移动证券互联网安全体系建设

2017/09/25 17:55

新知图谱, 移动证券互联网安全体系建设

移动互联网的概念是相对传统互联网而言的,强调可以在随时随地,并且可以在移动中接入互联网并使用业务。在上下班途中,人们会用智能手机看新闻、资讯等;在餐厅等待餐食的时候,人们会用智能手机跟社交网络的朋友互动;甚至在家里,人们会用平板电脑看看视频、上网购物等。在不久的将来,科幻电影里面的可穿戴设备以及智能机器人都可能成为现实,这都归结于移动互联网技术的发展。一、 证券移动互联网应用移动互联网技术在证券行业的应用主要体现在两个方面,一是面向员工的,二是面向客户的。其中,前者主要为满足证券公司内部移动办公的需求;而后者则是证券公司为其客户提供金融服务的平台。(1)面向员工的应用现阶段,大部分证券公司员工都需要通过公司局域网以及互联网,在自己的桌面电脑上办公,对桌面电脑的依赖程度极高。但在不远的将来,移动终端的使用程度也必然会越来越高。可以想象这样的场景,营业部员工A可以在任何地方,手持平板电脑向客户展示最新的金融产品信息,以及相关系统的操作情况(这些人可能在营业部都没有自己固定的工作位);总部员工B出差在外,但还是可以通过办公终端及时处理相关工作。(2)面向客户的应用通过移动互联网为客户提供随时随地可以获取的金融服务。目前,也有不少券商推出了自己的互联网证券业务,包括各类专门定制的智能终端APP应用以及各家公司在社交平台(如微信)上开设的公众账号。借助客户对移动互联网的依赖以及其对移动互联网的使用习惯,向客户推广各类金融产品,并且推出更为便捷的交易渠道,同时提供及时可以获取的资讯以及客户服务。从长远看,券商不再是为客户提供单纯的移动互联网通道业务,还需要为客户带来具有自身品牌特征的服务体验,为客户提供全业务展示以及互动的移动金融服务。二存在的风险移动互联网中存在着非法接入、对数据进行破坏、拒绝服务、造成网络负荷过重等各类的攻击方式。据国家互联网应急中心(CNCERT)发布的《2013年我国互联网网络安全态势综述》,CNCERT获取恶意程序约70.3万个,较2012年增长3.3倍。伴随着移动互联网的普及,面向智能终端设备硬件、操作系统、应用程序等的安全漏洞挖掘将增多,移动互联网零日漏洞(指发现漏洞后立即被恶意利用)数量将迅速增长,这将导致针对移动互联网和智能终端的攻击增多。特别值得关注的是,在证券移动互联网的应用中,这些攻击可能使客户面临更为严重的损失,为社会带来更为恶劣的影响。因为在证券移动互联网中往来的数据都是跟客户资产密切相关的,这些数据的篡改丢失都会为客户带来极大的损失,同时也会给券商带来很大的影响。三 安全控制措施结合国际电信联盟的标准化部门ITU-T的建议书X.805提出的通信系统安全框架模型,我们建议互联网安全也需要从三个平面考虑,即业务安全、终端安全以及网络安全。(1) 业务安全现有的移动互联网应用主要分为三类,①是传统互联网业务的转移,比如移动终端的网页浏览、搜索、电子邮件等;②是传统互联网业务同移动互联网的合作,如各家互联网公司的移动APP应用、游戏、电子商务等;③是基于移动互联网的新业务,如微信类社交网络应用、Facetime类即时视频通讯应用、移动定位导航类基于地理位置的服务等。业务安全主要从硬件、软件以及数据三个层次进行考虑:首先,从硬件层面看,应用安全相关设备(包括应用服务器、Web服务器、数据库服务器、邮件服务器、网关、存储介质等)都要保证其自身的安全性,以及所处环境的安全性。其次,从软件层面看,运行在相关设备上的操作系统、数据库、中间件、基础协议栈等应具备防攻击、防入侵能力。利用认证手段防止非法用户对业务应用的不正常访问。