2019中国金融科技产业峰会丨爱加密魏超：移动金融风险防护建设浅析

2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上，爱加密移动安全研究院的魏超副院长带来了《移动金融风险防护建设浅析》主题演讲。

大家下午好！

首先说说我们对金融科技的看法

今年颁发一系列的法律法规对金融科技的相应要求，包括移动金融应用的个人信息，以及国家网安法等保2.0的要求，它最主要是为了促进金融行业能够稳定有序的发展。其二是科技对于5G、移动应用、智能技术、区块链、云计算的应用，给金融行业带来了相应的创新和实际的活动。

我们看看移动金融目前最主要的两个形态：第一个是输出。对于输入来说，金融行业希望更多拉新，更多新用户融入到金融平台来，成熟信息科技相应技术打包，输出到各个互联网平台中来。第二个是引进，把移动金融行业现有的客户黏度更高，能够添加什么扩展类金融服务，将现有客户更多进行积极性调度。输出和引进对环境的开放可能带来风险，这是现在移动金融带来的问题。

今年8月份，中国人民银行印发出了《金融科技发展规划（2019-2021年）》，发展规划对金融APP的稳定提出了相应的要求，对网上银行、手机银行等业务系统监测提出了相应要求，这是以往没有提出过的。对于业务系统在互联网的监测作为金融安全建设核心重要的一环，对金融行业资产比如APP资产在环境之下可能出现的仿冒、盗用以及可能出现的个人信息泄露而造成的风险。前两天，最高检和最高法发布对个人信息违法违规的解读，个人信息超过500条之后就会有相应的刑事处罚。提高到这样严重的高度，这对金融行业特别是P2P这些掌握大量用户信息的企业，对于移动应用出口的安全有更高的要求。包括银监会的通知和去年的护网行动以及今年年初四部委联合发布的开展APP违法违规收集使用个人信息专项治理，惩处现在也有相应的依据，是非常合适的合规点。

从国家监管来说，金融企业如何保证自合规？相应的方式有哪些？包括我们自营的APP，包括我们赋能的SDK。之所以我们做SDK或者API银行，就是将银行的自身包裹出去或者把互联网的能力拉进来，在开放过程中可能出现的问题。目前我们现在关注的是个人信息，之后可能是金融数据以及市场数据，向金融数据安全上发展。总体职责上希望：第一，保证企业自身的安全；第二，我们向外输出的能力，包括SDK或者第三方SDK的合规性会不会给我们企业带来风险是一个大问题；第三，保证互联网应用生态的合规，响应国家安全政策，主动提升自身安全能力，保障人民的财产安全。

二、移动互联网环境恶劣

2018年，新增恶意APP数量新增283万余个，最主要的是恶意扣费、短信或者违规采集个人信息等问题。上面的案例我就不着重说了，包括墨迹天气的事情在央视报道。

这是个人信息泄露事件，涉及破解之后或者被网络中间人劫持，将个人重要的信息提取出来。当然，个人信息泄露案件为什么能够组成完整的一环？最主要的是个人信息获利在黑产或者安全行业里形成了完整的利益链，所以个人信息泄露才会如此的严重。包括相应的平台或者APP有越权或者滥权行为，越权或者滥权行为并不会对个人形成单体的危害，它可能形成群体危害，比如将你的通讯录或者通话和录音进行收集。再加上之后有5G或者AI，把个人情况、设备情况、实际环境信息也暴露，最后在互联网上完整还原了个人的家庭生态和金融生态，这样就变成非常的可怕。

这是举去年个人所得税APP的例子，这款APP刚出来第二天，就出来几十个类似于个人所得税仿冒的APP，包括一些征信的。现在我们去网上搜某某银行，下面有个某某银行使用助手、某某银行的使用帮助等相应APP，这些APP也都是大量含着恶意广告和广告代码的短信扣费，严重就是个人信息收集等问题，这些问题非常猖獗。

第三方SDK现在也暗藏各种玄机，比如我们结合第三方SDK，它暗藏代码，之前看到某个页面上架前承载一些功能，这在BS架构PC时代非常容易理解，页面刷新指向不同地址以后功能都发生了变化，变成借贷的或者推送一些广告，还涉及到赌博等问题。这些第三方SDK带来的问题会不会成为我们金融企业自身的问题？这在APP运行初期和测试阶段是不会发生的，只有APP在用户端运行一段时间状态之后才能出现，也比较巧妙的规避检测上的风险。那么他们什么时候发生、什么时候触发，状态是不是需要监测，这就是金融企业需要考虑的问题。因为毕竟第三方SDK在使用时，如果它的合规性得不到保障，我们作为主体单位会受到相应的危害。

这是相应的智能终端环境，我们统计全国移动发布渠道，北京、广东差不多有100多个应用下载渠道，包括智能终端操作系统，安卓的、阿里的等等。我们想说的是，如果单作为一个企业、一个监管单位来面临这个事情，这么多移动市场、这么多不同操作系统版本以及相应可能出现的问题或风险，移动操作系统带来的不同风险或者危害是我们APP端无法自身解决的，这是一个实际的问题所在。那么我们如何来符合监管的要求，如何来解决我们APP自身的安全？这是我们要考虑的事情。

这是刚才的总结，首先是技术层面环境复杂，其次是管理层面监管复杂。我们的思路是这样：首先，自身肯定要安全防护，包括动态静态检测和运营安全防护，以及有没有考虑移动运营全生命周期的状态监测，包括有没有从开发者、从应用市场、从监管层面要求，比如我们现在有些应用需要相应的认证以后才能进入应用市场，通过这样的方式保证应用安全和企业的利益。

三、爱加密防护体系建设

包括：事前检测能力、事中防护响应能力、安全加固、事后智能监管。这是我们首家提出来对于APP个人信息安全检测，隐私条款合规性检测，权限检测、静态检测、动态分析等等，得到监管机构和CCRC相关认可，做个人信息安全检测的服务。

安全风险漏洞这点比较明确，你自身的问题，基本信息的，包括组件的、包括原文件的这些。当然，组件有数据的、身份认证的和安全策略的相应的风险。这归结为两段，第一，操作系统给应用带来的风险，第二，应用自身所含的风险，我们把这两部分检测出来就OK。

第三方SDK的检测，我们更趋向于提供两点技术能力，一个是个人隐私，一个是恶意行为。包括本身SDK未说明或者未声明的功能可能潜藏着数据或者动态信息，监管比较严格的APP可能自身没有问题，但是突然发现向美国或者加州、洛杉矶发送数据，也许这些数据是商业服务器部署造成的威胁，但是如果因为这个原因纵使不合规也是不值得的，所以对这点进行着重检测是我们对第三方SDK检测重点。包括病毒、超范围采集这些全新的检测，我们也会相应的提供。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!