近期，針對(duì)當(dāng)前一些金融機(jī)構(gòu)客戶(hù)端軟件存在的安全防護(hù)能力參差不齊、超范圍收集個(gè)人信息、仿冒釣魚(yú)現(xiàn)象突出等問(wèn)題，央行監(jiān)管劍指金融APP，劃定4大紅線(xiàn)，23家首批試點(diǎn)備案,移動(dòng)金融安全進(jìn)一步受到關(guān)注。

央行發(fā)聲！

2019年12月，在國(guó)家網(wǎng)絡(luò)安全通報(bào)中心官方公眾號(hào)發(fā)布的《公安機(jī)關(guān)開(kāi)展APP違法采集個(gè)人信息集中整治》的通告中曾指出，2019年11月以來(lái)，公安部門(mén)集中發(fā)現(xiàn)、偵辦、查處整改了100款違法違規(guī)App及其運(yùn)營(yíng)的互聯(lián)網(wǎng)企業(yè)，其貸款等金融類(lèi)APP受到關(guān)注。  這次金融APP再次加大整治力度，央行加碼對(duì)移動(dòng)金融APP安全，主要從提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個(gè)方面進(jìn)行了管理規(guī)范。

目前，加大金融APP違規(guī)行為打擊力度正在填材料、申請(qǐng)備案中。據(jù)悉，央行此前已向部分金融機(jī)構(gòu)定向下發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶(hù)端應(yīng)用軟件安全管理通知》（237號(hào)文）。

移動(dòng)金融APP備案動(dòng)真格

12月9日相關(guān)報(bào)道稱(chēng)試點(diǎn)機(jī)構(gòu)涵蓋了23家來(lái)自銀行、證券、基金、保險(xiǎn)、支付等領(lǐng)域的機(jī)構(gòu)。這次試點(diǎn)工作的備案要點(diǎn)主要有三方面：

1、依托備案管理系統(tǒng)開(kāi)展全線(xiàn)上的資料上傳和審核；

2、備案分為機(jī)構(gòu)基本信息登記、APP信息登記和APP軟件上傳三部分系統(tǒng)所有項(xiàng)目均需填寫(xiě)；

3、試點(diǎn)期間各試點(diǎn)單位至少提交1款有代表性的資金交易類(lèi)或個(gè)人信息采集類(lèi)APP進(jìn)行備案。

央行從信息收集、使用、傳輸、存儲(chǔ)、銷(xiāo)毀等整個(gè)數(shù)據(jù)生命周期中，為各金融機(jī)構(gòu)劃定四大紅線(xiàn)：

1、在收集、使用個(gè)人金融信息時(shí)，央行明確，各金融機(jī)構(gòu)不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶(hù)授權(quán)，不得收集與其提供金融服務(wù)無(wú)關(guān)的個(gè)人金融信息。

2、金融機(jī)構(gòu)應(yīng)采取數(shù)據(jù)加密、訪(fǎng)問(wèn)控制、安全傳輸、簽名認(rèn)證等措施，防止個(gè)人金融信息在傳輸、存儲(chǔ)、使用等過(guò)程被非法竊取、泄露或篡改。

3、在信息使用結(jié)束后，各金融機(jī)構(gòu)應(yīng)立即刪除敏感信息，在客戶(hù)端軟件卸載后不得留存?zhèn)€人金融信息。

4、金融機(jī)構(gòu)不得違反法律法規(guī)與用戶(hù)約定，不得泄露、非法出售或非法向他人提供個(gè)人金融信息。

報(bào)道稱(chēng)，與237號(hào)文同步發(fā)出的還有《移動(dòng)金融APP應(yīng)用軟件安全管理規(guī)范》，其中相比之前金融行業(yè)標(biāo)準(zhǔn)，提出了眾多更加具體的安全要求。

移動(dòng)金融的安全之路

從此次規(guī)范來(lái)看，移動(dòng)金融APP監(jiān)管已走向深水區(qū)，后期監(jiān)管一定會(huì)將個(gè)人信息保護(hù)、移動(dòng)金融APP、金融數(shù)據(jù)等都納入非現(xiàn)場(chǎng)檢查的重要范疇。

各金融機(jī)構(gòu)要建立客戶(hù)端軟件安全管理全程覆蓋機(jī)制，相關(guān)部門(mén)要建立健全客戶(hù)端軟件監(jiān)督處置機(jī)制。

事實(shí)上，近年隨著金融科技的發(fā)展，個(gè)人信息采集和使用的合規(guī)邊界問(wèn)題一直備受關(guān)注。

很多金融行業(yè)的公司，受限于規(guī)模，一般都是直接購(gòu)買(mǎi)第三方應(yīng)用開(kāi)發(fā)公司給他們開(kāi)發(fā)的企業(yè)應(yīng)用來(lái)給自己的客戶(hù)或員工使用。這類(lèi)的應(yīng)用由于不是自己開(kāi)發(fā)的，無(wú)法確認(rèn)應(yīng)用開(kāi)發(fā)商會(huì)不會(huì)違法窺探最終使用者移動(dòng)終端上的隱私（如通訊錄，短信驗(yàn)證碼等）。

企業(yè)如何保證自己采購(gòu)的第三方應(yīng)用合規(guī)？那就需要對(duì)這些應(yīng)用的使用權(quán)限做限制。聯(lián)軟的UniEMM企業(yè)移動(dòng)安全支撐平臺(tái)（簡(jiǎn)稱(chēng)UniEMM）的應(yīng)用限制策略就可以解決這個(gè)問(wèn)題。

