近期，针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题，央行监管剑指金融APP，划定4大红线，23家首批试点备案,移动金融安全进一步受到关注。

央行发声！

 

2019年12月，在国家网络安全通报中心官方公众号发布的《公安机关开展APP违法采集个人信息集中整治》的通告中曾指出，2019年11月以来，公安部门集中发现、侦办、查处整改了100款违法违规App及其运营的互联网企业，其贷款等金融类APP受到关注。  这次金融APP再次加大整治力度，央行加码对移动金融APP安全，主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行了管理规范。

 

目前，加大金融APP违规行为打击力度正在填材料、申请备案中。据悉，央行此前已向部分金融机构定向下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》（237号文）。

 

移动金融APP备案动真格

 

12月9日相关报道称试点机构涵盖了23家来自银行、证券、基金、保险、支付等领域的机构。这次试点工作的备案要点主要有三方面：

1、依托备案管理系统开展全线上的资料上传和审核；

2、备案分为机构基本信息登记、APP信息登记和APP软件上传三部分系统所有项目均需填写；

3、试点期间各试点单位至少提交1款有代表性的资金交易类或个人信息采集类APP进行备案。

 

央行从信息收集、使用、传输、存储、销毁等整个数据生命周期中，为各金融机构划定四大红线：

1、在收集、使用个人金融信息时，央行明确，各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得收集与其提供金融服务无关的个人金融信息。

2、金融机构应采取数据加密、访问控制、安全传输、签名认证等措施，防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。

3、在信息使用结束后，各金融机构应立即删除敏感信息，在客户端软件卸载后不得留存个人金融信息。

4、金融机构不得违反法律法规与用户约定，不得泄露、非法出售或非法向他人提供个人金融信息。

 

报道称，与237号文同步发出的还有《移动金融APP应用软件安全管理规范》，其中相比之前金融行业标准，提出了众多更加具体的安全要求。

 

移动金融的安全之路

 

从此次规范来看，移动金融APP监管已走向深水区，后期监管一定会将个人信息保护、移动金融APP、金融数据等都纳入非现场检查的重要范畴。

 

各金融机构要建立客户端软件安全管理全程覆盖机制，相关部门要建立健全客户端软件监督处置机制。

 

事实上，近年随着金融科技的发展，个人信息采集和使用的合规边界问题一直备受关注。

 

很多金融行业的公司，受限于规模，一般都是直接购买第三方应用开发公司给他们开发的企业应用来给自己的客户或员工使用。这类的应用由于不是自己开发的，无法确认应用开发商会不会违法窥探最终使用者移动终端上的隐私（如通讯录，短信验证码等）。

 

企业如何保证自己采购的第三方应用合规？那就需要对这些应用的使用权限做限制。联软的UniEMM企业移动安全支撑平台（简称UniEMM）的应用限制策略就可以解决这个问题。

 

当应用发布在UniEMM平台，即可对这个应用设置限制策略，禁止该应用违规收集移动终端上的个人隐私（包括个人通讯录、短信验证码、个人相册、身份证号码、银行账号等）。举个例子，假设有个手机应用会违规收集个人通讯录，联软的UniEMM就可以限制这个应用访问手机个人通讯录的行为，并禁止这个应用向不明对象传输数据，这样即使这个应用不是企业自己开发的也可以放心使用。

 

除了利用应用限制策略从源头解决金融类APP的信息与数据安全问题外，UniEMM可帮助企业解决在向移动办公拓展过程中面临的安全、管理以及部署等各种挑战，通过身份可识别、设备灵活管理、设备安全接入、杜绝数据泄密、建立企业应用商店、打造企业办公门户等关键点，为企业提供端到端的安全管理解决方案，能够支持企业现有业务的移动化安全保护，并支持未来业务的移动化创新，将安全与高效相统一。

 

 

而对于数字金融发展中数据使用的边界问题，更是全世界都非常关注的重要问题。

 

联软认为，随着云技术的广泛运用和兴起，互联网侧终端必然不能使用传统的强管控方法，在这种场景下要对终端进行零信任，只有经过身份、设备验证的终端，才能临时获取访问权限，并且通过软件的方式进行规则的编排，从而实现自动、灵活扩展，以满足云计算的弹性特点，所以云安全联盟，针对云访问安全、数据安全的最佳实践是软件定义边界。

 

当前“默认可信，先连接，后认证”的处理方式使网络边界存在安全风险，联软UniSDP软件定义边界系统，是基于零信任模型实现软件定义边界的解决方案，打破传统“内部=可信”的安全模式，旨在通过软件的方式为企业构建安全虚拟边界，有效保护企业的数据安全，能很好地实现对移动办公设备的统一安全管控。

UniSDP区别于传统的VPN方案，重新建立企业应用的安全访问方式：

多因素身份认证，解决密码破解或盗取仿冒接入的安全问题；

应用层安全隧道，非网络层打通，消除网络攻击风险，隐藏企业应用；

细粒度访问控制，非VLAN控制，基于角色等多维度控制访问权限；

企业数据防泄密，企业数据安全隔离，数据外发的控制、审计及追溯；

短连接代理转发，用户办公体验更高效、更稳定、更易用；

安全与业务融合，建立企业应用门户，实现单点登录及安全访问；

集中化运维管理，无需分布式部署运维，适应数字时代的全新IT架构；

多因素身份认证，解决密码破解或盗取仿冒接入的安全问题。

 

移动金融在信息使用的安全规范并非一朝一夕，需要多方参与治理，以促使金融应用合法合规化发展。联软已经服务了超80%的金融证券客户，产品应用于中国顶尖的13家大型银行，在中国金融行业市场总体市场占有率领先，今后联软科技会不断创新，用过硬的产品和优质的服务保障各行各业网络安全、可靠、高效。