近期，針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息、仿冒釣魚現(xiàn)象突出等問題，央行監(jiān)管劍指金融APP，劃定4大紅線，23家首批試點備案,移動金融安全進一步受到關注。

央行發(fā)聲！

2019年12月，在國家網(wǎng)絡安全通報中心官方公眾號發(fā)布的《公安機關開展APP違法采集個人信息集中整治》的通告中曾指出，2019年11月以來，公安部門集中發(fā)現(xiàn)、偵辦、查處整改了100款違法違規(guī)App及其運營的互聯(lián)網(wǎng)企業(yè)，其貸款等金融類APP受到關注。  這次金融APP再次加大整治力度，央行加碼對移動金融APP安全，主要從提升安全防護、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律5個方面進行了管理規(guī)范。

目前，加大金融APP違規(guī)行為打擊力度正在填材料、申請備案中。據(jù)悉，央行此前已向部分金融機構定向下發(fā)《關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理通知》（237號文）。

移動金融APP備案動真格

12月9日相關報道稱試點機構涵蓋了23家來自銀行、證券、基金、保險、支付等領域的機構。這次試點工作的備案要點主要有三方面：

1、依托備案管理系統(tǒng)開展全線上的資料上傳和審核；

2、備案分為機構基本信息登記、APP信息登記和APP軟件上傳三部分系統(tǒng)所有項目均需填寫；

3、試點期間各試點單位至少提交1款有代表性的資金交易類或個人信息采集類APP進行備案。

央行從信息收集、使用、傳輸、存儲、銷毀等整個數(shù)據(jù)生命周期中，為各金融機構劃定四大紅線：

1、在收集、使用個人金融信息時，央行明確，各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供金融服務無關的個人金融信息。

2、金融機構應采取數(shù)據(jù)加密、訪問控制、安全傳輸、簽名認證等措施，防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改。

3、在信息使用結束后，各金融機構應立即刪除敏感信息，在客戶端軟件卸載后不得留存?zhèn)€人金融信息。

4、金融機構不得違反法律法規(guī)與用戶約定，不得泄露、非法出售或非法向他人提供個人金融信息。

報道稱，與237號文同步發(fā)出的還有《移動金融APP應用軟件安全管理規(guī)范》，其中相比之前金融行業(yè)標準，提出了眾多更加具體的安全要求。

移動金融的安全之路

從此次規(guī)范來看，移動金融APP監(jiān)管已走向深水區(qū)，后期監(jiān)管一定會將個人信息保護、移動金融APP、金融數(shù)據(jù)等都納入非現(xiàn)場檢查的重要范疇。

各金融機構要建立客戶端軟件安全管理全程覆蓋機制，相關部門要建立健全客戶端軟件監(jiān)督處置機制。

事實上，近年隨著金融科技的發(fā)展，個人信息采集和使用的合規(guī)邊界問題一直備受關注。

很多金融行業(yè)的公司，受限于規(guī)模，一般都是直接購買第三方應用開發(fā)公司給他們開發(fā)的企業(yè)應用來給自己的客戶或員工使用。這類的應用由于不是自己開發(fā)的，無法確認應用開發(fā)商會不會違法窺探最終使用者移動終端上的隱私（如通訊錄，短信驗證碼等）。

企業(yè)如何保證自己采購的第三方應用合規(guī)？那就需要對這些應用的使用權限做限制。聯(lián)軟的UniEMM企業(yè)移動安全支撐平臺（簡稱UniEMM）的應用限制策略就可以解決這個問題。

當應用發(fā)布在UniEMM平臺，即可對這個應用設置限制策略，禁止該應用違規(guī)收集移動終端上的個人隱私（包括個人通訊錄、短信驗證碼、個人相冊、身份證號碼、銀行賬號等）。舉個例子，假設有個手機應用會違規(guī)收集個人通訊錄，聯(lián)軟的UniEMM就可以限制這個應用訪問手機個人通訊錄的行為，并禁止這個應用向不明對象傳輸數(shù)據(jù)，這樣即使這個應用不是企業(yè)自己開發(fā)的也可以放心使用。

除了利用應用限制策略從源頭解決金融類APP的信息與數(shù)據(jù)安全問題外，UniEMM可幫助企業(yè)解決在向移動辦公拓展過程中面臨的安全、管理以及部署等各種挑戰(zhàn)，通過身份可識別、設備靈活管理、設備安全接入、杜絕數(shù)據(jù)泄密、建立企業(yè)應用商店、打造企業(yè)辦公門戶等關鍵點，為企業(yè)提供端到端的安全管理解決方案，能夠支持企業(yè)現(xiàn)有業(yè)務的移動化安全保護，并支持未來業(yè)務的移動化創(chuàng)新，將安全與高效相統(tǒng)一。

而對于數(shù)字金融發(fā)展中數(shù)據(jù)使用的邊界問題，更是全世界都非常關注的重要問題。

聯(lián)軟認為，隨著云技術的廣泛運用和興起，互聯(lián)網(wǎng)側(cè)終端必然不能使用傳統(tǒng)的強管控方法，在這種場景下要對終端進行零信任，只有經(jīng)過身份、設備驗證的終端，才能臨時獲取訪問權限，并且通過軟件的方式進行規(guī)則的編排，從而實現(xiàn)自動、靈活擴展，以滿足云計算的彈性特點，所以云安全聯(lián)盟，針對云訪問安全、數(shù)據(jù)安全的最佳實踐是軟件定義邊界。

當前“默認可信，先連接，后認證”的處理方式使網(wǎng)絡邊界存在安全風險，聯(lián)軟UniSDP軟件定義邊界系統(tǒng)，是基于零信任模型實現(xiàn)軟件定義邊界的解決方案，打破傳統(tǒng)“內(nèi)部=可信”的安全模式，旨在通過軟件的方式為企業(yè)構建安全虛擬邊界，有效保護企業(yè)的數(shù)據(jù)安全，能很好地實現(xiàn)對移動辦公設備的統(tǒng)一安全管控。

UniSDP區(qū)別于傳統(tǒng)的VPN方案，重新建立企業(yè)應用的安全訪問方式：

多因素身份認證，解決密碼破解或盜取仿冒接入的安全問題；

應用層安全隧道，非網(wǎng)絡層打通，消除網(wǎng)絡攻擊風險，隱藏企業(yè)應用；

細粒度訪問控制，非VLAN控制，基于角色等多維度控制訪問權限；

企業(yè)數(shù)據(jù)防泄密，企業(yè)數(shù)據(jù)安全隔離，數(shù)據(jù)外發(fā)的控制、審計及追溯；

短連接代理轉(zhuǎn)發(fā)，用戶辦公體驗更高效、更穩(wěn)定、更易用；

安全與業(yè)務融合，建立企業(yè)應用門戶，實現(xiàn)單點登錄及安全訪問；

集中化運維管理，無需分布式部署運維，適應數(shù)字時代的全新IT架構；

多因素身份認證，解決密碼破解或盜取仿冒接入的安全問題。

移動金融在信息使用的安全規(guī)范并非一朝一夕，需要多方參與治理，以促使金融應用合法合規(guī)化發(fā)展。聯(lián)軟已經(jīng)服務了超80%的金融證券客戶，產(chǎn)品應用于中國頂尖的13家大型銀行，在中國金融行業(yè)市場總體市場占有率領先，今后聯(lián)軟科技會不斷創(chuàng)新，用過硬的產(chǎn)品和優(yōu)質(zhì)的服務保障各行各業(yè)網(wǎng)絡安全、可靠、高效。