梆梆安全COO赵宇：移动金融的安全防护与管理

　　4月18日，由亚太互联网金融产业联盟指导发起，艾媒咨询集团与二十一世纪传媒集团联合主办，深圳万科产业运营公司、深圳市互联网金融协会、深圳(福田)国际互联网金融产业园、网贷之家、微投网VChello协办的2015中国互联网金融发展峰会在深圳前海企业公馆特区馆盛大开幕。

　　会上，梆梆安全COO赵宇发表了“移动金融的安全防护与管理”的演讲。他在演讲中表示几乎所有的支付类移动的客户端都存在着被动态调测等风险，甚至包含用户信息被窃取、交易被篡改的风险。同时，在移动平台上，针对iOS、安卓金融客户端攻击比例还有强度不断增加。

　　以下为演讲全文：

　　赵宇：大家上午好!我是来自北京梆梆安全的赵宇。今天和各位分享的题目叫做互联网金融的安全防护与管理，我将从以下几方面和各位做分享。首先我会讲我们看到的移动互联网金融所存在的一些安全风险和安全问题，第二部分会讲从厂商角度看，如何帮助我们的互联网金融企业解决目前面临的问题。最后介绍梆梆安全的情况。

　　我们已经进入无线互联网的时代，我们发现每个人用手机，用PC的时间不断的缩短。但是无线的时代对APP是我们最主要使用的工具，这时候病毒也找到了落脚点，这是我们监测的数据，2014年一季度，恶意的APP数量已经达到200万个，2014年年底的时候，这个数字已经超过了300万。非常多的软件、游戏，包括金融客户端都曾经或正在被病毒所感染。这是我们在今年3月份的时候所做的评估，我们对国内的24家金融的APP做了全面的预测，发现安全风险和问题尤为突出，作为厂商来讲都觉得触目惊心。看一下比较关键的点，几乎所有的支付类移动的客户端都存在着被动态调测等风险，甚至包含用户信息被窃取、交易被篡改的风险。同时，在移动平台上，针对iOS、安卓金融客户端攻击比例还有强度不断增加，2014年的时候，安卓平台上超过9成的设备受到过非法的攻击。为什么存在这样的问题呢?在现在的金融企业，包括互联网金融的企业，对移动端的安全认识是不足的，现在非常多的企业是同一套管理后台，不同的前端，包括PC端，也包括移动端。可以理解传统的PC端安全没有问题，经过十几年的发展，管理方式、方法、流程比较规范了，但是移动端的问题是非常突出的，毕竟才发展几年的时间。我们看到大量的案例都是通过客户端作为入口之后，入侵到我们服务的。

　　去年的时候，国内一家非常指明的企业做在线物流的，去年3月份被爆这样一个问题，黑客通过客户端入侵它的后台，窃取了超过几十万亿客户相关的信息，包括信用卡的卡号、CCV码、交易信息等等，这个影响非常恶劣。移动金融安全风险分为两类，一是代码级风险，很多我们的移动金融的客户移动金融平台是外购的，最多百万买一个平台，这时候这个平台可能存在很多的代码设计的缺陷，逻辑的漏洞，这时候使用起来它未来的潜在风险其实已经存在了，就是代码级的风险。另外一个是系统级的风险，是系统平台的问题，所有安卓平台都存在这样的风险，因为它是开源平台。这样两方面的代码缺陷以及系统性问题，导致我们国内非常多的企业在移动安全上其实是没有相关的保护措施。

　　梆梆安全作为一家专业的移动应用的安全服务提供商，我们给出一些建议，如何解决目前互联网金融面信的安全风险和安全问题。其实安全我们一直讲7分靠管理，3分靠技术，我们会帮助企业和客户建立安全服务，管理技术策略，最后形成一套体系，用体系解决问题。这里面我们提出了基于整个移动APP生命周期的服务体系。移动应用一个周期分为三个阶段，事前、事中和事后。事前是互联网金融的APP在上线前需要做的工作，它是否具备上线的基础和资格，这是我帮助企业解决的。我们使用以后觉得合格了，可以上线再上线，否则会出现各种问题。安全加固，解决的是我刚才提到的系统性风险，我们现在所有的手机客户端是裸露状态，没有任何安全措施，梆梆安全做的是让它穿一层防弹衣，成为安全的APP，避免潜在的风险。最后一个是我们所做的应急处理，就是事后，我们看到很多APP被二次打包甚至三寨。这是我们最近提出的面向企业的大数据的风险预警平台，我们通过8个移动安全的系统，之后把数据进行挖掘整合，最后给企业提供一个主动式的移动安全服务平台，也包括企业能够提前预知风险，避免问题发生。

　　最后介绍梆梆安全，我们5年前成立，也是全球最大一家面向移动企业来提供安全服务的技术为主导的企业，我们总部在北京。目前的客户包含国内金融机构，超过80%以上的金融机构都选择使用梆梆安全提供的安全服务，安全评估、渠道监测、安全加固等。我们参与国内非常多相关标准的制订，梆梆安全成立到现在已经累计获得了三轮融资，目前整个公司的估值超过20亿。同时梆梆安全从成立之初就扎根中国放眼全球，我们做的是全球化企业，我们在全球有9个分公司和办事处，美国的旧金山、韩国、日本也有相关的分支机构。可以理解为我们现在是全球最大、最专业的移动安全应用网络提供商，我们在2012年就提出应用加固的概念，到现在为止，我们给全球超过5万名开发者提供相关的开发服务，整个加固过的移动应用的数量超过了50万个。这些移动应用覆盖的终端超过5亿，同时我们的客户也是遍布各行各业，包括国内的知名金融机构，还有一些互联网企业，包括顶尖的游戏公司，还有我们国内的运营商，中国移动、中国联通、中国电信，他们移动端的安全都是和梆梆安全合作。这是我们比较典型P2P金融的合作，包括积木盒子、鹏金所等，他们已经意识到手机安全方面的问题，选择梆梆安全提供服务。

　　我们将秉承这种精神，持续为客户创造价值，为客户提供更好的服务。谢谢各位!