當(dāng)應(yīng)用發(fā)布在UniEMM平臺(tái)，即可對(duì)這個(gè)應(yīng)用設(shè)置限制策略，禁止該應(yīng)用違規(guī)收集移動(dòng)終端上的個(gè)人隱私（包括個(gè)人通訊錄、短信驗(yàn)證碼、個(gè)人相冊(cè)、身份證號(hào)碼、銀行賬號(hào)等）。舉個(gè)例子，假設(shè)有個(gè)手機(jī)應(yīng)用會(huì)違規(guī)收集個(gè)人通訊錄，聯(lián)軟的UniEMM就可以限制這個(gè)應(yīng)用訪(fǎng)問(wèn)手機(jī)個(gè)人通訊錄的行為，并禁止這個(gè)應(yīng)用向不明對(duì)象傳輸數(shù)據(jù)，這樣即使這個(gè)應(yīng)用不是企業(yè)自己開(kāi)發(fā)的也可以放心使用。

除了利用應(yīng)用限制策略從源頭解決金融類(lèi)APP的信息與數(shù)據(jù)安全問(wèn)題外，UniEMM可幫助企業(yè)解決在向移動(dòng)辦公拓展過(guò)程中面臨的安全、管理以及部署等各種挑戰(zhàn)，通過(guò)身份可識(shí)別、設(shè)備靈活管理、設(shè)備安全接入、杜絕數(shù)據(jù)泄密、建立企業(yè)應(yīng)用商店、打造企業(yè)辦公門(mén)戶(hù)等關(guān)鍵點(diǎn)，為企業(yè)提供端到端的安全管理解決方案，能夠支持企業(yè)現(xiàn)有業(yè)務(wù)的移動(dòng)化安全保護(hù)，并支持未來(lái)業(yè)務(wù)的移動(dòng)化創(chuàng)新，將安全與高效相統(tǒng)一。

而對(duì)于數(shù)字金融發(fā)展中數(shù)據(jù)使用的邊界問(wèn)題，更是全世界都非常關(guān)注的重要問(wèn)題。

聯(lián)軟認(rèn)為，隨著云技術(shù)的廣泛運(yùn)用和興起，互聯(lián)網(wǎng)側(cè)終端必然不能使用傳統(tǒng)的強(qiáng)管控方法，在這種場(chǎng)景下要對(duì)終端進(jìn)行零信任，只有經(jīng)過(guò)身份、設(shè)備驗(yàn)證的終端，才能臨時(shí)獲取訪(fǎng)問(wèn)權(quán)限，并且通過(guò)軟件的方式進(jìn)行規(guī)則的編排，從而實(shí)現(xiàn)自動(dòng)、靈活擴(kuò)展，以滿(mǎn)足云計(jì)算的彈性特點(diǎn)，所以云安全聯(lián)盟，針對(duì)云訪(fǎng)問(wèn)安全、數(shù)據(jù)安全的最佳實(shí)踐是軟件定義邊界。

當(dāng)前“默認(rèn)可信，先連接，后認(rèn)證”的處理方式使網(wǎng)絡(luò)邊界存在安全風(fēng)險(xiǎn)，聯(lián)軟UniSDP軟件定義邊界系統(tǒng)，是基于零信任模型實(shí)現(xiàn)軟件定義邊界的解決方案，打破傳統(tǒng)“內(nèi)部=可信”的安全模式，旨在通過(guò)軟件的方式為企業(yè)構(gòu)建安全虛擬邊界，有效保護(hù)企業(yè)的數(shù)據(jù)安全，能很好地實(shí)現(xiàn)對(duì)移動(dòng)辦公設(shè)備的統(tǒng)一安全管控。

UniSDP區(qū)別于傳統(tǒng)的VPN方案，重新建立企業(yè)應(yīng)用的安全訪(fǎng)問(wèn)方式：

多因素身份認(rèn)證，解決密碼破解或盜取仿冒接入的安全問(wèn)題；

應(yīng)用層安全隧道，非網(wǎng)絡(luò)層打通，消除網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，隱藏企業(yè)應(yīng)用；

細(xì)粒度訪(fǎng)問(wèn)控制，非VLAN控制，基于角色等多維度控制訪(fǎng)問(wèn)權(quán)限；

企業(yè)數(shù)據(jù)防泄密，企業(yè)數(shù)據(jù)安全隔離，數(shù)據(jù)外發(fā)的控制、審計(jì)及追溯；

短連接代理轉(zhuǎn)發(fā)，用戶(hù)辦公體驗(yàn)更高效、更穩(wěn)定、更易用；

安全與業(yè)務(wù)融合，建立企業(yè)應(yīng)用門(mén)戶(hù)，實(shí)現(xiàn)單點(diǎn)登錄及安全訪(fǎng)問(wèn)；

集中化運(yùn)維管理，無(wú)需分布式部署運(yùn)維，適應(yīng)數(shù)字時(shí)代的全新IT架構(gòu)；

多因素身份認(rèn)證，解決密碼破解或盜取仿冒接入的安全問(wèn)題。

移動(dòng)金融在信息使用的安全規(guī)范并非一朝一夕，需要多方參與治理，以促使金融應(yīng)用合法合規(guī)化發(fā)展。聯(lián)軟已經(jīng)服務(wù)了超80%的金融證券客戶(hù)，產(chǎn)品應(yīng)用于中國(guó)頂尖的13家大型銀行，在中國(guó)金融行業(yè)市場(chǎng)總體市場(chǎng)占有率領(lǐng)先，今后聯(lián)軟科技會(huì)不斷創(chuàng)新，用過(guò)硬的產(chǎn)品和優(yōu)質(zhì)的服務(wù)保障各行各業(yè)網(wǎng)絡(luò)安全、可靠、高效。