1、标准背景
近来年,金融客户端应用软件安全合规要求一直是央行等监管单位关注的重点。近日,由中国支付清算协会以及中国互联网金融协会共同起草的《T/PCAC 0007-2020移动金融客户端应用软件安全检测规范》正式发布,而此次规范文件也是引用了《JR/T 0092—2019 移动金融客户端应用软件安全管理规范》,《JR/T 0164—2018 移动金融基于声纹识别的安全应用技术规范》以及《JR/T 0171—2020 个人金融信息保护技术规范》,是JR/T 0092合规的进一步落地,更是对APP个人隐私合规要求的明确说明。
根据标准内容不难看出,该标准进一步细化明确了移动金融客户端应用软件的安全要求以及客户端应用软件设计、开发、维护和发布的管理要求,从如何检测到如何达标均给出了非常详尽的说明,这无疑为企业合规评估指出了更明确的方向,将极大促进移动金融客户端应用软件安全与管理要求合规落地。
2、标准覆盖范围
移动金融客户端应用软件安全检测规范适用于移动金融客户端软件检测机构,客户端应用软件在设计、开发、集成和维护阶段也可以参照使用。本标准也适用于检测认证机构对相关产品、应用系统进行安全性和标准符合性测试和认证。
其中客户端应用软件分为资金交易类、信息采集类和资讯查询类。资金交易类客户端直接面向用户提供资金交易服务,需要完全满足规范要求;信息采集类客户端不直接向用户提供资金交易服务,但需要采集个人敏感信息,因此隐私合规仍然需要强满足,除了数据回退处理以及防篡改抗抵赖其他方面则需要全部满足;资讯查询类客户端仅提供金融产品推介、信息查询、资讯推送等服务,因此重点需要满足软件权限以及应用本身开发与设计要求。
3、标准要求
移动金融客户端应用软件安全检测规范在第4章节、第5章节对移动金融客户端软件安全及管理要求做出了明确说明,其架构与JR/T 0092—2019要求一致,并将测试目的、检测方法、通过标准逐项明确。
一、客户端应用软件安全要求
检测规范重点针对身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理以及数据安全提出了明确的测试指标及通过标准。
1、身份认证安全
此项强调检测客户端身份认证方式、认证信息安全等的输入和展示、认证失败处理机制以及密码的设定与重置方面的安全性,其中认证信息安全性需要开发者重点检查认证信息输入时是否具有安全性措施,并强调以客户端应用软件在输入账户登录密码、卡支付密码和网络支付交易密码等认证信息时采用了替换输入框原文、逐字符加密、字符加密、防范键盘窃听、自定义软键盘,或者通过其他方式保证攻击测试无法获取输入信息的明文作为通过标准。这就对开发者采用的安全软件盘提出了相应的安全能力要求,除了对输入信息的加密能力之外,安全软件盘本身的安全性也需要开发者重点关注,要确保安全软件盘加密算法符合国密要求。
2、逻辑安全
此项强调了逻辑安全设计、软件权限控制以及风险控制等方面的要求,其中逻辑安全需要开发者对于认证、校验、交易处理等业务场景进行测试,确保不存在逻辑漏洞,与此同时规范要求客户端代码不存在调用具有已知安全漏洞的函数,不存在敏感数据硬编码等安全问题。针对应用层安全问题,开发者可以利用自动化的检测工具进行全面检查,与此同时,针对安全风险,采取相应的加固手段更是防止客户端代码被逆向调试的有力举措。此外,软件的权限控制则对应到APP隐私合规的相关要求。需要注意的是,金融客户端的隐私合规除了需要满足行业要求,还需满足认定方法等标准要求。
3、安全功能设计
此项强调了组件安全、接口安全、客户端抗攻击能力以及环境检测的检测要求,检测主体从客户端主体到集成第三方SDK、H5、服务端接口,要求的更加全面,通过标准则是从安全防护、安全检测、客户端运行环境监测全方位考量,从规范中可以看出,应用安全检测、安全防护、运行环境安全监测已经成为金融行业客户端安全能力建设的必要手段。
4、密码算法及密钥管理
此项重点强调了密码算法以及密钥管理,对密码算法、密钥长度都做了相关的要求,值得注意的是密钥保护也成为通过标准中的要素,因此开发者需要在开发阶段即采取密钥保护措施。
