数字经济伴随信息革命浪潮快速发展, 数字化推动创新变革浪潮势不可挡,各行各业已逐步推进数字化转型,主动融入数字化创新大潮当中,金融保险行业也不例外。
为全面贯彻《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》要求,深化金融供给侧结构性改革,以数字化转型推动银行业和保险业高质量发展,银保监于2022年2月发布《关于银行业保险业数字化转型指导意见》,意见在业务经营管理数字化中指出“积极发展产业数字金融,打造数字化的产业金融服务平台,推进企业客户业务线上化,拓展线上渠道,丰富服务场景,加强线上线下业务协同”。指导意见的推出,标志着新一轮信息技术革命浪潮拉开序幕,各保险机构纷纷开始推进线上化变革,积极布局 APP 生态圈,以移动应用为核心实现流量和数据积累,不断提升智能化服务能力,打通互联网生态闭环。
01
困境:安全缺陷层出不穷,监管要求日趋严格
保险业务线上化使移动应用安全迎来挑战
基于数字化转型的时代背景,保险业 APP 在应用和普及的同时,也带来了相应的安全隐患。部分保险 APP 开发者和运营者安全意识淡薄,未进行加固就发布 APP,或开发过程中嵌入未经检测的第三方 SDK,导致 APP 存在高危漏洞或恶意程序等风险。APP 用户缺乏安全意识,或存在不安全的使用习惯,还会带来信息泄露等安全隐患。
中国信息通信研究院安全研究所发布的《数字金融 APP 安全观测报告(2020年)》通过对 2.5 万余款金融 APP 进行测试,发现 90% 的应用存在安全漏洞。其中键盘使用风险、ZipperDown 漏洞和 SO 文件破解问题分布数量位居前列。此外,报告团队使用恶意程序检测系统测试发现,大量应用存在隐私窃取、恶意扣费、系统破坏、远程控制等恶意行为,对终端用户的个人信息及财产带来巨大威胁。
报告团队针对 APP 侵害用户权益进行了专项测试,测试人员在多个应用分发平台上选取了银行、保险、证券各10款APP,共计 30 款典型金融 APP。检测发现,保险类APP 的安全问题占总数的47.06%,其中违规处理用户个人信息、设置障碍、频繁骚扰用户问题突出。
保险行业移动应用安全合规监管态势趋于严格
为规范移动应用安全,近两年工信部、网信办、国家计算机病毒应急处理中心等监管单位在大力开展 APP 隐私合规的执法检查的同时,保险行业方面的网络安全政策法规体系不断完善,法律法规密集出台,持续不断的监管动作也为保险企业敲响隐私保护的警钟。
2019年1月
四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,标志着应用隐私合规监管成为常态。
2019年9月
中国人民银行发布了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发[2019]237号),将 App 纳入到了金融科技产品认证的范畴。
2021年9月
银保监针对具体的移动业务场景发布了《关于加强人脸识别技术应用安全管理的通知》(银保监办便函1083号文),旨在强化对保险业应用人脸识别技术应用场景进行安全管控。
2021年10月
银保监发布针对保险移动应用的《保险移动应用信息安全基本要求》,这是目前针对保险应用最具指向性的标准,标准从移动客户端安全、移动应用服务端安全、业务安全纬度给出了安全技术要求,并从应用生命周期管理的角度给出了安全管理要求,此标准为保险机构建设企业移动安全体系提供了重点参考依据。
2022年6月
信通院云大所发布《金融APP人脸识别身份认证安全》,进一步从人脸识别算法安全、人脸数据传输安全、APP应用安全、身份认证业务安全、安全管理给出了人脸识别场景的细化要求,标志着国家对移动应用业务安全要求越来越细化,新型技术的应用要同步考虑安全建设。
基于保险业移动业务安全及国家对金融行业的监管要求,企业既要从根本上考虑移动应用安全的整体框架建设,构建闭环的安全体系,又要关注具体业务场景的安全问题,满足日益变化的业务发展需求和合规监管要求。
02
创新:梆梆安全保险业移动应用安全的建设思路
保险机构移动应用的整体安全架构可参考《保险移动应用信息安全基本要求》进行建设,即纵向围绕安全管理体系及技术体系进行规划,横向覆盖到应用开发的全生命周期,整体方案框架如下图:
四个体系+六个阶段,覆盖移动应用安全全生命周期