通过定位业务安全机制、移动支付业务安全机制、垃圾短信过滤机制等业务标准对相关业务应用进行规范。最后,从数据层面看,需要保证个业务应用中数据的机密性、完整性和可用性。不同业务应用之前的数据应该有必要的隔离措施,业务应用对数据的访问应该有合理的控制手段。(2) 终端安全这里的终端指使用移动互联网的各类智能手机、平板电脑以及便携计算机等。终端安全主要从硬件、软件以及数据三个层次进行考虑:首先,从硬件层面看,各类移动终端需要符合国家的相关规定(比如,电磁兼容和电器安全在内的中国强制认证要求、工信部通信入网认证等);终端使用的无线技术,也应符合国家相关规定(比如,无线电管理局的型号核准认证等)。其次,从软件层面看,对常见的病毒(如木马、钓鱼)以及针对操作系统、应用程序漏洞的攻击具备一定的防范能力,防止业务被盗用、冒名使用等,防止包括用户密码在内的用户隐私信息泄露;具有对系统资源、业务应用的访问控制能力,通过有效的身份认证机制保证安全性。最后,从数据层面看,对存储在终端中的用户数据进行保护(包括通信录、通话记录、收发的短信/彩信、IMEI号、SIM卡内信息、用户文档、图片、照片等)。通过访问控制、防入侵手段保证数据的安全性,对终端内部存储的数据可以进行分级、加密存储和隔离,以及检测数据的完整性等。(3 )网络安全网络主要包括网络接入以及网络通讯两个部分。其中,网络接入主要考虑移动通讯接入链路(包括基站、基站控制器、无线网络控制器、移动交换中心、媒体网关、无线业务支持节点等)和Wi-Fi接入链路(涉及接入设备);网络通讯主要考虑互联网的整个链路(包括路由器、交换机、接入服务器等)。网络安全主要从硬件、软件以及数据三个层次进行考虑:首先,从硬件层面看,对整个通讯链路中的网络设备都要保证其自身的安全性,以及所处环境的安全性。其中,自身安全要求网络设备符合工信部设备入网要求中的各类安全要求,环境安全要求网络设备所处环境符合标准要求(包括温湿度、防火、防尘、门禁等)。其次,从软件层面看,网络设备的操作系统、数据库、中间件、基础协议栈等应具备防攻击、防入侵能力。利用双向认证、签鉴算法、加密算法等技术手段确保合法用户的正常使用,防止业务被盗用、冒名使用等。对于Wi-Fi接入的,需要通过相关网络安全机制(如802.11i、WAPI等)提供接入安全。最后,从数据层面看,需要保证数据传输过程中的机密性、完整性和可用性。通过必要的加密算法,提供必要的隔离手段,保证数据的安全性。四 证券公司移动互联网安全实施建议证券移动互联网安全是一个行业的共性问题,同时也是行业的一个薄弱环节,或者说,现有的证券移动互联网建设并未系统、有效地考虑安全问题。首先,证券行业需要进一步完善行业风险管理指引,建立合理风险控制目标;其次,证券行业应该开展行业规范化监管,建立合理有效的监管体系及措施;最后,证券公司还应构建自己的移动互联网安全框架,借助技术力量保证移动终端、网络以及业务的安全。证券公司需要通过技术手段来实现终端、网络和业务这三个平面的安全,以及各平面中对应的硬件、软件和数据安全(从硬件、软件和数据这三个方面来看,证券公司凭借其自身力量仅能够主动且有效地控制软件和数据,因此应着力于软件和数据安全)。接下来,本文运用多种安全技术手段,分别讨论如何保证这三个平面的安全。(1) 业务安全证券移动互联网业务安全需要考虑业务的机密性、完整性以及可用性。其中,机密性指保证业务内容不被泄露;完整性指保证业务流程的完整一致以及业务内容的准确;可用性指保证业务能被正常使用。业务安全应该贯穿整个互联网业务开发生命周期,分别在各个阶段分步实施安全开发。需要从互联网业务的安全需求分析、设计、编码、渗透测试、代码审计、二进制程序发布和保护、应急响应等多个方面全面保护业务安全。