原標題：解讀|銀發(fā)〔2019〕237號，加強金融行業(yè)安全建設標準

　　2019年， 中國人民銀行關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知。 本次發(fā)文不僅加強了金融行業(yè)的監(jiān)管力度，更是明確了保險、證券、基金乃至互聯(lián)網(wǎng)金融行業(yè)的安全建設標準，并將個人信息安全治理工作真正貫徹到了金融領域。

　　在這樣的趨勢下，應該如何理解并按照相關規(guī)定來執(zhí)行，快速區(qū)分自身移動金融客戶端應用軟件的定位，并加強其安全管理，真正做到合規(guī)、安全，也是各大金融企業(yè)面臨的一個問題。

　　《移動金融客戶端應用軟件安全管理規(guī)范》提出的安全要求分為基本要求和增強要求，所有相關客戶端都應在滿足基本要求的基礎上，建議滿足增強要求。

　　針對不同類型的軟件應該做到：

　　· 資金交易類 應符合資金交易、信息保護等所有技術及管理安全要求;

　　· 信息采集類 應重點符合信息保護相關技術及管理安全要求;

　　· 資訊查詢類 應符合相關客戶端軟件安全和管理要求。

　　1

　　客戶端應用軟件安全要求

　　安全要求中包含 身份認證安全、邏輯安全、安全功能設計、密碼算法及密鑰管理、數(shù)據(jù)安全 等五大類要求。

　　· 身份認證安全

　　此部分包含認證方式、認證信息安全、認證失敗處理、密碼的設定與重置4大項若干小項要求，涉及到應用安全、個人賬戶安全、個人金融信息安全等方面。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息采集類。

　　· 邏輯安全

　　此部分包含邏輯安全設計、軟件權(quán)限控制、風險控制、回退處理、異常處理等5大項若干小項要求，涉及到業(yè)務邏輯漏洞、軟件權(quán)限獲取、個人金融信息安全、業(yè)務風向等方面。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息采集類、資訊查詢類。

　　· 安全功能設計

　　此部分包含組件安全、接口安全、抗攻擊能力、客戶端應用軟件環(huán)境檢測等4大項若干小項要求，涉及到不安全的第三方組件對于客戶端安全的影響以及用戶個人信息的獲取、接口的非授權(quán)調(diào)用、抵御攻擊的能力、客戶端運行環(huán)境的監(jiān)測等。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息采集類、資訊查詢類。

　　· 密碼算法及密鑰管理

　　此部分包含密碼算法、密鑰管理等2大項若干小項要求，涉及到對交易或重要操作的保護、密鑰本身的保護等。所有金融App都應滿足其基本要求，其中應重點關注資金交易類。

　　· 數(shù)據(jù)安全

　　此部分包含數(shù)據(jù)獲取、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)展示、數(shù)據(jù)銷毀等6大項若干小項要求，涉及到支付等敏感信息的泄露、關鍵交易數(shù)據(jù)的篡改、個人信息的保護、敏感信息的銷毀等。所有金融App都應滿足其基本要求，其中應重點關注資金交易類、信息采集類。

　　2

　　客戶端應用軟件管理要求

　　管理要求中包括設計要求、開發(fā)要求、發(fā)布要求、維護要求等四大類要求。針對軟件的全生命周期提出了要求。

　　結(jié)語：金融APP涉及到人民的個人隱私和個人財產(chǎn)，需要重點實施網(wǎng)絡安全保護，在提供便捷的業(yè)務服務的同時，需要降低信息泄露，財產(chǎn)被盜的風險。

　　聲明：本文來自愛加密，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站(網(wǎng)絡安全等級保護資訊網(wǎng))立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系刪除。