。
七七方案:采用安全键盘,能够对客户端输入的数据进行有效的保护,防止黑客窃取。
第7条:客户输入支付敏感信息时,应采用信息输入安全保护,即时数据加密等安全措施防止数据被获取。
七七方案:采用安全键盘,对客户端输入的数据进行加密保护、防止被篡改分析。
第13条:应采用防逆向工程保护措施,如客户端应用软件采取代码化指令、反调试、代码混淆等技术手段,防范攻击者对客户端应用软件的反编译分析。
第20条:客户端应用软件代码中不应存在以下安全问题,包括不限于:1.密钥硬编码在代码或资源文件中;2.存在位置权限和冗余权限,包括端不限于file访问权限;3.代码或配置文件中未清除测试信息。
七七方案:使用七七元素的ICEFIRE-MAS APP安全加固后,能够使APP具备防静态和动态层的攻击,不仅可以保证应用自身安全,还能达到代码不可逆、不可分析和不可篡改的效果。
第14条:客户端应用软件完整性应满足以下要求:1.应对客户端应用软件进行签名,标识客户端应用软件的来源和发布者,保证客户端下载的客户端应用软件来源可信机构;2.客户端应用软件和更新时,应进行真实性和完整性校验,防范客户端软件被篡改。
七七方案:使用七七元素的ICEFIRE-MAS APP渠道监控,可以对各大渠道论坛进行监控,扫描盗版和钓鱼应用,通过人工渗透测试(即采用模拟攻击的方式对目标应用进行渗透测试)能够挖掘潜在漏洞。
第15条:应从木马病毒防范,信息加密保护,运行环境可信等方面提升安全防控能力。
第16条:应能监控并向后台系统反馈手机支付环境安全状况,并将此作为风控策略的依据。
七七方案:ICEFIRE-MAS APP安全态势感知平台可以实时监测客户端在运行过程中的环境状态,并对病毒木马、运行时的工具风险和安全事件的问题进行检测,将收集到的风险统计结果发往目标服务器。
第35条:不应在日志中记录客户支付敏感信息。
七七方案:使用ICEFIRE-MAS APP安全加固,可以有效做到对敏感信息的保护,还可以对APP运行过程中所产生的关键日志进行屏蔽,防止核心的敏感数据通过日志输出。
这套能够有效帮助相关机构通过146号文的支付安全风险排查的ICEFIRE APP安全可视化解决方案,是基于终端(Android、iOS)信息采集及设备指纹技术,实时监控终端状态,对移动应用运行环境、风险攻击、应用异常状态等多维度信息进行深度关联分析,构建风险态势感知平台。ICEFIRE APP安全可视化利用大数据技术统计、分析、建模,呈现移动应用的安全态势,动态感知可疑设备、攻击痕迹、异常回报信息,实时预警安全威胁,全方位助力企业提高自我保护和风险控制能力。其中,ICEFIRE APP安全可视化方案包括:
ICEFIRE-MAS APP安全加固服务
ICEFIRE-MAS APP安全加固服务,从APP开发设计阶段到后期APP运维阶段提供完整的安全保护服务,有效应对目前应用常见的二次打包、数据窃取、代码逆向分析、进程注入、动态调试、交易劫持、盗版和钓鱼风险。
代码安全保护主要是对移动应用所有的代码进行完整加密,并将核心代码加密替换,在移动应用启动时选择合适时机进行内存解密后并依据相关业务流程继续执行。所有被加密的代码均在内存自行解密,手机客户端不残留任何明文代码文件,即任何被编译优化后的明文文件,具备高强度加密的安全特性。对关键的函数采用vmp进行保护,防止关键业务逻辑被逆向篡改分析。
ICEFIRE-MAS APP安全检测平台服务
该平台支持对Android和iOS的安全检测,精准定位待测目标的安全风险问题,采用静态检测引擎、动态检测引擎、模拟交互引擎,对应用进行组件安全检测、基本信息检测、签名检测、病毒检测、权限检测、代码安全检测、数据安全检测、通讯数据传输安全、身份认证安全、恶意攻击防护等十几大类别的检测。检测的风险项约百余项,全面挖掘应用存在的风险问题,并对检测出的安全风险问题提供对应的安全解决方案。
ICEFIRE-MAS APP态势感知平台服务
ICEFIRE-MAS APP态势感知能够对客户端运行环境进行实时监控,能够发现客户端的病毒木马和运行环境可信状况,对产生的风险进行跟踪、分析和规避,对发现的风险问题能够及时与服务端进行关联。
该平台的功能模块主要包括移动客户端环境监测模块、移动客户端行为刻画模块、移动客户端用户定位模块,每个模块相对独立又有关联性。环境监测模块为行为刻画提供基础数据的累积,用户定位模块的功能实现在对前述两方面数据深入挖掘及统计基础后,完成对用户及其相关联群体的形象刻画。
ICEFIRE-MAS APP网站安全服务
网页安全保护主要是对H5代码和JS代码做加固和混淆保护技术,七七元素通过研究对JS源代码进行词法分析、语法分析,分离出变量、常量、函数、关键字等,生成语法树,在此基础上进行变量改名变形、常量阵列化、加密,插入僵尸代码、加入反调试、域名锁定代码,平展控制流等等,重新生成JS代码,此时即完成JS代码加密保护。保护后的代码功能与原始完全一致,但已是加密形态,不可读、不可分析、不可调试、不可篡改、不可盗用。
该安全服务能够有效的保障网站、数据、帐号和交易的安全,实现防漏洞扫描、防0Day攻击、防应用层DDOS、防恶意爬虫、防拖库、防全站COPY、防敏感数据泄漏、防撞库、防薅羊毛等功能。
ICEFIRE-MAS APP数据防泄漏系统服务
数据防泄漏,是一种在通过在系统底层实现提供移动应用安全保护能力的技术,在无需获取应用源代码,也不需要Root权限、在代码零改造的基础上对应用形成一个虚拟安全域。在该安全域中即可实现各种移动业务安全运行的通用性需求:数据防泄露、应用功能安全调用、运行安全保护和隐私类保护等,也可以快速的适配实现企业其他个性化的网络安全保护和内容审计及其他需求。用户将机密数据控制在一个安全的区域,并能够了解用户的上网行为模式和进行行为监控,在企业开展移动业务的同时能够保证业务的安全运行。
ICEFIRE APP安全可视化解决方案兼容Android 、IOS 两大系统以及各个版本,其对硬件无依赖且不收集客户信息,可深度监测和精准定位威胁来源、目标、过程,完整的还原异常场景,并帮助客户对数据进行多维度建模和分析。工欲善其事必先利其器,想要获得客户的信赖,企业必须先建立起牢固的安全防御体系,而ICEFIRE APP安全可视化就是这样一把能够帮助您达成目标的利器。
457
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