(2) 终端安全对于面向员工的应用,可以采用MDM(MobileDeviceManagement,智能终端管理)保护终端安全。MDM把传统的PC机管理延伸到移动终端,对移动终端的可靠性和安全性进行管理。在保护APP应用安全的同时对数据进行加密安全保护。该软件可以轻松地安装在Android以及IOS平台上,进而使得证券公司可以像管理PC一样的管理手机以及平板电脑。MDM正在不断向MAM(MobileApplicationManagement),MEM(MobileEmailManagement)和MCM(MobileContentManagement)方向拓展。但由于MDM的管控手段和管理权限非常强大,仅适合面向员工的应用的场景,不适合面向客户的应用,所以就必须通过对APP应用进行安全设计和安全开发,并且通过对APP应用的代码审计、渗透测试等多种安全漏洞检测手段进行安全评估和提早发现安全漏洞,增加终端应用本身的安全性。(3)网络安全无论是面向员工的应用还是面向客户的移动互联网应用,都需要和服务端进行交互,所以都必然会面对网络层的安全威胁。而应对这些威胁,有多种相应的安全手段:安全域:分析移动互联网不同接口及不同的网络层面存在的安全威胁,然后按照安全域划分理论对移动互联网划分不同的安全域。根据划分原则,无线网络的安全区域可分为Gi域、Gp域、Gn域、Om域、Ga域、计费中心接口域等,在不同的安全边界,通过实施和部署不同的安全策略和设备来完成边界的安全防护,最后进行相应的安全加固;加密及认证机制:在应用安全设计和开发时,需要考虑网络层通讯时应该要采取的数据强加密和强认证技术,做好数据传输机密性和完整性保护。构建移动的PKI(PublicKeyInfrastructure,公钥基础设施),利用专用SJP(SafetyJobProcedure,安全工作程序)对终端进行统一的管理,提供身份认证、数据加密等服务;流量牵引:可以在网络层部署安全防护系统,把用户的流量牵引到安全防护系统上,经过清洗后再把相关信息进行传输,进而对各种威胁进行拦截。但在对网络层进行安全加固的过程中,需要对安全和效率进行一个平衡。要在保证业务可存活的基础上,对网络安全进一步完善。五、 案例分析不同的应用场景往往面临不同的安全威胁,其需要采取的安全措施也各不相同。所以,应结合前面提到的各类实施建议合理选择不同方案来应对不同的安全威胁。案例1:面向员工应用的安全(1) 场景展示考虑金融行业移动展业的发展,非现场的签约及销售模式越来越受到大家的推崇。业务人员可以携带移动设备到走出办公场所,到用户处为用户提供其所需服务。(2) 存在的风险造成公司信息泄露,可能是员工无意的(设备遗失导致信息被他人获取)或者是故意的(恶意泄露公司信息给其他人员);移动设备中安装的第三方软件含有恶意程序,该程序蓄意盗取公司信息;移动设备中的应用本身存在安全漏洞,该漏洞被他人利用后导致公司信息泄露;应用服务端第三方组件存在安全漏洞,该漏洞被他人利用后导致公司信息泄露。(3)解决方案对于企业应用来说,除了对安全开发的关注,更为重要的是如何有效实现企业整体的应用安全管理。企业安全管理主要包括了如下几个方面内容:①多维度安全培训针对人员不同职责岗位进行安全培训。针对技术人员进行主机安全培训、网络安全培训、应用安全培训、业务安全培训等相关培训;针对管理员进行安全意识培训,了解和掌握行业内安全情况和安全风险管控安全培训贯穿整个应用开发生命周期内,从项目的需求开始一直持续到项目运维阶段。需求阶段,进行安全意识培训和安全开发规范培训;设计开发阶段,进行安全编码培训;测试阶段,进行安全漏洞发现与安全加固培训;运维阶段,进行对安全行业中与项目相关的最新安全攻击手段以及预防手段、最新行业安全分析、重大安全事件的分析与反思等相关知识培训。