5、数据安全
此项则是从数据获取、访问控制、数据传输、数据存储、数据展示、数据销毁即数据安全全生命周期角度提出要求,其中数据获取不仅需要考虑个人金融信息收集的合规,还需要考量客户端的防篡改、防注入、防调试等高危风险漏洞,开发者需要从检测到加固做好全面防护。数据传输则是以针对不同场景的安全防护能力作为通过标准,需要对金融客户端进行逐一的渗透测试以检查薄弱点,点对点整改,此外,针对数字签名,为了保证数据传输的安全性,同样要考量密钥管理条款的通过标准,增加对加密密钥的保护。
二、客户端应用软件管理要求
检测规范中重点针对设计要求、开发要求、发布要求、维护要求提出了明确的测试指标及通过标准。
1、设计要求
此项是检查是否具有指导客户端应用软件设计与开发的总体方案,是否提供易用、风格统一、体验良好的用户界面,客户端应用软件对个人金融信息的收集和个人信息修改是否符合要求,客户端应用软件所采用的智能语音交互技术是否满足相关要求。其中通过标准中针对金融客户端个人隐私信息合规提出了具体要求,不得违反0171等相关规范。这就要求金融客户端在开发设计环节就需要将隐私合规需求考量到位,将开发安全基线与合规需求相融合,而面对众多合规要求,如何将合规需求融入开发基线,将合规嵌入开发设计环节,是金融企业需要重点关注的内容。
2、开发要求
此项重点检查开发过程是否遵守规范的开发流程、项目管理流程和编码安全规范,是否进行测试,发现开发环境中可能存在的漏洞,并确保开发过程中有完整的、可追溯的描述文档等。企业需要建立完善的SDLC安全开发流程,并需确保左右业务流程在请求、响应、存储、配置等功能中未存在漏洞。企业可配备安全工具对各节点源代码进行审计。
3、发布要求
此项是检查发布过程是否遵守规范的上线发布流程,检查应用软件的上线、发布、安装、更新过程中的安全保护机制。通过标准中强调需要具有规范的客户端应用软件上线发布流程,发布过程符合发布流程,发布记录完整;应用软件进行签名和保护,标识应用软件的来源和发布者;提供官方的下载获取渠道,下载渠道安全可靠。针对此项要求,企业需要建立完善的发布流程并记录发布信息,对所发布的客户端应用进行签名保护,同时提供官方下载链接;同时企业有责任对非官方链接及第三方引流平台的客户端应用进行渠道监测,防范金融客户端被二次打包、仿冒或钓鱼版本的出现。
4、运维要求
此项是检查客户端应用软件运维是否遵守规范的日常运维流程,检查客户端应用软件版本升级、卸载清除过程中的安全保护机制。通过标准中强调以SDK等形式对外提供金融交易类服务时,要记录SDK信息及引用本SDK的外部应用软件信息。除了SDK以外,根据目前监管趋势,开发者可将H5也同样考虑在内,外发SDK/Html5需要记录SDK/Html5信息及引用SDK/Html5的外部应用软件信息,同时可对外发SDK/Html5进行防盗用保护,并采取集成探针的方式对外发SDK/Html5的宿主APP进行实时监测。
4、梆梆安全能力概览
在梆梆安全看来,《T/PCAC 0007-2020移动金融客户端应用软件安全检测规范》是金融行业推进数字化经济转型最具参考性和执行性的标准之一,从检测目的、检测方法、通过标准、增强要求逐一阐述了移动应用软件客户端安全及管理合规的具体要求,是一套科学的安全管理办法,是加快推进数字化经济转型的强心剂,而企业则需要具备从方法到目标的落地能力,标准的细化代表着行业对于移动客户端软件安全的高度关注以及落地合规的决心。企业需要提前做好部署。
在移动数字经济快速发展的今天,梆梆安全依托于自身在移动安全多年的技术积累,帮助企业建立完善安全技术及管理体系,输出科学安全建设方案将安全能力嵌入整个软件开发生命周期(SDLC),实现覆盖软件生命周期全流程的闭环安全能力,涵盖安全需求分析、安全设计、安全开发、安全测试及安全运维环节。服务范围从SDLC咨询、安全组件、检测、防护、监测、运维等多个层级为金融客户合规落地做有力支撑,为国内众多数字化经济转型的先驱者保驾护航。
来源:freebuf.com 2020-12-02 10:05:03 by: 梆梆安全
请登录后发表评论
注册