上訊信息 高政偉

隨著移動互聯網的飛速發展和移動終端的普及，證券移動業務自2012年起，迎來了迅猛發展，券商通過接入信息化來作為提高競爭力的手段，各證券公司都相繼推出了自有的移動應用服務，基本涵蓋了資訊、行情、開戶交易、轉賬、財富管理等多個功能，成為連接證券企業與用戶的重要接口。廣大用戶在享受便利的同時也處于移動安全的風險之中，證券類移動應用面臨著盜版軟件、隱私泄露、用戶密碼被竊取、數據被修改等諸多風險。

1）移動應用存在安全漏洞，應用由不同背景的團隊開發，并且集成大量三方SDK，程序代碼自身潛在的安全漏洞風險和敏感數據泄露，給移動業務帶來極大的安全威脅。

2）移動應用存在破解風險，非法人員借助第三方工具，對移動應用進行逆向分析和惡意破解，甚至篡改重新打包，導致移動業務遭受重大損失。

3）移動應用存在非法攻擊，在應用運行過程中，威脅攻擊可能隨時發生，若不能實時防護，將無法保障移動應用的安全可靠運行，影響移動業務的正常開展。

4）移動應用較多管理困難，移動應用較多，管理起來比較麻煩，上線發布渠道混亂，下載和版本升級的出口眾多，容易帶來應用偽造和仿冒風險。

近些年，金融類移動應用被盜版、被破譯、數據失竊的事件屢見不鮮，一旦移動應用遭遇黑客攻擊，將會給企業和用戶帶來直接的經濟損失。結合證券行業，這些風險也極有可能導致交易APP被植入惡意程序后再傳播，導致用戶的密碼或其它信息被盜，或者黑客利用漏洞攻入券商的移動服務端，或者客戶被釣魚而錢款被惡意轉賬等風險。

移動業務安全整體防護

針對證券行業移動業務存在的安全風險，方案通過安全檢測、安全加固、安全沙箱、安全監測和應用商店，構建移動業務的整體安全防護體系，實現移動業務應用的全生命周期防護，保障證券移動業務安全。

安全檢測：通過逆向分析和源碼還原，采用靜態特征匹配、動態行為分析、人機交互模擬和數據流關聯分析等多種自動化掃描方式，發現應用程序中存在的安全漏洞和數據泄露，同時支持個人隱私保護條款和第三方SDK訪問權限的多維度檢測，針對應用存在的安全風險，給出詳細的檢測報告和整改建議，并在必要時輔以人工安全滲透檢測，爭取在移動應用上線發布前，解決應用程序存在的安全漏洞。

安全加固：采用虛擬機保護機制、JAVA2C和白盒加密技術，通過對移動應用程序進行自動化加殼，實現移動應用的防逆向分析、防動態調試、防篡改二次打包、敏感數據保護和異常運行環境監測，保障企業移動應用程序安全。

安全沙箱：通過應用虛擬安全沙箱，實現應用運行環境隔離，提供敏感權限控制、個人隱私保護、數據泄漏防護、數據加密保護、異常運行環境和威脅攻擊監測，增強移動應用業務數據和運行時的安全性，保障移動業務安全。應用安全沙箱，支持應用自動打包和SDK開發集成兩種方式，同時提供安全鍵盤、數據加密和安全監測等多種安全賦能SDK。

安全監測：通過在業務應用中置入輕量化安全監測探針，從用戶、設備、應用和行為等多方面進行持續安全監控，實時采集移動業務的運行環境、威脅攻擊、敏感操作和數據訪問等信息，經過關聯統計分析、評估安全風險、產生異常告警、觸發響應保護，并通過可視化的方式進行多維度呈現，提供安全態勢感知能力，幫助管理人員掌握移動業務安全的整體態勢，以便及時發現并規避移動業務的威脅與風險，保障移動業務安全。

應用商店：在企業內部搭建自有應用商店，進行眾多移動應用的上線分發和版本升級，實現應用的集中管理和統一發布，獨立于第三方移動應用商店，有效避免移動應用的偽造和仿冒，保護移動應用安全。

方案特色

應用全周期防護：通過移動業務安全解決方案，針對企業自建移動應用，進行應用漏洞安全檢測、應用代碼安全加固和應用運行狀態安全監控，結合移動應用商店，實現移動應用從代碼開發、上線發布、安裝運行到版本升級的全生命周期安全防護，達到移動應用的集中統一管理。

數據全周期保護：通過移動業務安全解決方案，針對企業移動數據，從移動設備、移動應用和移動內容等多個方面，進行文件內容加密、頁面截屏防護、內容復制限制、頁面數字水印、遠程數據清除和恢復出廠設置等數據泄漏防護，實現移動數據從產生、使用、傳輸、存儲到清除的全生命周期保護。

持續性安全監測：通過移動業務安全解決方案，針對證券移動化面臨的移動安全威脅，從用戶、設備、應用和數據等多方面進行持續性監控，實時采集運行環境、威脅攻擊、敏感操作和數據訪問等行為信息，經過關聯統計分析，評估安全風險，產生異常告警，觸發響應保護措施，感知企業移動安全態勢。

滿足安全合規要求：證券移動業務安全解決方案，通過等保2.0三級安全測評要求，可將方案能力輸出給企業移動業務應用，幫助應用快速滿足國家及監管部門合規性要求，減少移動業務合規成本。