備案來襲，金融APP監管持續加碼

近日，中國互聯網金融協會（下稱"互金協會"）公布首批移動金融客戶端應用軟件實名備案名單，名單包括33家金融機構的73款客戶端軟件，分別來自銀行、證券、基金、保險、支付等領域。在完成第一批試點機構備案后，互金協會將在全國范圍內開展客戶端軟件備案推廣工作。可以預見，未來金融APP備案將會成為監管的常態手段之一。

實際上，近年隨著金融與科技的加速融合和移動金融普及性、重要性的提升，國家一直在對金融移動應用的安全性進行治理。自2017年起，互聯網金融各細分領域的規范政策相繼出臺，對金融APP的安全運行提出了諸多監管要求：

2017年12月，央行、銀監會發布《關于規范整頓"現金貸"業務的通知》；

2018年8月，央行下發《中國人民銀行辦公廳關于開展支付安全風險專項排查工作的通知》，開展支付安全風險專項排查；

2019年1月，中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》；

2019年9月，央行發布《移動金融客戶端應用軟件安全管理規范》；11月，公安機關網安部門集中查處整改了100款違法違規APP及其運營的互聯網企業，其中金融類APP是重災區，光大銀行、天津銀行、天津農商行赫然在列。

2020年2月，央行發布新版《網上銀行系統信息安全通用規范》，融合了《密碼法》、等保2.0等多項法律法規，從安全標準、安全觀、安全風險等多個角度對網上銀行提出了新要求。

2020年2月，央行發布《個人金融信息保護技術規范》，從個人金融信息全生命周期管理的角度，要求強化個人金融信息風險識別和監控、建立健全風險事件處置機制、保障個人金融信息主體合法權益。

監管背后，金融APP安全風險升級

然而，即使監管日趨嚴格，金融APP由于安全問題"上頭條"的新聞卻仍然屢見不鮮。移動金融在給人們生活帶來極大便利的同時，其自身的安全問題并不容樂觀。尤其是近幾年針對金融APP的攻擊持續不斷，除了傳統的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調試等問題，還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲、通過外掛程序或群控設備薅羊毛等業務安全隱患。應用與業務的深度交叉，讓金融行業的安全問題更加棘手。

一方面，金融行業其實已經采取了眾多安全手段，但現有的防護大多聚焦于應用側的安全防護，無論是客戶端APP加固還是服務器端Web應用防火墻，都只能解決非常有限的問題。遺留的其他威脅，如非法第三方APP、構造數據包模擬合法用戶請求、批量接口調用獲取數據等問題則需要新的安全解決方案。

另一方面，這類針對移動應用及業務融合的新型攻擊和威脅，超過90%都是借助自動化工具實現，它們在基于真實用戶身份和信息的基礎上，使用模擬器，能夠偽造瀏覽器環境、UA、分布式IP等，模擬合法業務邏輯，實現批量業務操作。在這個攻防對抗的過程中，防守方處于弱勢，無法通過攻擊特征識別、請求頻率限制等方式有效應對。

瑞數APP動態安全 - 端到端一體化防護解決方案

針對以上兩方面的問題，瑞數信息提出APP 動態安全（APP BotDefender）的端到端一體化防護解決方案，以"動態防護"技術為核心，覆蓋對客戶端、數據傳輸、服務器端的威脅防控，為各類金融APP、H5及混合業務提供提供強大的安全防護能力；同時，利用AI人機識別等智能技術，甄別非法客戶端和仿冒正常請求的各類已知及未知自動化攻擊，防止攻擊者對線上業務造成破壞與交易欺詐，保障用戶數據安全及業務穩定運行。

端：APP客戶端安全

·    設備唯一性識別：通過設備指紋唯一標識來源客戶端，實現精準身份管理與監控

·    運行環境監測：檢測客戶端是否處于可信環境，感知模擬器、越獄狀態、群控程序

管：通信層安全

·    動態加密：對APP請求及服務器響應數據一次性加密，防止數據偽造和中間人攻擊

·    動態令牌：賦予每個客戶端請求一次性令牌，防止重放攻擊和API接口惡意調用

云：服務器端安全

·    APP合法性驗證：識別合法APP，可以拒絕被篡改、重打包等非法第三方APP訪問

·    一體化安全防護：可以同時對APP、H5、WebView、網頁進行防護，無需多次部署

·    自動化攻擊防護：驗證請求是否由真實客戶端發起，杜絕撞庫、薅羊毛、爬蟲等攻擊

·    用戶行為訪問控制：對不可信的設備、賬戶及用戶行為，提供靈活響應及多種攔截方式

如今，金融APP的廣泛應用已經深入滲透到人們生活的方方面面，但其安全防護能力的薄弱也使得用戶的財產安全及信息安全受到威脅。因此，監管常態化、規范化勢在必行，而金融APP及其運營企業也應當借助創新的安全策略，從合規、技術、實踐等多個方面守住"安全紅線"，合力打造更為健康優質的金融生態環境。