爱加密解读|《移动金融客户端应用软件安全检测规范》

近日，中国支付清算协会发布了《移动金融客户端应用软件安全检测规范》（以下简称《规范》）和《商业银行应用程序接口安全管理检测规范》。作为移动信息安全综合服务提供商，爱加密深耕金融领域多年，拥有丰富的安全检测、防护经验，爱加密将会对此两个规范进行逐一解读，从而帮助金融机构更好的满足合规要求。

《移动金融客户端应用软件安全检测规范》，规定了移动金融客户端应用软件的安全要求，以及客户端应用软件设计、开发、维护和发布的管理要求。本标准适用于移动金融客户端软件检测机构，检测认证机构对相关产品、应用系统进行安全性和标准符合性测试和认证。客户端应用软件在设计、开发、集成和维护阶段也可以参照使用。

《规范》的发布，意味着移动金融客户端的安全检测有明确的检测标准和要求，《规范》明确了检测目的、检测方法、通过标准以及增强要求。检测机构、金融机构可依据《规范》展开自查、评估和安全建设工作。主要包括“客户端应用软件安全要求”与“客户端应用软件管理要求”两个部分，并给出了资金交易类、信息采集类和资讯查询类等各类软件的适用范围。客户端应用软件安全要求包含五大方面要求，32个检测项。客户端应用软件管理要求包括设计、开发、发布、维护四个环节的要求。

针对《规范》的检测要求，爱加密可提供全方位的检测及安全防护服务，覆盖“客户端应用软件安全要求”与“客户端应用软件管理要求”的相关内容。

安全及个人隐私合规评估

爱加密可以为用户提供移动客户端安全、接口安全及个人隐私合规评测服务，并依据《信息安全技术个人信息安全规范GB/T 35273-2017 》、《关于开展App违法违规收集使用个人信息专项治理的公告》、《银发237号文》、《个人金融信息保护技术规范JR/T0171-2020》、《移动金融客户端应用软件安全检测规范》、《商业银行应用程序接口安全管理检测规范》等标准规范。服务方式为工具检测及人工渗透服务，服务范围包含本规范要求的全部检测要求。

身份认证安全
逻辑安全
安全功能设计
密码算法及密钥管理
数据安全
设计要求
开发要求
发布要求
维护要求

安全开发规范制定及培训

大多数安全风险是由安全开发不规范引起的。爱加密可以为用户提供针对开发人员的安全开发培训，为开发人员树立安全理念，使其充分认识开发环节中存在的不安全因素、开源框架、组件等。

涉及到的检测要求：

5.1 设计要求：

检测目的：检查是否具有指导客户端应用软件设计与开发的总体方案，是否提供易用、风格统一、体验良好的用户界面，客户端应用软件对个人金融信息的收集和个人信息修改是否符合要求。客户端应用软件所采用的智能语音交互技术是否满足相关要求。

源代码审计服务

源代码检测可在开发生命周期阶段的早期及时发现问题，找到问题的根源，改进代码质量，提高攻击门槛。爱加密源代码审计平台可提供：源代码安全检测、自动化测试任务、项目源代码安全评级、安全漏洞协同审计、安全漏洞趋势报告、安全测试数据统计、安全漏洞测试标准发布、安全漏洞测试策略管理、安全漏洞知识学习、安全编码经验分享等多项功能。帮助开发者、测试者和管理者在一个平台上方便、简单地完成相关软件安全测试。

涉及到的检测要求：

5.2 开发要求：

1) 检查开发过程是否遵守规范的开发流程、项目管理流程和编码安全规范，是否进行测试，发现开发环境中可能存在的漏洞；

2) 确保开发过程中有完整的、可追溯的描述文档；

3) 确保面向用户提供了正确的、完整的、友好的指导文档；

4) 是否具有规范的发布流程。

传输加密SDK

采用传输加密SDK，实现移动应用客户端与服务端数据交互时的传输加密，传输加密SDK采用一次一密的加密方式，每次传输时采用的加密算法不同，即使传输数据被非法截获，攻击者也无法第一时间获取所有传输数据的明文，以此保障数据传输时的安全。

涉及到的检测要求：

4.5.3 数据传输——4.5.3.2 数据保密性：

检测目的：检查敏感数据在本地程序组件间或通过公共网络传输时，是否采取措施（如加密等）确保其保密性。

安全键盘SDK