解读|JRT 0192—2020证券期货业移动互联网应用程序安全规范

近日,证监会发布了《证券期货业移动互联网应用程序安全规范》,该标准规定了证券期货业移动互联网应用程序的移动终端安全、身份鉴别、网络通信安全、数据安全、开发安全和安全审计,适用于证券期货业机构开发和发布移动互联网应用程序。

本次发文不仅加强了证券行业的监管力度,更是明确了本标准规定了证券期货业移动互联网应用程序的移动终端安全、身份鉴别、网络通信安全、数据安全、开发安全和安全审计的相关标准。相关发文参考了近年来多个金融行业内的发文。可以发现在目前金融行业的监管趋势已经由对银行业的强监管发展为全金融行业的强监管,对于移动应用的关注也越来越高。

在这样的趋势下,应该如何理解并按照相关规定来执行,并加强其安全管理,真正做到合规、安全,也是各大证券、期货企业面临的一个问题。以下是爱加密进行的详细解读:

 

1、移动终端安全要求

  •  移动互联网应用程序

abb74cbf88784b66b777fcd4c4c8fde8.png

1249e03f4928407bae199ed01dc1f97d.png

  • 移动终端环境

48686c5cfc5c45419c8115a197b37468.png

  •  安装与卸载

此部分主要限定了在安全和卸载过程中应该遵循的规范,开发人员在开发设计移动应用时满足相应要求即可。

  • 升级与更新

此部分规定了升级和更新时应满足的安全业务设计。如需要进行完整性校验、自动升级、出现重大问题后的强制更新等内容。需在业务开发阶段按照相关安全开发需求进行设计。

 

身份鉴别

 

  • 鉴别方式

此部分对身份认证、身份鉴别的认证方式和安全技术提出了4点要求,需在开发环节安全相关要求进行安全开发、概括总结如下:

1. 资金交易类、信息修改类的业务需要进行二次安全认证,除了要使用本地信息认证外还需要使用其他方式的认证(密码、令牌、手势等)。

2. 若采取第三方(如微信、支付宝、qq)认证,需对用户名密码进行登记核验。

3. 设置登录次数、登录锁定的策略。

4. 具备超时锁定或注销的功能。

  •  鉴别数据保护

此部分对鉴别认证相关数据的保护提出了3点要求,相关要求较为明确需在开发环节安全相关要求进行安全开发。

  • 密码安全

4956f259ef5445ab81c1c3d71c10831e.png

网络通讯协议

 

此部分在建议再用HTTPS及通讯协议加密产品对网络通信进行加密处理,并在开发环节根据相关安全要求进行安全设计、安全开发。

 

数据安全

 

  •  数据录入

91c07bbf001e4b04bc8861e70f488c2e.png

  •  数据存储

d0a61b07359e47b7ae4513b741c2a95a.png

安全开发

 

  •  安全需求

此部分规定了在移动应用设计阶段,需要先制定好相应安全需求,规范应包括的安全功能。后续开发过程中按照安全功能的要求进行安全开发。

  •  安全开发

210882089bee4ebe98a33bfa267a5729.png

  •  安全测试

d5029e7aca104362bd6ff3d6d6574e9b.png

  •  安全发布

cfb9997519e34544a955f648a456ca6c.png

爱加密专注于移动应用安全,以服务+产品的方式提供体系化的移动安全管理方案。多年来,通过对监管部门的支撑、权威研究机构的合作以及和大量行业客户的合作,爱加密积累了丰富的移动安全建设经验、技术和服务能力覆盖,针对《JR/T 0192-202证券期货业移动互联网应用程序 安全规范》, 爱加密可从如下几个方面提供安全解决方案。

 

  • 移动互联网应用程序

在这个部分主要对移动应用本身提出了相关的安全性要求。具体要求及安全思路如下:

34d41c0051234e48a42c462523c25ec8.png

  • 移动终端环境

136ab0f35b0e477baa1ee608df975a19.png

身份鉴别

  • 密码安全

31e03c12f7014d45b6a58ae7ebc1a2c2.png

  • 数据安全

a6ae4f382fa74bcc994df60362586cf3.png