全方位安全检查:结合移动互联网业务安全开发生命周期方法,除了开发过程的规范外还因特别加强测试部分的工作,通过渗透测试和代码审计对应用进行安全检查,提早发现安全漏洞。渗透测试是通过黑盒测试的方式,模拟黑客的入侵行为,真实直观的呈现应用系统的安全威胁。主要技术手段有工具扫描和人工渗透两种方式。工具扫描具有快速等特点,但同时工具扫描只能针对常见漏洞,可能存在误报、漏报等问题;另一方面,人工方式则具有高准确性并能处理复杂逻辑,但时间及人力成本比较大。值得注意的是,由于工具扫描和人工渗透两种方式各有优点,且能够相互辅助,规避其缺点。通常我们对应用系统的渗透测试采用这两者相结合方式进行,即可以提高效率,又可以最大发现存在安全隐患。现有的自动化扫描工具主要有Appscan、WVS等,而人工渗透测试通常会借助的工具有Burpsuite,SQLmap等。②数据加密:1)数据等级划分;项目需求阶段,进行对应用系统涉及的信息进行等级划分,对级别高的信息,进行重点保护;2)数据存储。对极其敏感数据不存储在客户端上;服务器端对公司信息进行加密以及添加数字水印等操作,对加密密钥进行专人管理,做好权限控制,从数据源头做好数据保护工作;3)数据传输保护,对传输过程中数据进行加密传输。案例2:面向客户应用的安全(1) 场景展示投资者通过下载某证券公司的“速e融”APP应用,可以实现快速的开户、交易以及融资等操作。投资者通过手机或者其他智能移动终端登录该应用,可以实现7*24小时办理证券开户,同时,后台还对接快速交易通道,并提供了针对该应用的股票微质押业务,丰富投资者的小额融资需求。(2) 存在的风险投资者手机中存在恶意程序(如,木马程序等),导致用户账号密码等隐私信息泄露;该应用本身存在安全漏洞,在安全漏洞被他人非法利用后,导致用户账户密码等隐私信息泄露;存在大量恶意注册用户,导致用户访问缓慢;网络流量被监听,导致用户相关信息泄露。(3)解决方案对于面向客户的应用来说,如何保证应用本身的安全性,不被恶意非法利用,是最为重要的问题。在应用建设初期,应根据项目组成员的不同角色分别进行安全培训,同时构建安全评估标准,对整个应用建设周期中的安全状态进行评估;在需求分析阶段,应对系统功能进行详细的安全需求定义,明确在各层建设中需要考虑的安全问题;在设计阶段,需要详细描述如何实现相关安全功能;在编码实现阶段,通过对代码进行安全审计,以便在开发工作的早期发现和移除可能存在的安全问题;在测试阶段,通过渗透测试对应用进行安全检查,提早发现业务应用本身安全漏洞,免得被恶意程序利用;在软件发布和维护阶段,需要制定相应的应急处置流程,在出现安全问题时立即做出响应;同时,对客户端的敏感数据进行加密存储,同时在数据传输过程中进行加密传输,对二进制程序发布和保护,防止程序被反编译进行破解加密算法和代码分析。在确保应用本身没有漏洞的情况下,还需要考虑流量牵引等相关技术,进而有效区分正常以及异常流量,在有效隔离异常访问的同时保证正常用户访问。最后,还需要加强对投资者的技术安全教育,培养投资者移动互联网安全意识。使得投资者远离钓鱼应用及网页,并能敏锐发觉自身移动设备以及应用存在的异常。六、 总结证券移动互联网发展为行业用户带来了便利,同时也带来了安全隐患。证券移动互联网安全是一个不容忽视的问题,也是一个亟待关注的问题。本文分析了证券移动互联网的应用,研究了其存在的风险以及相应的安全控制措施,并给出了证券公司移动互联网安全实施的建议,最后,针对不同的证券移动互联网应用场景进行了案例分析。

更多新知

知识库

已收录新知