beat365官方最新版 高政伟
随着移动互联网的飞速发展和移动终端的普及,证券移动业务自2012年起,迎来了迅猛发展,券商通过接入信息化来作为提高竞争力的手段,各证券公司都相继推出了自有的移动应用服务,基本涵盖了资讯、行情、开户交易、转账、财富管理等多个功能,成为连接证券企业与用户的重要接口。广大用户在享受便利的同时也处于移动安全的风险之中,证券类移动应用面临着盗版软件、隐私泄露、用户密码被窃取、数据被修改等诸多风险。
1)移动应用存在安全漏洞,应用由不同背景的团队开发,并且集成大量三方SDK,程序代码自身潜在的安全漏洞风险和敏感数据泄露,给移动业务带来极大的安全威胁。
2)移动应用存在破解风险,非法人员借助第三方工具,对移动应用进行逆向分析和恶意破解,甚至篡改重新打包,导致移动业务遭受重大损失。
3)移动应用存在非法攻击,在应用运行过程中,威胁攻击可能随时发生,若不能实时防护,将无法保障移动应用的安全可靠运行,影响移动业务的正常开展。
4)移动应用较多管理困难,移动应用较多,管理起来比较麻烦,上线发布渠道混乱,下载和版本升级的出口众多,容易带来应用伪造和仿冒风险。
近些年,金融类移动应用被盗版、被破译、数据失窃的事件屡见不鲜,一旦移动应用遭遇黑客攻击,将会给企业和用户带来直接的经济损失。结合证券行业,这些风险也极有可能导致交易APP被植入恶意程序后再传播,导致用户的密码或其它信息被盗,或者黑客利用漏洞攻入券商的移动服务端,或者客户被钓鱼而钱款被恶意转账等风险。
移动业务安全整体防护
针对证券行业移动业务存在的安全风险,方案通过安全检测、安全加固、安全沙箱、安全监测和应用商店,构建移动业务的整体安全防护体系,实现移动业务应用的全生命周期防护,保障证券移动业务安全。
安全检测:通过逆向分析和源码还原,采用静态特征匹配、动态行为分析、人机交互模拟和数据流关联分析等多种自动化扫描方式,发现应用程序中存在的安全漏洞和数据泄露,同时支持个人隐私保护条款和第三方SDK访问权限的多维度检测,针对应用存在的安全风险,给出详细的检测报告和整改建议,并在必要时辅以人工安全渗透检测,争取在移动应用上线发布前,解决应用程序存在的安全漏洞。
安全加固:采用虚拟机保护机制、JAVA2C和白盒加密技术,通过对移动应用程序进行自动化加壳,实现移动应用的防逆向分析、防动态调试、防篡改二次打包、敏感数据保护和异常运行环境监测,保障企业移动应用程序安全。
安全沙箱:通过应用虚拟安全沙箱,实现应用运行环境隔离,提供敏感权限控制、个人隐私保护、数据泄漏防护、数据加密保护、异常运行环境和威胁攻击监测,增强移动应用业务数据和运行时的安全性,保障移动业务安全。应用安全沙箱,支持应用自动打包和SDK开发集成两种方式,同时提供安全键盘、数据加密和安全监测等多种安全赋能SDK。
安全监测:通过在业务应用中置入轻量化安全监测探针,从用户、设备、应用和行为等多方面进行持续安全监控,实时采集移动业务的运行环境、威胁攻击、敏感操作和数据访问等信息,经过关联统计分析、评估安全风险、产生异常告警、触发响应保护,并通过可视化的方式进行多维度呈现,提供安全态势感知能力,帮助管理人员掌握移动业务安全的整体态势,以便及时发现并规避移动业务的威胁与风险,保障移动业务安全。
应用商店:在企业内部搭建自有应用商店,进行众多移动应用的上线分发和版本升级,实现应用的集中管理和统一发布,独立于第三方移动应用商店,有效避免移动应用的伪造和仿冒,保护移动应用安全。
方案特色
应用全周期防护:通过移动业务安全解决方案,针对企业自建移动应用,进行应用漏洞安全检测、应用代码安全加固和应用运行状态安全监控,结合移动应用商店,实现移动应用从代码开发、上线发布、安装运行到版本升级的全生命周期安全防护,达到移动应用的集中统一管理。
数据全周期保护:通过移动业务安全解决方案,针对企业移动数据,从移动设备、移动应用和移动内容等多个方面,进行文件内容加密、页面截屏防护、内容复制限制、页面数字水印、远程数据清除和恢复出厂设置等数据泄漏防护,实现移动数据从产生、使用、传输、存储到清除的全生命周期保护。
持续性安全监测:通过移动业务安全解决方案,针对证券移动化面临的移动安全威胁,从用户、设备、应用和数据等多方面进行持续性监控,实时采集运行环境、威胁攻击、敏感操作和数据访问等行为信息,经过关联统计分析,评估安全风险,产生异常告警,触发响应保护措施,感知企业移动安全态势。
满足安全合规要求:证券移动业务安全解决方案,通过等保2.0三级安全测评要求,可将方案能力输出给企业移动业务应用,帮助应用快速满足国家及监管部门合规性要求,减少移动业务合规成本。
此处放标题
内容暂无