安全管理体系建设,需要建立分工明确、报告关系清晰的内部安全管理组织架构,设立移动应用信息安全相关技术和管理岗位,并制定明确的岗位职责要求和人员配置要求,在组织架构的基础智商构建安全管理制度,建立有效的应用安全开发生命周期管理机制,以保证软件全生命周期的安全性。
技术体系建设,在需求及设计阶段,依据标准中对与安装、卸载、身份及访问控制等关键场景的安全要求进行安全建设。此外,企业应具备威胁建模能力,能基于不同业务场景输出完整的安全需求及安全设计清单,用以指导开发人员进行代码实现,从而实现应用安全左移,避免因开发阶段考虑不够周全,导致大量安全漏洞在应用开发完成或上线后暴露,使整改难度和工作量增大。
开发阶段,通过引入安全组件,满足客户端及服务端相关要求,例如通过密钥白盒保证加密密钥安全,满足客户端算法安全要求;通过通信协议 SDK 保护敏感个人信息的传输安全,满足客户端数据安全要求;通过安全键盘 SDK 保证数据输入安全,满足服务端身份访问控制要求等。安全组件的引入除了能很大程度减少开发工作量,也能快速满足监管要求,例如防界面劫持 SDK,可以有效避免各省通管局经常通报的Android 应用界面劫持的安全问题。
测试阶段,需要涵盖白盒测试和黑盒测试手段,建设源代码检测、APP 通用安全检测、应用隐私合规检测机制,检测可以通过自动化工具结合人工的方式来落地,通过自动化或半自动化检测工具检测快速迭代的小版本应用,再通过人工测试满足大版本应用的合规检测需求。除此之外,在国家及金融行业重点排查的人脸识别等特定业务场景下,也需重点排查,此类排查目前主要依赖人工测试。
交付阶段,需要针对测试阶段排查到的问题进行整改,其中需要通过加固解决的问题,可直接通过加固解决,例如应用破解、调试注入等高危风险,加固举措既提高了应用的攻击破解门槛,又满足了客户端源代码的安全要求。
运营阶段,需要重点考虑客户端运行环境的监测和用户的异常行为分析。通过建立安全监测平台,主动对异常设备及异常应用进行识别,并结合用户行为对实时发生的风险进行及时的阻断。由于国内安卓应用市场鱼龙混杂,大量渠道疏于管理,可以任意上架企业旧版或仿冒类应用,就需要企业通过渠道监测服务主动监测、关注市场上存在安全隐患的旧版或仿冒类 APP,及时下架风险应用。
保险业移动应用安全的三期建设
保险业移动应用安全建设工作多样且复杂,既要满足科学的安全体系架构,又需要考量行业业务的特殊性,同时还要兼顾国家及行业的合规要求,其建设工作任重而道远,梆梆安全技术专家建议分三期来建设和落地整体安全架构。
一期建设,基于国家及行业的监管要求进行建设,目的在于满足合规要求。
开发阶段:密钥白盒、通信协议保护 SDK、防界面劫持 SDK、安全键盘 SDK
检测阶段:人工渗透测试、人工隐私合规服务、人脸识别专项测试服务
交付阶段:Android 加固、IOS 加固、小程序加固
运营阶段:离线版运行环境检测SDK(具备防root、防模拟器等简单前端风险判断能力)
二期建设,建设自动化提安全需求的能力,并补充针对快速迭代的小版本应用的检测手段,完善运营阶段的监测机制。
需求及设计阶段:EOC专家知识平台,协助企业基于业务需求自动化输出安全需求
检测阶段:APP 自动化检测平台
运营阶段:在线版安全监测平台、小程序安全监测平台、渠道监测服务
三期建设,进行 EOC 专家知识平台的能力升级,将所有开发流程与工具对接至专家知识平台,实现应用开发全流程的安全把控。同时完善安全检测工具,补充人工运营能力。
开发阶段:安全中台
检测阶段:源码检测平台/代码审计服务
运营阶段:基于安全监测平台的安全运营服务、渗透测试的人员驻场服务
党的二十大报告提出,要加快建设网络强国、数字中国。近年来,以数字化、智慧化为特征的金融科技创新与应用蓬勃发展。在“数字中国” 发展战略的引领下,我们要用“数字”来重新看待中国。
梆梆安全多年来在保险行业深耕发展,拥有丰富的金融行业服务经验和落地案例,为银行、保险、证券、期货、基金等各类金融行业用户打造多套移动应用安全解决方案,其中包括中国人寿、中国人民财险、中国人民健康保险、太平洋保险等。作为全球专业的安全服务提供商,梆梆安全正在运用领先技术服务于金融领域客户,帮助其打造安全、稳固、可信的金融科技生态环境。
推荐阅读
Recommended
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...