查看原文
其他

实战 | 移动金融客户端应用软件安全管理新实践

金融电子化 金融电子化 2022-09-24

欢迎金融科技工作者积极投稿!

投稿邮箱:newmedia@fcmag.com.cn

                                           ——金融电子化

文 / 中国互联网金融协会  李健 王天晰 于圆

按照中国人民银行印发的《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),中国互联网金融协会承担移动金融客户端应用软件行业自律管理职责,包括制定行业公约、建立健全黑名单管理、自律检查、违规约束、信息共享等机制,做好客户端软件实名备案、风险监测等工作。基于此,协会从制度安排、基础设施、工具手段等层面着手进行研究,构建移动金融客户端应用软件自律管理工作框架,以科技手段为驱动,积极探索实践移动金融客户端软件自律管理工作。



落实监管要求,构建自律管理框架

根据《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(以下简称“通知”)要求,协会启动移动金融客户端应用软件(以下简称移动金融App)备案工作,结合《通知》及《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019),研究制定了《移动金融客户端应用软件备案管理办法(试行)》,牢固了自律管理基础。同时,基于相关制度建设了自律管理基础设施移动金融客户端应用软件备案管理系统(以下简称“备案管理系统”)和移动金融可信公共服务平台(MFTPS,Mobile Finance Trusted Public Service,以下简称可信公共服务平台),整合移动金融App安全检测、风险监测、消费者权益保护等手段措施,形成了移动金融App自律管理工作机制框架,切实落实监管部门加强个人金融信息保护,保障金融消费者合法权益的有关要求,促进行业健康发展。

图1  移动金融App自律管理工作机制框架


基于自律管理工作框架,自备案工作开展以来,已有4000余家金融从业机构在备案管理系统注册,提交了2200余款App信息,其中900余款App完成了备案。从业态来看,参与备案的金融从业机构涵盖了银行、保险、银联、非银支付机构等。



科技手段驱动,提高自律管理效率

“工欲善其事,必先利其器”,备案工作需同时对接金融从业机构、检测认证机构、监管部门及金融消费者,参与角色多、处理流程多。实践中发现,唯有充分利用科技手段,才能切实保证备案工作质效,提高自律管理效率。


1.便捷的“一站式”备案工作

秉持“数据多跑路、机构少跑腿”的宗旨,结合实际业务办理经验,协会研究建设了备案管理系统,为金融从业机构提供线上“一站式”备案工作的办理及审核。申请备案的金融从业机构可通过备案管理系统统一填报移动金融App提供方信息、软件信息、相关内控管理制度、个人信息保护策略和相关评估报告等申请材料,完成机构基本信息登记、移动金融App信息登记和App软件上传等工作。机构上传信息时,备案管理系统积极探索运用机器人流程自动化技术(RPA)等手段,自动识别金融从业机构上传的证照等图片信息,并进行格式和内容校验,辅助金融从业机构快速填写登记材料,提升了系统的便捷性和易用性。协会在金融从业机构完成材料提交后开展审核工作,并通过该系统实现移动金融App的全生命周期流程管理,包括维护App首次发布、重大变更、一般变更、紧急变更、注销等流程状态。


2.备案流程“上链存证”

为确保备案工作公平、公正、透明,协会研究采用区块链技术,将备案流程各业务环节处理记录上链存证,如机构备案申请、备案信息变更、协会审核结果等,实现了备案管理工作的全链路留痕。其中,备案管理系统区块链节点部署于协会和相关管理部门,实现了备案信息的多方存证和多方监督,有利于事后追溯和审计,保证了备案流程的安全可信。


3.持续化常态化的风险监测工作

持续化常态化开展风险监测工作,密切关注备案移动金融App风险,是落实安全发展理念,提升金融风险防控和金融监管效能的重要手段。从备案工作本身来看,风险监测不同于检测工作关注某个特定时点下的身份认证、隐私政策、密钥管理、数据安全等问题,需要动态实时跟踪了解移动金融App的风险点,是贯穿于移动金融App全生命周期的手段,是检测工作的全面延伸。


