根据中国互联网络信息中心发布的第47次《中国互联网络发展状况统计报告》截至2020年12月份，我国手机网民规模达9.86亿，较2020年3月增长8885万，网民使用手机上网的比例达99.7%。随着移动终端在日常生活中承担的数字金融业务越来越多，其安全性也越来越受到重视。由于缺乏安全开发规范和足够的安全设计，市面上的金融类移动应用大多在“安全裸奔”，在应用安全性方面的不足也在一定程度上阻碍数字金融、移动金融的良好发展。《2020年数字金融App安全观测报告》（中国信息通信研究院发布）指出，在受测的2万余款金融行业App中，超九成App存在安全漏洞，并且漏洞占比从2019年的73.23%提升至90.12%，高、中、低各个等级安全漏洞占比均有明显增长。金融App高危漏洞的增长趋势主要源于移动金融市场的快速发展与金融安全规范不到位之间的发展矛盾，这一点毋庸置疑。

经济犯罪活动居高不下

针对金融移动应用的犯罪行为趋利化特征日益明显，并逐步向规模化、综合化、集成化和智能化方向发展，给全球金融业带来了极大威胁。此类威胁的特点在于利益驱动高、受害主题广、攻击方式多、社会威胁大。

移动设备和支付安全问题

金融行业在移动应用上的安全防护能力并没有跟上其业务能力的发展。随着移动支付方式的普及，用户24小时都暴露在互联网攻击之下，安全威胁正在不断增加。

缺乏全生命周期的安全建设

应用设计、编码及上线前安全测试阶段的缺陷未得到解决，致使上线后的安全问题更加难以防范。应用逻辑设计安全、开发人员引入漏洞排除及运行时安全防护应形成闭环，打造成标准的移动端安全体系。

政策法规与合规要求

《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》为网络信息安全及个人信息保护提供了法律依据。

方案总体设计

方案的建设目标是帮助金融机构建立移动App全生命周期风险防控，逐步完善安全体系及个人隐私合规长效机制。

• 事前阶段

为整个移动应用安全服务流程制定整体基调，明确安全需求，明确主要安全规范并作为执行标准。

• 事中阶段 

将前期确定好的安全需求和安全规范落实到执行层面，通过集成安全组件、执行安全测评、安全加固执行、合规和安全性回归测试等几个步骤，将移动应用的安全性按流程分步骤地进行提高。

• 事后阶段

通过数据监测和分析的手段将移动应用在实际运营阶段的数据反馈做定向的指标监控。

方案实施流程

• 移动应用开发阶段

基于SDL框架，通过安全咨询、安全培训等服务，建立移动应用安全开发规范。基于客户需求录入App信息，生成开发需求说明，创建以安全基线为轴心的高需求切合度业务流程。

• 移动应用发布阶段

通过应用加固、自动化安全检测、人工渗透测试、个人隐私合规评估等手段，确保应用在发布前实现风险小的同时满足监管合规要求。

• 移动应用运维阶段

在应用运行阶段，持续监测未经授权渗透测试、应用破解等高危行为，监测引入的第三方SDK通过热更新等技术手段窃取用户敏感信息。

提供攻击监测、预警、阻断、溯源全流程安全能力。

对盗版、仿冒、钓鱼App进行渠道监测，保障应用安全运行的同时用户权益不受侵害。

涉及产品

• 开发阶段：

安全需求和设计咨询、移动安全态势培训、移动安全开发培训、移动安全攻防培训、密盾、通讯协议保护SDK、安全软键盘SDK、防界面劫持SDK。

• 发布阶段：

应用安全测评平台、移动应用合规检测平台、源码检测平台、Android APK加固、Android SDK加固、H5加固、iOS源码加固、人工渗透测试服务。

• 运维阶段：

移动安全监测平台、运行环境可信SDK、渠道监测服务。