移动金融业务外包开发中的安全风险.docxVIP

移动金融业务外包开发中的安全风险【前言：繁荣下的隐忧】随着移动互联网时代的到来，大力发展移动金融业务、不断提高对传统服务的替代率已经成为商业银行等传统金融机构的重要战略。传统金融机构自身在移动领域技术储备不足的情况下，为了快速占领业务制高点往往会选择将系统外包开发。以移动银行系统为例，开通相关业务的国有商业银行、全国性股份制商业银行和城市商业银行超过80%都是外包开发的。外包的引入推动了移动金融创新的步伐，快速打造了WAP手机银行、短信银行、APP手机银行、微信银行等系列产品，为用户提了丰富的移动金融服务。需要警惕的是，尚无互联网安全经验的商业银行还没有充分认识到：移动金融盛世之下也正在孕育着一个新的巨大的黑产市场。外包开发的移动金融应用在安全性方面存在巨大隐患：以笔者多年在安全企业的从业经验来看，外包的开发人员水平参差不齐，大部分外包开发人员在安全方面的技能和意识几乎可以忽略不计;外包商的信息安全管理水平也较差，甚至难以保障自身的安全性，更不要说交付的系统。过去几年，业内很多安全团队都已经着手开始移动金融特别是移动银行方面的安全研究。事实证明，我们看到的安全现状比想象中的更加糟糕。在今年业内的几个安全会议中，笔者也分享过一些漏洞案例和测试结果。现在笔者把一些外包管理中的典型安全问题整理成文，供业界参考。同时也希望起到抛砖引玉的作用，请业内的大牛们不吝赐教。【案例一：图形验证码逻辑