银行小程序隐私安全如何做?诊疗一体,一步到位

来源:  |  2021-08-03 14:23:00
随着小程序用户规模的不断扩大,各个银行也纷纷开发了专属的小程序作为服务用户的重要渠道,但在安全建设上也存在一定挑战。
根据《2020年中国互联网网络安全报告》显示,国家计算机网络应急技术处理协调中心从程序代码安全、服务交互安全、本地数据安全、网络传输安全、安全漏洞等5个维度,对国内50家银行发布的小程序进行了安全性检测。检测结果显示,平均1个小程序存在8项安全风险,60%未进行设备/信息传输加密……


尽管小程序具有天然的安全保护能力,但是不当的开发和安全管控体系的缺失仍然会导致小程序安全事件频发。据腾讯安全监测发现,在交易场中的小程序,普遍存在着代码未加固、代码信息泄漏、SQL注入、隐私数据泄露等严重风险。
根据腾讯安全今年对近十家金融类小程序的诊断结果发现,这些小程序都存在代码可被逆向分析和破解利用的风险,部分还同时出现了加密key/token泄露风险以及用户信息安全问题。

不难看出的是,企业开发小程序的安全挑战并不是单点式的风险集中爆发,而是和APP一样——从开发到测试,再到上线和运维等全生命周期阶段——都需要配备安全防护以及系统性的安全体系建设。针对金融行业出现的问题,腾讯安全提供从帮助发现问题到全面解决问题的安全解决方案服务,实现1诊断2治疗3巩固的一站式安全保障。


安全诊断



对于摸不清自身小程序安全家底的企业而言,通过全面的安全诊断发现“病因”。腾讯安全可以提供系统的安全诊断,针对应用前端和后台WEB端整体提供的自动化风险检测工具,覆盖前台代码安全、用户隐私安全和业务信息泄露,以及业务CGI和对WEB框架的安全检测,包括SQL注入、XSS跨站脚本、信息泄露等主流Web攻击方式。



代码加固



针对小程序体检结果的脆弱项,借助安全加固针对性地解决问题。腾讯安全提供便捷的代码加固服务——用户只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析前端代码逻辑的难度,从而保护代码安全以及用户数据隐私安全。


防协议挂



还可以搭配“防协议挂”强化防护效果。腾讯安全提供针对信息传输和加密的防协议挂。小程序应用中包含大量个人敏感信息,面临被黑客入侵拖库、非授权用户非法访问等数据泄露风险。通过防协议挂攻击,能够有效杜绝数据泄露、被篡改等风险。

针对小程序的应用场景,腾讯安全专门组建私域安全团队,基于过去二十多年的安全沉淀,打造了专有的以小程序为核心的私域安全解决方案,在金融场景之外,通过对营销场景、技术防护、性能保护、合规遵从、售后服务等五大环节拆解,保障小程序的全链路场景安全。去年疫情期间,大量公共服务小程序普遍需要在1-3天的极限时间完成开发上线,并快速进行服务功能的迭代和升级。面对极限时间的安全挑战,腾讯安全实现了0事故,0风险。

目前,腾讯安全针对企业的小程序,可优先提供友情免费基础诊断服务。无需企业提供源代码,即可低门槛快速获得自身在客户端代码安全检测、开发测试信息泄露、账号安全、用户信息安全等维度的“体检报告”。


翊虎网络是一家一站式小程序解决方案服务商。如果您有相关方面的需求,欢迎来撩


上一篇: 没有了
上一篇: 没有了
翊虎网络 一站式小程序解决方案服务商