近日,中国支付清算协会发布了《移动金融客户端应用软件安全检测规范》(以下简称《规范》)和《商业银行应用程序接口安全管理检测规范》。作为移动信息安全综合服务提供商,爱加密深耕金融领域多年,拥有丰富的安全检测、防护经验,爱加密将会对此两个规范进行逐一解读,从而帮助金融机构更好的满足合规要求。
《移动金融客户端应用软件安全检测规范》,规定了移动金融客户端应用软件的安全要求,以及客户端应用软件设计、开发、维护和发布的管理要求。本标准适用于移动金融客户端软件检测机构,检测认证机构对相关产品、应用系统进行安全性和标准符合性测试和认证。客户端应用软件在设计、开发、集成和维护阶段也可以参照使用。
《规范》的发布,意味着移动金融客户端的安全检测有明确的检测标准和要求,《规范》明确了检测目的、检测方法、通过标准以及增强要求。检测机构、金融机构可依据《规范》展开自查、评估和安全建设工作。主要包括“客户端应用软件安全要求”与“客户端应用软件管理要求”两个部分,并给出了资金交易类、信息采集类和资讯查询类等各类软件的适用范围。客户端应用软件安全要求包含五大方面要求,32个检测项。客户端应用软件管理要求包括设计、开发、发布、维护四个环节的要求。
针对《规范》的检测要求,爱加密可提供全方位的检测及安全防护服务,覆盖“客户端应用软件安全要求”与“客户端应用软件管理要求”的相关内容。
01
安全及个人隐私合规评估
爱加密可以为用户提供移动客户端安全、接口安全及个人隐私合规评测服务,并依据《信息安全技术 个人信息安全规范GB/T 35273-2017 》、《关于开展App违法违规收集使用个人信息专项治理的公告》、《银发237号文》、《个人金融信息保护技术规范JR/T0171-2020》、《移动金融客户端应用软件安全检测规范》、《商业银行应用程序接口安全管理检测规范》等标准规范。服务方式为工具检测及人工渗透服务,服务范围包含本规范要求的全部检测要求。
- 身份认证安全
- 逻辑安全
- 安全功能设计
- 密码算法及密钥管理
- 数据安全
- 设计要求
- 开发要求
- 发布要求
- 维护要求
02
安全开发规范制定及培训
大多数安全风险是由安全开发不规范引起的。爱加密可以为用户提供针对开发人员的安全开发培训,为开发人员树立安全理念,使其充分认识开发环节中存在的不安全因素、开源框架、组件等。
涉及到的检测要求:
5.1 设计要求:
检测目的:检查是否具有指导客户端应用软件设计与开发的总体方案,是否提供易用、风格统一、体验良好的用户界面,客户端应用软件对个人金融信息的收集和个人信息修改是否符合要求。客户端应用软件所采用的智能语音交互技术是否满足相关要求。
03
源代码审计服务
源代码检测可在开发生命周期阶段的早期及时发现问题,找到问题的根源,改进代码质量,提高攻击门槛。爱加密源代码审计平台可提供:源代码安全检测、自动化测试任务、项目源代码安全评级、安全漏洞协同审计、安全漏洞趋势报告、安全测试数据统计、安全漏洞测试标准发布、安全漏洞测试策略管理、安全漏洞知识学习、安全编码经验分享等多项功能。帮助开发者、测试者和管理者在一个平台上方便、简单地完成相关软件安全测试。
涉及到的检测要求:
5.2 开发要求:
1) 检查开发过程是否遵守规范的开发流程、项目管理流程和编码安全规范,是否进行测试,发现开发环境中可能存在的漏洞;
2) 确保开发过程中有完整的、可追溯的描述文档;
3) 确保面向用户提供了正确的、完整的、友好的指导文档;
4) 是否具有规范的发布流程。
04
传输加密SDK
采用传输加密SDK,实现移动应用客户端与服务端数据交互时的传输加密,传输加密SDK采用一次一密的加密方式,每次传输时采用的加密算法不同,即使传输数据被非法截获,攻击者也无法第一时间获取所有传输数据的明文,以此保障数据传输时的安全。
涉及到的检测要求:
4.5.3 数据传输——4.5.3.2 数据保密性:
检测目的:检查敏感数据在本地程序组件间或通过公共网络传输时,是否采取措施(如加密等)确保其保密性。
05
安全键盘SDK
通过采用安全键盘SDK,规避系统自带键盘可能被非法劫持的风险,安全键盘在进行数据传输时对数据进行加密,保证传输数据不被非法获取,为支付数据、敏感信息传输提供安全保障。
涉及到的技术要求:
4.1.2.1 安全输入:
检测目的:检查使用客户端应用软件输入认证信息时是否具有安全性措施。
06
移动应用安全加固
爱加密提供移动客户端安全加固服务,对移动应用客户端进行安全加固,包括防逆向、防篡改、反调试、防劫持、数据防泄漏、页面数据防护等功能,同时包括加固包的压缩优化等。支持移动客户端、SDK 、小程序、H5等类型应用的加固。
07
移动应用态势感知/清场保护SDK
移动应用安全清场SDK通过采集威胁行为数据和安全事件日志,帮助客户对终端上存在的危险环境以及危险行为进行预知判断,并将结果反馈给应用,由应用对终端环境的检测结果进行处理。防止应用被调试攻击、防止应用被注入攻击、防止绕过环境检测机制、防劫持、防模拟器、ROOT/越狱检测等。
爱加密移动威胁态势感知平台,通过对移动应用的实时数据采集,收集应用在使用过程中的安全信息,通过数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源从而帮助企业安全管理人员掌握移动业务的整体安全态势的数据平台。
涉及到的检测要求:
4.3.4 客户端应用软件环境检测:
检查客户端应用软件是否具有检测运行环境的能力,是否在检测到运行环境处于ROOT或者已越狱、非可信环境(如模拟器或虚拟机)等异常环境时向后台系统反馈设备环境信息等。
来源:freebuf.com 2020-11-27 10:49:57 by: 爱加密123
请登录后发表评论
注册