freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

移动支付风险呈上升趋势,如何进行安全防范,看这4点就够了
2019-08-28 13:33:50

8月21-23日,由中国人民银行郑州培训学院举办的“支付数据安全与风险防范”培训班在昆明香江大酒店举行如期举行。培训期间,爱加密技术副总裁程智力作为行业专家,为本期学员详细介绍了移动支付安全防护与案例分享。

ab07a2ad4cd24f028c011ee14ef3de28.jpeg

中国人民银行郑州培训学院是人民银行总行直属事业单位,是经人力资源和社会保障部批准设立的国家级专业技术人员继续教育基地,主要承担人民银行干部培训任务,同时承担各类金融机构、国家部委的培训以及国际合作培训。

此次参加培训的学员主要为金融机构人员,培训班旨在学习大数据时代商业银行信息安全及风险控制、移动支付安全要求与解决方案、支付卡行业数据安全标准(PCI DSS)对商业银行的借鉴意义及如何落地、金融实时反欺诈与智能风险决策体系等安全防护知识,更好的促进银行数字化转型与发展。

爱加密程智力从四大主要内容全面剖析了移动支付安全问题,和学员们深入探讨了移动支付安全背景、安全要求、解决方案、行业案例等专业知识及经验分享。


part.1

移动支付行业安全背景

据数据统计,2019年移动支付用户规模将突破7亿人。移动支付主要为微信支付、支付宝、银联手机闪付、PayPal、苹果Pay等。随着科技的进一步发展,移动支付形式也更加多样化,如人脸支付、物联网支付、云支付等,但无论是哪种识别支付方式,均存在一定的安全风险。如物联网终端高危漏洞,云支付终端、传输层、应用层、管理层威胁等。

150abcf0847d4705a7b90f17c2bf4814.jpeg

移动支付安全风险主要为移动端二次打包、页面劫持/截屏、病毒/木马威胁、业务漏洞挖掘、HTTP/HTTPS中间人攻击、网络协议可篡改、SO安全、代码安全、业务漏洞、媷羊毛、短信认证安全等。

如今移动支付占比逐步提升,安全风险也呈上升趋势。移动支付用户最关心的问题中,安全性问题排名第一。其中,安全隐患和付费失败是移动支付用户最担心的问题,其次,用户普遍认为未来移动支付交易安全性还需加强。


part.2

移动支付行业安全要求

移动支付主要存在的安全问题有移动应用终端病毒感染、感染恶意代码回传重要数据信息、违规采集信息、应用过度权限与越界提权、仿冒伪装应用、短信钓鱼、垃圾短信轰炸、应用锁屏勒索、应用色情传播、应用网络欺诈、APT攻击、第三方SDK滥用等诸多风险威胁。

19bf35dfc5c741578a5db589a8eadd59.jpeg

基于这些安全风险问题,国家出台相关政策和法规,要求金融机构对其手机银行、移动支付客户端及支付控件、支付业务相关系统等进行自查和整改。排查内容涵盖182项29个子类,如身份验证信息管理,客户端数据录入、传输安全,客户端应用软件自身安全、支付系统安全管理等。

针对个人信息安全问题,中央网信办、工信部、公安部、市场监管总局等四部门《关于开展App违法违规收集使用个人信息专项治理的公告》。通过立法进一步细化App运营者收集使用用户个人信息的规范,明确其对收集的个人信息的保护义务及采取的安全措施,对于违法违规收集使用个人信息应当承担的责任等,建立个人信息保护的长效监管机制,持续加大个人信息保护力度。


part.3

移动支付安全解决方案

b09ccb6d41cd441cb4d9ff52b3c2e051.jpeg

爱加密认为,做好移动支付安全防护需从以下3大要点来进行,安全合规、风险防范以及主动防御。通过对移动支付App、SDK进行安全设计并进行相应的检测、加固,防止反编译、防二次打包、防代码/资源篡改、防劫持、防进程/动态调试、防内存注入攻击、防内存读取/修改,保障客户端、SDK的整体安全。

支付及认证安全,通过爱加密清场保护技术,实现对移动应用的启动/运行环境安全监测、高效率病毒/木马/恶意查杀。同时提供安全软键盘SDK,全流程、多层次、全方位保护信息数据输入安全。

fceb6f59df5e4a4d9b11e64d60d5c50d.jpeg

网络及服务端安全,通过信息传输加密SDK,实现数据传输及通讯协议加密保护,保护App与服务器间的通信安全。移动互联网检测监控安全,则需要进行安全检测、渠道监测和SDK监测。


part.4

爱加密服务能力及案例

爱加密拥有安全防护、安全检测、安全管理、业务运营、威胁感知、安全监管六大产品体系,至今共服务移动应用100万+,监控互联网应用1500万+, 服务行业客户覆盖政府、运营商、金融、游戏、教育等多个行业。

f1608a2180094f108acb00d224b1acaf.jpeg


qrcode_for_gh_0e28cef7681c_258.jpg

爱加密

# 移动支付安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者