基于此,协会一方面针对常见安全漏洞、仿冒App等安全风险开展实时监控,形成风险监测报告,转发并督促金融从业机构排查整改有关问题。在风险监测过程中,协会分析研判风险线索,选取重点问题进行重点突破。例如,移动金融App在使用第三方SDK(软件开发工具包)时可能带来新的风险隐患,即根据监测情况,将对移动金融App使用的第三方SDK采取单独安全检测等措施。另一方面,协会加快落实风险信息共享,通过与检测认证机构、申请备案的金融从业机构等角色共同建立风险信息共享机制,结合备案管理系统完善风险信息的线上流转和共享,实现风险持续跟踪,为金融从业机构和监管部门及时发现、快速处置风险提供线索支持。


4.可信赖的移动金融可信公共服务平台

为确保备案工作成效落地,并向广大金融消费者提供统一、权威、可信的移动金融App下载方式,协会以智能化、便捷化、平台化的高标准建设了移动金融可信公共服务平台,包括App下载、管理、评价、投诉、统计分析等功能,并通过与备案管理系统的有机结合,打通业务流和数据流,打造金融行业可信服务,防范和打击非法软件、“钓鱼”软件等电信诈骗活动,保护社会大众的个人信息和资金安全,为社会公众提供安全可信的移动金融服务。


可信服务平台通过集中模式,建立了面向用户的官方移动金融App分发渠道,加强了正面宣传,打造金融从业机构“信得过”,金融消费者“放心用”,监管部门“管得住”的金融行业权威移动金融App服务平台,并能强化落实自律管理要求,如对已备案的移动金融App进行上下架管理,通过该平台集合社会力量、新闻媒体对已备案的移动金融App及检测认证工作进行监督等。



下一步工作计划

移动金融App备案工作有效提升了行业安全管理水平。统计显示,94%的客户端软件在备案过程中进行了安全修复,平均修复漏洞和隐患7.6个,修复5个以上的占比达58%;93%的客户端软件完善了对个人信息的收集和使用规范,优化5项以上的占比达46%。同时,金融消费者也提升了维护自身权益的意识,开始关注了解过度索要权限、隐私政策提示不清晰等App问题。


开展备案工作是探索移动金融安全风险治理体系的有益尝试和重要实践,通过督促机构提升安全防护能力、健全投诉处理机制、强化行业自律管理等多种方式,构建“机构自治、行业自律、政府监管、社会监督”的综合治理格局。


下一步,一是要进一步筑牢自律管理基础,结合实际工作开展情况,尽快制定《移动金融客户端应用软件备案管理自律公约》,围绕金融从业机构内部管理、自律检查、风险信息共享、投诉处置等方面制定自律管理细则,不断建立健全行业自律管理长效机制。二是加强风险信息共享,充分运用隐私计算、区块链等技术手段,在保障机构隐私的前提下,鼓励金融从业机构、检测认证机构间进行风险信息共享,使从业机构能更及时全面掌握移动金融App风险信息,同时尽快实现备案管理系统、可信公共服务平台与各大App商店的互联互通,形成移动金融App整体安全屏障。三是加强金融消费者教育,可重点结合可信公共服务平台开展金融消费者教育,通过举办专题培训、讲座、发布风险提示等方式,引导金融消费者了解移动金融App违法违规问题及乱象,切实保护消费者权益。


(栏目编辑:张丽霞)







往期精选:

(点击查看精彩内容)


● 实战 | 兴业银行在SD-WAN场景下的创新实践

● 实战 | 助力金融IT变革,百度智能云Serverless应用揭秘

● 实战 | 国金证券:佣金宝背后的私有云架构演进

● 实战 | 拓展技术防范手段,铸牢发行库安全防线

● 实战 | 多集群场景下数据访问控制和路由机制的探索与实践






《金融电子化》新媒体部:主任 / 邝源  编辑 / 傅甜甜 潘婧

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存