近日，中國互聯(lián)網(wǎng)金融協(xié)會（下稱"互金協(xié)會"）公布首批移動金融客戶端應(yīng)用軟件實名備案名單，名單包括33家金融機(jī)構(gòu)的73款客戶端軟件，分別來自銀行、證券、基金、保險、支付等領(lǐng)域。在完成第一批試點機(jī)構(gòu)備案后，互金協(xié)會將在全國范圍內(nèi)開展客戶端軟件備案推廣工作�？梢灶A(yù)見，未來金融APP備案將會成為監(jiān)管的常態(tài)手段之一。

 

　　實際上，近年隨著金融與科技的加速融合和移動金融普及性、重要性的提升，國家一直在對金融移動應(yīng)用的安全性進(jìn)行治理。自2017年起，互聯(lián)網(wǎng)金融各細(xì)分領(lǐng)域的規(guī)范政策相繼出臺，對金融APP的安全運行提出了諸多監(jiān)管要求：

　　然而，即使監(jiān)管日趨嚴(yán)格，金融APP由于安全問題"上頭條"的新聞卻仍然屢見不鮮。移動金融在給人們生活帶來極大便利的同時，其自身的安全問題并不容樂觀。尤其是近幾年針對金融APP的攻擊持續(xù)不斷，除了傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本以及 APP客戶端逆向、調(diào)試等問題，還有非法第三方APP請求、中間人攻擊、API接口濫用、撞庫、批量注冊、刷單、爬蟲、通過外掛程序或群控設(shè)備薅羊毛等業(yè)務(wù)安全隱患。應(yīng)用與業(yè)務(wù)的深度交叉，讓金融行業(yè)的安全問題更加棘手。

　　一方面，金融行業(yè)其實已經(jīng)采取了眾多安全手段，但現(xiàn)有的防護(hù)大多聚焦于應(yīng)用側(cè)的安全防護(hù)，無論是客戶端APP加固還是服務(wù)器端Web應(yīng)用防火墻，都只能解決非常有限的問題。遺留的其他威脅，如非法第三方APP、構(gòu)造數(shù)據(jù)包模擬合法用戶請求、批量接口調(diào)用獲取數(shù)據(jù)等問題則需要新的安全解決方案。

　　另一方面，這類針對移動應(yīng)用及業(yè)務(wù)融合的新型攻擊和威脅，超過90%都是借助自動化工具實現(xiàn)，它們在基于真實用戶身份和信息的基礎(chǔ)上，使用模擬器，能夠偽造瀏覽器環(huán)境、UA、分布式IP等，模擬合法業(yè)務(wù)邏輯，實現(xiàn)批量業(yè)務(wù)操作。在這個攻防對抗的過程中，防守方處于弱勢，無法通過攻擊特征識別、請求頻率限制等方式有效應(yīng)對。

　　針對以上兩方面的問題，瑞數(shù)信息提出APP 動態(tài)安全（APP BotDefender）的端到端一體化防護(hù)解決方案，以"動態(tài)防護(hù)"技術(shù)為核心，覆蓋對客戶端、數(shù)據(jù)傳輸、服務(wù)器端的威脅防控，為各類金融APP、H5及混合業(yè)務(wù)提供提供強(qiáng)大的安全防護(hù)能力；同時，利用AI人機(jī)識別等智能技術(shù)，甄別非法客戶端和仿冒正常請求的各類已知及未知自動化攻擊，防止攻擊者對線上業(yè)務(wù)造成破壞與交易欺詐，保障用戶數(shù)據(jù)安全及業(yè)務(wù)穩(wěn)定運行。

　　如今，金融APP的廣泛應(yīng)用已經(jīng)深入滲透到人們生活的方方面面，但其安全防護(hù)能力的薄弱也使得用戶的財產(chǎn)安全及信息安全受到威脅。因此，監(jiān)管常態(tài)化、規(guī)范化勢在必行，而金融APP及其運營企業(yè)也應(yīng)當(dāng)借助創(chuàng)新的安全策略，從合規(guī)、技術(shù)、實踐等多個方面守住"安全紅線"，合力打造更為健康優(yōu)質(zhì)的金融生態(tài)環(huán)境。