背景资料

金融科技安全既要加强内功建设、又要对外打击非法行为。作为金融科技应用风险摸排内容之一，伪冒漏洞风险有其特殊之处。从《金融科技（FinTech）发展规划（2019-2021年）》来看，第十五项重点任务“提升金融业务风险防范能力”即与此要求明确相关。

（十五）提升金融业务风险防范能力。完善金融业务风险防控体系，运用数据挖掘、机器学习等技术优化风险防控数据指标、分析模型，精准刻画客户风险特征，有效甄别高风险交易，提高金融业务风险识别和处置的准确性。健全风险监测预警和早期干预机制，合理构建动态风险计量评分体系、制定分级分类风控规则，将智能风控嵌入业务流程，实现可疑交易自动化拦截与风险应急处置，提升风险防控的及时性。组织建设统一的金融风险监控平台，引导金融机构加强金融领域APP与门户网站实名制和安全管理，增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平，提升对仿冒APP、钓鱼网站的识别处置能力。构建跨行业、跨部门的风险联防联控机制，加强风险信息披露和共享，加大联合惩戒力度，防止风险交叉传染，实现风险早识别、早预警、早处置，提升金融风险整体防控水平。

2019年11月1日，《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《解释》）正式施行。《解释》对信息泄露、钓鱼网站等互联网上屡见不鲜的犯罪行为，有了明确规范。

基本方向

在官方的《规划解读白皮书》中，重点强调了关于App的安全管理问题和建设金融风险态势感知平台的内容。本次金融科技应用风险摸排工作的将参考有关思路执行。

（一）加强App安全管理，提高App安全防护能力

在开放操作系统中运行的App缺少金融级专用设备的防护，运行于REE环境的App主要采用软件保护机制，存在的安全风险相对较高。一方面，不法分子可以通过对App软件包进行解包、对App代码进行反编译，获得软件包内的敏感信息或者业务逻辑；不法分子也可以通过对运行中的App进行动态调试、实施中间人攻击等手段，窃取运行过程中的用户敏感信息，并可能发起非法交易等攻击。一方面，不法分子可以利用App解包的资源、利用App完整性防护能力不足对软件包进行篡改，发布钓鱼、伪冒的App，从而诱使金融消费者主动提供敏感信息达到目标。根据JR/T 0092对于金融App的管理要求，App必须具备抗攻击能力，抵御对软件包本身的篡改、静态分析和对运行环境的调试能力。

（二）加强API和业务系统的漏洞管理能力

根据OWASP Top 10研究来看，注入（SQL注入、NoSQL注入、OS注入、LDAP注入等）、身份验证失效、敏感信息泄露、访问控制失效、安全配置错误、跨站脚本攻击等仍然属于近年来的高危漏洞。国家网络安全等级保护相关标准（GB/T 22239）、金融行业等级保护标准（JR/T 0071）及针对于金融App（JR/T 0092）、网上银行（JR/T 0068）等标准均要求金融机构加强漏洞管理能力，从设计、开发阶段起，从引入外部组件、使用开源框架即入手，降低安全风险。同时，随着金融机构以开放API拥抱互联网市场，面对互联网的攻击威胁进一步加剧。除传统的安全外，还要注意不法分子利用金融API的接口进行逻辑攻击探测的问题。JR/T 0185中对于防范金融接口风险，尤其是针对接口组合滥用等风险提出了安全要求。开放API后，在Ⅱ/Ⅲ类账户开立过程中出现的人脸识别绕过、虚假身份证件等问题，正是由于金融机构的逻辑漏洞管理能力不到位导致的。

（三）统筹建立仿冒钓鱼风险的防御机制。

金融科技应用风险监控平台是人民银行总行为落实《金融科技发展规划》，构建金融科技产业发展支撑环境，打造监管科技服务金融机构的基础设施。金融科技应用风险监控平台通过自动化分析技术加专业化团队，帮助金融机构建立从常态化安全检测、仿冒、钓鱼应用识别（包括App、公众号、小程序、网站等）和关闭钓鱼网站、下架不法App的处置能力。金融科技应用风险监控平台的建立，为实现风险“可见”、“可知”、“可控”提供了能力基础。通过金融风险的识别采集，以大数据、人工智能等技术进行分析处理和研判，构建威胁情报共享机制，提升金融整体安全防控水平。

工作建议

本次金融科技在伪冒漏洞风险的摸排，一方面是督促金融机构强化内功，降低金融科技应用被攻击的可能性，一方面是要强化金融行业对仿冒、钓鱼的抵御能力，建设完善金融科技应用风险监控平台，实现监管服务的价值。

（一）开展App备案工作，加强App安全防护

根据央行2019年发布的《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知（银发〔2019〕237号）》要求，移动金融客户端（App）应按规定开展备案工作。该工作由中国互联网金融协会组织开展，其中备案工作的要件就是通过金融科技产品认证，通过第三方安全评估，验证金融机构App与JR/T 0092标准的符合程度，从而最大程度上降低身份认证、安全组件、业务逻辑、数据保护等方面存在的风险问题。关于金融App伪冒漏洞的摸排工作，也将以互联网金融协会的备案结果或通过JR/T 0092的测评报告作为重要的参考依据。此外，对于已执行过银联支付应用软件安全测评（Q/CUP 056）的金融App，也可以提供部分对应项目的佐证。

（二）建立开发资源维护机制

我们清楚地认识到，由于App的迭代速度较快，iOS/Android操作系统保持年度升级使得底层的安全机制变化也较快，对于摸排的App仍然需要与已备案或检测的版本进行差异化分析。一方面，金融机构应强化对于开发资源的管理控制，无论是App引用的第三方SDK组件，或者使用联合登录等应用场景，都要做好应用组件清单的维护。对引用第三方SDK时，应按照JR/T 0092的安全要求对第三方SDK开展技术评估，尤其是针对SDK收集个人信息的行为要高度关注。一方面，通过建立有效的版本管理机制，合理记录版本变更情况，可采用功能变更与安全变更分离的管理机制，方便更快速精准地识别安全机制的变化和功能的变化，确认不同版本应用安全机制的有效性。

（三）建立科学有效的监控机制

金融机构可充分利用金融科技应用风险监控平台进行风险识别，实现对钓鱼、仿冒、App的下架处理工作。同时，金融机构应及时向金融科技应用风险监控平台共享和报送，共同参与金融科技安全治理生态的建设，通过信息共享产生数据积分，实现金融机构同业互助的良性发展态势；通过风险监控平台汇聚行业安全能力，降低金融机构重复建设成本，提高金融科技应用风险整体防控水平。

结束语

以上是关于《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号）伪冒漏洞相关内容的介绍，下期将对新技术使用的内容进行解读。