通付盾：打造移动金融安全服务云平台.docVIP

通付盾：打造移动金融安全服务云平台 随着移动互联网的发展，银行的手机客户端正逐渐成为商业银行的新门户，人们开始习惯随时随地使用移动金融应用完成理财支付、转账汇款、缴费还款等业务。移动业务可大大降低实体网点的业务压力，降低运营成本，同时满足了不同客户的业务需求，通过更丰富便捷的服务吸引更多用户增加银行的营收。因此，各家银行都在大力布局移动业务，快速推广手机银行App。从整体上看，安全、抗风险能力是移动金融业务当前的主要问题。安全体系如社会法制体系，是移动业务推广的基石。传统银行业务数据是在专线上传输，移动平台使得原先封闭的服务系统变得开放，业务风控系统将面临更多挑战。移动业务中数据是流动的，既在银行内部专网也在公共网络上传输。因此，移动业务数据流到哪，就要去哪儿保护，移动端相对服务端的安全保护较弱，更容易成为黑客的主要攻击对象。 江苏通付盾信息科技有限公司（以下简称通付盾）经过多年的技术沉淀和国内市场资源的积累，面向移动金融的交易安全问题，推出“盾云”安全服务平台。通付盾的创始人汪德嘉博士毕业于美国威斯康星大学麦迪逊分校数学专业，曾在硅谷多次参与公司早期创业。通付盾拥有世界级安全实验室，在美国硅谷、苏州、杭州、北京等地均设立了研发和市场服务机构，提供覆盖全球的服务。通付盾在安全服务行业拥有自己独到的技术优势，正处在高速发展阶段，被专业投资研究机构清科评价为极具投资价值的公司之一。通付盾云服务平台围绕云、管、端进行全面移动金融安全服务，推出了移动应用安全、移动端身份认证、数据传输安全和反欺诈服务。 安全端：移动应用安全 通付盾提供了贯穿应用全生命周期的应用安全服务，其中包括安全评估、应用加固、动态签名、全网监测服务等。在开发阶段提供的安全评估帮忙客户查找漏洞，在应用发布前提供针对性的安全加固服务、动态签名等为应用提供安全保护，并通过通付盾云提供实时全网监测，防止假冒盗版钓鱼应用，避免用户损失。 由于安卓应用程序大部分使用Java语言进行开发，而且目前安卓应用市场缺乏正规监管，因此发布到市场的客户端极易被黑客反编译后插入恶意代码，并在二次打包之后重新发布到应用市场。普通用户在下载安装后，设备就会受到黑客控制，造成非法扣费、嵌入广告、隐私泄露、资费盗取等危害。2014年5月，通付盾率先发布国内专业移动金融应用安全评测报告《移动支付业务风险管理研究报告》。通过对100余家手机银行、手机钱包、第三方支付客户端的安全评估，报告系统分析了近场支付、远程支付等主流移动支付方案，均发现存在一定程度的安全隐患。 为了共同打造移动应用安全平台，建立移动应用安全行业标准，通付盾与OWASP（Open Web Application Security Project，开放式Web应用程序安全项目）组织深度合作：首先，从多方面，对移动应用程序的本身安全、数据安全、业务逻辑安全、系统环境安全等内容进行全面的安全测试和评估，对移动应用中可能存在安全隐患的30多项内容进行安全审计；其次，针对评估结果进行有针对性的安全加固，以保障安全加固后的程序运行效率。 进一步，通付盾通过独有的动态签名技术实现了服务器主动感知客户端异常行为的能力，客户端会定期与安全服务器（Security Server）通信，在对话的过程中确保程序的完整、安全，防止网络中间人攻击。最后，全网监测可以对应用市场进行全面的监测，从渠道分布、应用版本及其盗版率、下载量、盗版渠道来源等多方面，对App进行实时监测，并对获取的信息进行全方位深入分析，最终将分析数据形成完备的监测报告。 开发者可以通过渠道监测服务第一时间发现盗版App和相关信息，并有针对性地进行策略调整，保证发布到应用市场的应用都是完整安全的，而不是被恶意打包过的，以维护App市场的健康有序，避免第三方市场成为病毒、恶意程序传播的渠道。 安全端：身份认证 移动金融交易过程中的身份认证也至关重要，是保证交易不可抵赖的关键。支付宝钱包、微信支付推出的二维码因被央行叫停而引起热议，而各大银行仍在稳步推进布局二维码支付。二维码支付之所以会存在严重安全问题，最重要的原因是很多不法分子将病毒或恶意网址的下载地址链接进二维码的图片中，用户在扫描带有病毒的二维码时很容易会被扣费或被盗取银行卡信息等。这是二维码支付主读模式（用户扫码）推广的最大风险。保证二维码的可信是对发码、扫码、解析软件程序等机密保护的极大挑战。仅仅用黑白灰名单的扫码拦截技术是远远不够的，技术上必须另辟溪径。 二维码支付被读模式是线下扫码支付，依附于原有的线下收单布局体系，以扫码代替刷卡环节。但是，就如银行卡收单遇到的伪卡挑战一样，二维码支付被读模式的最大风险是“伪码”，即支付二维码存在被偷拍、截屏、复制的危险。静态二维码如磁条卡，很容易被复制。相对于主读模式，被读模式的扫码环境更可控。