11月5日,由北京金融科技产业联盟、移动支付网联合主办的中国移动金融安全大会在深圳市大中华希尔顿酒店隆重召开,大会以“安全合规,‘面’向未来”为主题,近500名来自监管层、银行、支付机构等金融行业相关领域负责人,携手金融行业安全解决方案商齐聚一堂,共话金融信息安全,共谋金融科技的安全发展。能信安技术(www.nesun-tec.cn)作为移动互联安全领域解决方案提供商,受邀出席大会并做精彩主题演讲。
2019第四届中国移动金融安全大会现场
快速发展的移动互联网使得各种新业务、新业态不断涌现,在数字化转型的浪潮中,金融行业的数字化转型走在了前列,过去的一年,移动金融在生活场景化、便捷化方面更有着大幅的发展,但随着“智能+”时代的到来,随着等保2.0的发布,金融安全工作重点需要从强化关键信息基础设施安全保护、加快关键核心技术研发、企业如何加强自身安全防护体系建设来满足史上最严网络安全法等方面来进行。
商务合作交流
会上,能信安技术总监马小龙向全场与会来宾做《等保2.0时代金融行业移动互联安全合规解决方案》的主题演讲,着重对当前等保2.0政策进行了深入解读、剖析,并从等保2.0标准背景出发,结合移动互联安全合规解决方案框架、理念,等保2.0中的移动安全、移动应用安全现状,介绍了多个场景下的移动应用安全解决方案,并基于等级保护2.0标准体系建设思路,为企业提供高效的、可落地的安全合规咨询服务,助力金融企业走向安全合规之路。
能信安技术总监马小龙发表演讲
马小龙在演讲中指出,近年来基于移动互联的应用安全、无线安全、移动终端安全风险隐患重重,尤其在金融行业风险系数成倍增加。随着《网络安全法》、等保2.0等国家法律法规的相继出台,移动互联安全的重要性和必要性被广泛认知,金融行业明确要求以安全合规为基石,坚守金融业合规经营底线。
近日,中国信通院发布了一份《2019金融行业移动APP安全检测报告》,截至2019年9月11日,中国信通院的团队从232个安卓市场中收录了133327款金融行业APP:
1、70.22%的金融行业App存在高危漏洞;
2、8217款金融行业App被检测出恶意程序,感染率为6.16%;
3、20.48%的金融行业App被嵌入第三方SDK;
4、多款App存在不同程度的超范围索取用户权限的情况;
5、仅有17.08%的金融行业App进行了安全加固,超80%的金融行业App在“裸奔”。
在此背景下,能信安技术充分发挥自身在移动互联安全行业的技术优势,以等保2.0标准为依据,安全检测为驱动,安全加固为保障,安全防护为核心,构建理念先进、“三位一体”立体化移动互联安全合规解决方案,帮助金融行业安全合规,保障业务系统安全运行。
移动应用安全合规建议
1、移动应用业务功能对应的个人信息需要清晰明确,使用权限、收集用户信息应遵循最少够用原则;嵌入引用第三方SDK要对引入的业务功能、个人信息安全负责任的核实,个人信息收集、传输、存储、脱敏、删除等一系列管理需要规划合规;
2、应用软件开发完成后应采用专业的移动应用安全检测工具进行安全检测和风险评估,所选择的检测工具应尽量与专业测评机构所使用的工具保持一致;
3、根据风险评估结果对应用软件进行加固和整改,建议使用第三方的专业加固产品与服务。
移动终端安全合规建议
1、移动终端应纳入统一的移动终端管理系统的管控,并建立应用白名单机制;
2、定期对移动终端进行安全检测和风险评估,所选择的检测工具应尽量与专业测评机构所使用的工具保持一致;
无线网络安全合规建议
1、尽量选用具有终端设备准入控制功能的无线网络设备;
2、对接入终端设备进行审计,建立终端设备白名单,及时发现非法接入设备;
3、对无线网络环境进行扫描检测,及时发现和定位非法的无线接入设备。
等保2.0既是国家安全部署要求,也是金融业发展的硬性需求,开展网络安全等级保护是未来用户合规运营的必经之路。能信安技术将持续关注等级保护2.0的相关法规标准、市场动态,助力金融企业移动互联安全完成等保建设合规工作。