數字經濟伴随資訊革命浪潮快速發展, 數字化推動創新變革浪潮勢不可擋,各行各業已逐漸推進數字化轉型,主動融入數字化創新大潮當中,金融保險行業也不例外。
為全面貫徹《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目标的建議》要求,深化金融供給側結構性改革,以數字化轉型推動銀行業和保險業高品質發展,銀保監于2022年2月釋出《關于銀行業保險業數字化轉型指導意見》,意見在業務經營管理數字化中指出“積極發展産業數字金融,打造數字化的産業金融服務平台,推進企業客戶業務線上化,拓展線上管道,豐富服務場景,加強線上線下業務協同”。指導意見的推出,标志着新一輪資訊技術革命浪潮拉開序幕,各保險機構紛紛開始推進線上化變革,積極布局 APP 生态圈,以移動應用為核心實作流量和資料積累,不斷提升智能化服務能力,打通網際網路生态閉環。
01
困境:安全缺陷層出不窮,監管要求日趨嚴格
基于數字化轉型的時代背景,保險業 APP 在應用和普及的同時,也帶來了相應的安全隐患。部分保險 APP 開發者和營運者安全意識淡薄,未進行加強就釋出 APP,或開發過程中嵌入未經檢測的第三方 SDK,導緻 APP 存在高危漏洞或惡意程式等風險。APP 使用者缺乏安全意識,或存在不安全的使用習慣,還會帶來資訊洩露等安全隐患。
中國資訊通信研究院安全研究所釋出的《數字金融 APP 安全觀測報告(2020年)》通過對 2.5 萬餘款金融 APP 進行測試,發現 90% 的應用存在安全漏洞。其中鍵盤使用風險、ZipperDown 漏洞和 SO 檔案破解問題分布數量位居前列。此外,報告團隊使用惡意程式檢測系統測試發現,大量應用存在隐私竊取、惡意扣費、系統破壞、遠端控制等惡意行為,對終端使用者的個人資訊及财産帶來巨大威脅。
報告團隊針對 APP 侵害使用者權益進行了專項測試,測試人員在多個應用分發平台上選取了銀行、保險、證券各10款APP,共計 30 款典型金融 APP。檢測發現,保險類APP 的安全問題占總數的47.06%,其中違規處理使用者個人資訊、設定障礙、頻繁騷擾使用者問題突出。
保險行業移動應用安全合規監管态勢趨于嚴格
為規範移動應用安全,近兩年工信部、網信辦、國家計算機病毒應急進行中心等監管機關在大力開展 APP 隐私合規的執法檢查的同時,保險行業方面的網絡安全政策法規體系不斷完善,法律法規密集出台,持續不斷的監管動作也為保險企業敲響隐私保護的警鐘。
2019年1月
四部委聯合釋出《關于開展App違法違規收集使用個人資訊專項治理的公告》,标志着應用隐私合規監管成為常态。
2019年9月
中國人民銀行釋出了《關于釋出金融行業标準加強移動金融用戶端應用軟體安全管理的通知》(銀發[2019]237号),将 App 納入到了金融科技産品認證的範疇。
2021年9月
銀保監針對具體的移動業務場景釋出了《關于加強人臉識别技術應用安全管理的通知》(銀保監辦便函1083号文),旨在強化對保險業應用人臉識别技術應用場景進行安全管控。
2021年10月
銀保監釋出針對保險移動應用的《保險移動應用資訊安全基本要求》,這是目前針對保險應用最具指向性的标準,标準從移動用戶端安全、移動應用服務端安全、業務安全緯度給出了安全技術要求,并從應用生命周期管理的角度給出了安全管理要求,此标準為保險機建構設企業移動安全體系提供了重點參考依據。
2022年6月
信通院雲大所釋出《金融APP人臉識别身份認證安全》,進一步從人臉識别算法安全、人臉資料傳輸安全、APP應用安全、身份認證業務安全、安全管理給出了人臉識别場景的細化要求,标志着國家對移動應用業務安全要求越來越細化,新型技術的應用要同步考慮安全建設。
基于保險業移動業務安全及國家對金融行業的監管要求,企業既要從根本上考慮移動應用安全的整體架構建設,建構閉環的安全體系,又要關注具體業務場景的安全問題,滿足日益變化的業務發展需求和合規監管要求。
02
創新:梆梆安全保險業移動應用安全的建設思路
保險機構移動應用的整體安全架構可參考《保險移動應用資訊安全基本要求》進行建設,即縱向圍繞安全管理體系及技術體系進行規劃,橫向覆寫到應用開發的全生命周期,整體方案架構如下圖:
四個體系+六個階段,覆寫移動應用安全全生命周期
