11月3日,由北京金融技术产业联盟和移动支付网络共同主办的第五届2020年中国金融技术安全会议在深圳举行。来自相关金融机构,监管机构和证券公司的数百名行业领导者就“非接触式”金融时代的安全监管,行业痛点,“抗流行病”经验以及技术应用趋势等问题进行了深入讨论。 。产业链上的各方都在探索金融安全发展的路径。
在后流行时代,小程序在新王冠战争的“流行”中扮演了“核心武器”。由于其在金融技术领域的爆炸性增长,其安全性问题已成为本次会议的重要关注之一。
小程序已成为“非接触式金融”扩展的“加速器”,安全是基本考虑因素
移动支付,数字货币,云计算,5G和其他越来越以场景为导向的技术的普及和应用使银行,保险和证券等金融机构能够加快“非接触式生产和服务”的迭代速度。 ”。新王冠的突然爆发和新基础设施图的不断传播,为加速扩展数字和智能“非接触式金融”创造了新的机会。
在流行期间,由于其低发展障碍,强大的用户体验以及快速的在线和迭代功能,各种类型的金融小程序已成为金融业帮助公司恢复工作和生产的重要数字工具。在新的金融生态环境下,小程序已成为金融业加速业务转型和数字化发展的重要平台。
但是,随着高价值业务渠道和资源的迁移,由于风险敞口增加和缺乏原始安全策略,财务小程序也面临着更为严峻的安全形势。确保“ 0”大规模平台问题和“ 0”数据安全问题的安全标准,再加上复杂的跨网络交换和不断增加的操作压力,都对小程序应用提出了更大的挑战。
(腾讯云安全架构师于勇)
来自腾讯云的安全架构师于勇在应用安全和个人信息保护论坛上分享了他的观点。目前,金融业面临的安全风险小程序主要体现在三个方面。一是在小程序和微信交互的开发过程中,开发人员未能标准化开发API的使用来追求在线速度,这将带来源自用户信息泄漏的业务营销风险。 其次,作为小程序安全性最弱的环节,小程序在与第三方服务器业务逻辑进行交互的过程中可能会存在安全风险,例如用户信息泄漏,订单欺诈,甚至是“伪造和伪造”。 小程序;第三,与小程序本身交互的第三方服务器可能具有Web安全风险,例如SQL注入和管理员密码泄漏,这会导致财务小程序数据的爬网和破解,从而带来数据泄漏的风险。
这些安全隐患的背后是小程序行业的客观现实。首先要承受的是建立安全防御措施中的时间冲突。作为一种强调快速开发功能的较轻的应用程序开发方法,小程序的及时性要求一直很高,并且通常没有时间进行安全构建;第二点是小程序所需的安全功能复杂且多样:小程序自己的代码需要保护,小程序部署的服务器需要保护,小程序的嵌入式业务逻辑需要保护安全,复杂的安全能力要求,一般的公司和开发人员可能都不具备。最后,小程序是对整个系统的潜在安全威胁。 小程序通常连接到公司自己的数据库和其他形式的应用程序。 小程序如果在安全防御中做得不好,可能会危及大局;最后是小程序安全防御各种能力要求的客观事实。
于勇认为,随着金融业向数字化转型迈进,小程序是其业务服务场景扩展和客户扩展的主要工具,其安全性也已成为小程序的关键工具。 。在运营商金融业务发展中不可忽视的基本考虑因素对于扩展金融“非接触式”服务至关重要。
渗透所有前端和后端方案以打开开发,操作和维护安全性集成部署链接
鉴于小程序开发前端和后端的潜在安全风险,于勇认为,应将安全性纳入整个开发过程,打破“补丁式”安全策略限制,加强小程序本地安全功能,并逐步发展通过安全的集成部署链接进行操作和维护,是为财务小程序应用程序和开发奠定坚实基础的有效方法。
基于这一理念,腾讯在微信小程序开发和运营场景中结合了20多年的安全攻防积累和保护实践,提出了一套涵盖小程序开发全过程的安全部署计划。 ,旨在通过小程序前端和后端安全链接为金融行业的开发和运营提供全面的小程序安全保护,从而促进“非接触式”服务的实施和稳定发展。
以自动检测小程序安全机制为例,这是必不可少的。 小程序的数量持续激增,自动检测的重要性非常突出。以腾讯安全自己的小程序安全自动检测技术解决方案为例。这种自动检测解决方案主要由两部分组成:底层的扫描程序用于检查常见的基本安全问题,例如常规Web风险,微信 API扫描,代码安全性等。由AI驱动的小程序搜寻器主要用于模拟人类操作中的安全漏洞,例如单击,键入,滑动等。有效解决小程序快速启动与安全保证之间的矛盾,并尽可能从源头消除安全风险。
就小程序与背景之间的联系和互动而言,腾讯还结合了其丰富的攻防经验,以及七个顶级安全实验室的技术优势,对小程序和拦截网络数据和业务数据篡改,API调用数据监视等手段,以进一步探索小程序操作中可能出现的安全“突破”,从而确保整个后端服务器的安全,并防止某小程序被攻击造成的连锁反应。
但是,这与腾讯在小程序中的全部投资相去甚远。腾讯安全继续促进小程序导出云原生概念。通过更新的技术和更完整的概念,它促进了devOps技术将需求和设计集成在一起,将自动检测完全集成到开发过程中,以满足用户开发,操作和维护的安全部署要求。