数字化浪潮席卷全球，国家全面推进数字经济。随着金融信息化发展态势不断融合，新兴技术的应用程度越来越高，安全风险也随之攀升，移动应用安全已经成为金融行业数字化进程的重中之重。

您还在疑惑——

攻击手段不断迭代，

企业如何真正筑牢安全发展的基石？

发展态势不断融合，

落地过程中如何实现业务安全双平衡？

您的难题，梆梆安全来解答

↓ ↓

在金融安全威胁迅速增长的背景下，由梆梆安全举办的 ⌈金融行业移动应用安全研讨会⌋ 线上会议如约而至。会上，来自银行、证券、基金、期货、消费金融等 240+ 家金融公司的安全负责人共聚一堂，全面探讨近年来在数字金融领域探索、创新与实践方面的心得和经验。梆梆安全希望通过金融行业用户之间的分享对话，让更多人借鉴和吸收移动应用安全的落地经验。

热点一

注入手段迭代，

平台如何实现威胁感知并有效“护脸”？

近年来，随着移动端在金融行业的大规模应用，以人脸识别绕过为代表的技术化攻击及风控绕过技术成为黑、灰产的通用普适性攻击技术，暴露出隐私泄露、技术滥用、消费诈骗等问题，影响金融行业的业务安全。

作为“护脸计划”首批成员单位，梆梆安全在人脸识别等新技术安全发展领域做足功课，提出从人脸识别绕过看技术与业务双轮驱动的风控升级，率先实现了对“人脸识别”绕过等安全风险的监测并将其落地。

梆梆安全自主研发的移动应用安全监测平台，不依赖用户的业务数据，不依赖现有的黑产数据，部署简单方便有效，能够从移动应用运行时的环境进行感知分析，为用户快速建立事前、事中、事后的移动应用安全态势感知体系，实现在应用软件每次启动时，通过检测系统关键函数、信息上报、分析研判、人脸识别绕过阻断等技术手段，实现对风险的感知及防御。

目前，梆梆安全人脸识别业务安全防护解决方案，通过代码加密和通信协议的保护，提升人脸协议和数据破解篡改的攻击门槛，利用安全监测与业务系统的联动，解决应用运行过程中出现的前端技术类攻击行为，成功案例遍及金融、政府、运营商等诸多行业。

热点二

多业务并发进行，

终端的性能需求和安全效果如何兼得？随着数字化转型升级的加速，数据存储容量和硬盘数量也在不断增加，多业务并发时，一旦发生卡慢事件，对于业务的影响不可估量。

梆梆安全 SDK 在设计之初就考虑了性能问题，处理性能的机制可根据客户实际业务情况选择。

针对初始化时加载内容较多会造成 CPU 和内存占用高问题，SDK 设立的机制让平台的初始化比 APP 其他功能晚几秒，跳出大规模业务启动时间点，降低 CPU 和内存占用。

针对流量问题，测算全量数据上送大概占用 20 KB 流量，但每一次启动，只有启动那一刻进行全量流量上送。正常情况只会上送威胁信息或一些信息更改，上送量极小，对用户流量套餐的影响几乎为 0。

针对电量问题，考虑到性能需求，将需要用到数据分析的业务主要放置在服务端，只有简单的逻辑判断置于移动端。所以平台运行时只有几个监测点在后台运行，几乎对电量无影响。

另外，梆梆安全根据常态化个人信息保护合规评估服务的内容，提升行方的自生合规的能力，再通过提供的合规工具，协助行方进行相应的检测能力建设，达到自生合规能力沉淀且持续提升的能力，满足 App 敏捷化迭代开发的诉求和快速迭代情况下的合规检测效率问题。

热点三

网络+平台+数据，

梆梆安全如何覆盖移动应用安全的广泛场景？智慧化应用层出不穷，金融行业迫切需要改变原有防御理念和架构，构建高效的网络安全防御体系，真正筑牢金融业信息安全发展的基石。梆梆安全通过构建应用数据安全的纵深防御体系，覆盖 H5、小程序、APP、业务系统等移动应用安全的广泛场景，深度赋能金融行业的数字化转型。
数据采集针对采集数据，从静态和动态层面对移动应用程序进行深度分析检测，包含合规检测、行为检测、成分检测、安全漏洞检测、权限检测等核心检测功能；依据国家行业标准指南、监管政策规范等，识别采集的数据是否存在安全合规问题，并可提供相应的证据截图信息及整改建议，供开发者进行整改，以保障移动应用运行过程中满足采集数据的合规要求。
数据传输
梆梆安全通信传输数据保护技术适用于所有 CS 架构的业务系统，包含前端 APP、小程序及后端服务器。在客户端与服务端通信过程中，会在原有的消息报文基础上，进行一次对称性加密并隐藏密钥，使攻击者无法通过提取密钥方式破解通信报文。同时，采用多重的校验机制对通信数据进行完整性加密保护，让攻击者无法形成中间人攻击，从而实现移动应用通信数据的安全保护功能。
数据缓存

• 代码安全测评梆梆安全对应用的运行代码进行深度检测，针对 Android 应用、SDK、iOS应用、小程序和 Web 应用等对象，通过深度静态检测技术、动态检测技术、源代码扫描等技术服务，全面评估应用安全问题，准确定位问题根源，防止第三方 SDK 通过后门或漏洞技术，非法获取应用运行产生的数据，以保障移动应用重用户个人信息和敏感数据的安全。 
• 应用加固防护梆梆安全以动态防护为核心，对应用代码安全进行静态和动态加固防护。静态防护技术主要提供 dex 文件加固、资源文件加固、so 文件加固等，动态防护技术主要提供防调试加固、防 hook 加固、防 dump 攻击、防日志输出加固、运行环境风险检测与阻断等，有效防范攻击人员对移动应用进行破解，进而获取应用内的关键敏感数据。

数据交换使用
随着移动应用业务类型的丰富，移动端各种业务类型的正常运行建立在“可信应用、可信环境、可信行为”的基础上，梆梆安全通过终端设备、人机识别、APP运行环境、通信行为分析、注入调试攻击、第三方 SDK 管控、策略设置拦截等实时在线的监测技术，对 APP/小程序/H5/SDK 等全业务接入行为进行实时在线监测，及时发现并阻断外挂软件和数据爬虫，保障移动应用的数据使用安全合规。同时梆梆安全的应用安全监测平台，基于创新 AI 人工智能实时在线数据监测与响应技术，以移动应用收集的数据安全底座为支撑，提供数据风险管理、实时智能检测、威胁检测等功能。
应用注销数据保护
为保障移动应用中用户注销账户后的信息安全，梆梆安全隐私合规平台通过内置合规规范和自评估指南检查，查看移动应用的隐私政策，为用户提供注销渠道和注销方式；在用户账号注销后，及时删除用户信息，或在实现日常业务功能所涉及的系统中去除用户个人信息，使其保持不可被检索和访问的状态，以保障用户注销后的个人信息安全。

从金融科技到数字金融，金融业正放手拥抱数字经济时代。目前梆梆安全在金融行业的移动安全建设方案已在多家银行、证券、基金、期货、消费金融等金融公司落地实施，价值和优势正在被越来越多的用户认可。梆梆安全将继续以“保护您的软件”为目标，推动数字经济健康发展，为中国经济高质量发展增添新动能、培育新优势！