安全管理體系建設,需要建立分工明确、報告關系清晰的内部安全管理組織架構,設立移動應用資訊安全相關技術和管理崗位,并制定明确的崗位職責要求和人員配置要求,在組織架構的基礎智商建構安全管理制度,建立有效的應用安全開發生命周期管理機制,以保證軟體全生命周期的安全性。
技術體系建設,在需求及設計階段,依據标準中對與安裝、解除安裝、身份及通路控制等關鍵場景的安全要求進行安全建設。此外,企業應具備威脅模組化能力,能基于不同業務場景輸出完整的安全需求及安全設計清單,用以指導開發人員進行代碼實作,進而實作應用安全左移,避免因開發階段考慮不夠周全,導緻大量安全漏洞在應用開發完成或上線後暴露,使整改難度和工作量增大。
開發階段,通過引入安全元件,滿足用戶端及服務端相關要求,例如通過密鑰白盒保證加密密鑰安全,滿足用戶端算法安全要求;通過通信協定 SDK 保護敏感個人資訊的傳輸安全,滿足用戶端資料安全要求;通過安全鍵盤 SDK 保證資料輸入安全,滿足服務端身份通路控制要求等。安全元件的引入除了能很大程度減少開發工作量,也能快速滿足監管要求,例如防界面劫持 SDK,可以有效避免各省通管局經常通報的Android 應用界面劫持的安全問題。
測試階段,需要涵蓋白盒測試和黑盒測試手段,建設源代碼檢測、APP 通用安全檢測、應用隐私合規檢測機制,檢測可以通過自動化工具結合人工的方式來落地,通過自動化或半自動化檢測工具檢測快速疊代的小版本應用,再通過人工測試滿足大版本應用的合規檢測需求。除此之外,在國家及金融行業重點排查的人臉識别等特定業務場景下,也需重點排查,此類排查目前主要依賴人工測試。
傳遞階段,需要針對測試階段排查到的問題進行整改,其中需要通過加強解決的問題,可直接通過加強解決,例如應用破解、調試注入等高危風險,加強舉措既提高了應用的攻擊破解門檻,又滿足了用戶端源代碼的安全要求。
營運階段,需要重點考慮用戶端運作環境的監測和使用者的異常行為分析。通過建立安全監測平台,主動對異常裝置及異常應用進行識别,并結合使用者行為對實時發生的風險進行及時的阻斷。由于國内安卓應用市場魚龍混雜,大量管道疏于管理,可以任意上架企業舊版或仿冒類應用,就需要企業通過管道監測服務主動監測、關注市場上存在安全隐患的舊版或仿冒類 APP,及時下架風險應用。
保險業移動應用安全的三期建設
保險業移動應用安全建設工作多樣且複雜,既要滿足科學的安全體系架構,又需要考量行業業務的特殊性,同時還要兼顧國家及行業的合規要求,其建設工作任重而道遠,梆梆安全技術專家建議分三期來建設和落地整體安全架構。
一期建設,基于國家及行業的監管要求進行建設,目的在于滿足合規要求。
- 開發階段:密鑰白盒、通信協定保護 SDK、防界面劫持 SDK、安全鍵盤 SDK
- 檢測階段:人工滲透測試、人工隐私合規服務、人臉識别專項測試服務
- 傳遞階段:Android 加強、IOS 加強、小程式加強
- 營運階段:離線版運作環境檢測SDK(具備防root、防模拟器等簡單前端風險判斷能力)
二期建設,建設自動化提安全需求的能力,并補充針對快速疊代的小版本應用的檢測手段,完善營運階段的監測機制。
- 需求及設計階段:EOC專家知識平台,協助企業基于業務需求自動化輸出安全需求
- 檢測階段:APP 自動化檢測平台
- 營運階段:線上版安全監測平台、小程式安全監測平台、管道監測服務
三期建設,進行 EOC 專家知識平台的能力更新,将所有開發流程與工具對接至專家知識平台,實作應用開發全流程的安全把控。同時完善安全檢測工具,補充人工營運能力。
- 開發階段:安全中台
- 檢測階段:源碼檢測平台/代碼審計服務
- 營運階段:基于安全監測平台的安全營運服務、滲透測試的人員駐場服務
黨的二十大報告提出,要加快建設網絡強國、數字中國。近年來,以數字化、智慧化為特征的金融科技創新與應用蓬勃發展。在“數字中國” 發展戰略的引領下,我們要用“數字”來重新看待中國。
梆梆安全多年來在保險行業深耕發展,擁有豐富的金融行業服務經驗和落地案例,為銀行、保險、證券、期貨、基金等各類金融行業使用者打造多套移動應用安全解決方案,其中包括中國人壽、中國人民财險、中國人民健康保險、太平洋保險等。作為全球專業的安全服務提供商,梆梆安全正在運用領先技術服務于金融領域客戶,幫助其打造安全、穩固、可信的金融科技生态環境。