9月10日，FCS 2019中(zhōng)國(guó)金融CIO峰会在上海如期举行，FCS 2019以““智行”有(yǒu)方——CIO 如何赋能(néng)智慧金融 ”為(wèi)主题，350+来自银行、证券、保险、基金和互金等金融行业顶级机构CIO及信息技(jì )术、信息安(ān)全、IT规划、金融科(kē)技(jì )等相关部门高层领导，携手金融行业信息化解决方案服務(wù)商(shāng)共聚一堂，聚焦金融科(kē)技(jì )ABCD+行业应用(yòng)场景与解决方案，共谋金融科(kē)技(jì )的未来发展。爱加密受邀参加此次盛会，并发表了《移动金融合规监管建设探析》主题演讲。

随着高速发展的IT技(jì )术与行业的高效融合，金融行业的数字革命即将进入下半场。以人工(gōng)智能(néng)(AI)、區(qū)块链(Blockchain)、云计算(Cloud)、大数据(Big Data)為(wèi)代表的创新(xīn)科(kē)技(jì )成為(wèi)引领金融行业数智发展的绝对C位，智慧金融4.0时代已经到来。金融行业数字化转型面临的问题诸如，如何打造最佳客户體(tǐ)验？如何应对史上最严监管合规？引领金融行业数字化升级的IT解决方案是什么？都是未来金融时代的发展方向。

爱加密研究院副院長(cháng)魏超，从金融行业的时代转型趋势，对移动金融合规进行了安(ān)全研究，并对监管體(tǐ)系的建设给出了独到看法。魏超不仅全面分(fēn)析了金融内外环境的变化和挑战对新(xīn)技(jì )术转型的驱动和变革，同时深度剖析了科(kē)技(jì )驱动、监管驱动下，新(xīn)银行的发展特点，主要表现為(wèi)：行业整合、新(xīn)技(jì )术影响、全球化企业竞争、波动性与风险增大、去中(zhōng)介化新(xīn)趋势以及用(yòng)户认知提升等特点。

移动金融主要形态包括以输出自身科(kē)技(jì )和业務(wù)基础服務(wù)能(néng)力為(wèi)目标，与广大具(jù)有(yǒu)金融场景的企业结成同盟，构建生态體(tǐ)系，另一种為(wèi)以运营自身的核心客户為(wèi)目标，融入金融产(chǎn)业生态链，通过引进第三方服務(wù)提升客户粘性，形成多(duō)元化金融服務(wù)。

而随着移动应用(yòng)的大力发展，移动恶意程序也随之增長(cháng)。國(guó)家出台相关政策，并加强监管力度。中(zhōng)國(guó)人民(mín)银行关于印发《金融科(kē)技(jì )（FinTech）发展规划（2019-2021）》表示，要增强网上银行、手机银行、直销银行等业務(wù)系统的安(ān)全监测防护水平，提升对仿冒APP、钓鱼网站的识别处置能(néng)力。除此之外，金融企业应积极响应國(guó)家安(ān)全政策，主动提升自身安(ān)全能(néng)力，保证移动应用(yòng)生态合规。

个人信息泄露案件：

曾被315晚会点名(míng)的“714”高炮借贷平台APP“甜兔”，公(gōng)安(ān)机关已对该平台背后的犯罪团伙进行抓捕，218名(míng)犯罪嫌疑人落网。

经侦查，自2018年5月至今年3月，该犯罪集团开发、利用(yòng)1317个手机APP，建立“甜兔”“雏鹰”“闪電(diàn)虎”“红番茄”“米猪”等24个网贷平台，通过40多(duō)个壳公(gōng)司与受害人签订合同。

警方对“甜兔”进行恶意代码检测后发现，一旦安(ān)装(zhuāng)后，软件会强制获取通讯录、通话记录、摄像头等权限，且没有(yǒu)任何提示。这些信息最终到了外包的24家催收公(gōng)司手中(zhōng)，这些催收公(gōng)司几乎无一例外地采取了威胁、恐吓、“爆通讯录”等暴力催收手段。

据人民(mín)日报报道，该犯罪集团累计非法获取1197.6万余人的个人信息，在不到8个月的时间内，诱骗47.5万余人贷款，累计放款59.75亿元、收回91.16亿元，非法获利31.41亿元。

除此之外，还有(yǒu)个人信息泄露、违规盗版应用(yòng)猖獗、应用(yòng)“变脸”等安(ān)全事件层出不穷。

那么如何进行移动金融的合规监管體(tǐ)系建设呢(ne)？魏超指出，应该从静态防护、动态防护相结合，保障移动应用(yòng)全生命周期安(ān)全以及多(duō)重角度关注移动安(ān)全的建设思路出发，保障移动应用(yòng)监管的合法合规化发展。

一、事前检测感知能(néng)力

从开发源头抓起，培训安(ān)全开发意识，提供移动端安(ān)全检测服務(wù)，赋予数据采集能(néng)力，从事前开始针对移动应用(yòng)安(ān)全能(néng)力赋能(néng)。

通过对预留事件、安(ān)全事件、埋点事件、计算事件、应用(yòng)名(míng)单、用(yòng)户属性等数据内容的采集，建立金融风险监控平台，将智能(néng)风控嵌入业務(wù)流程，实现可(kě)疑交易自动化拦截与风险应急处置，提升风险防控及时性。

依据《App违法违规收集使用(yòng)个人信息自评估指南》，对App个人信息安(ān)全隐私条款进行评测。对App基本信息、源文(wén)件风险、组件风险、数据安(ān)全风险、身份验证风险、安(ān)全策略风险等进行检测，同时对第三方SDK进行安(ān)全检测，包括个人隐私权限违规、危险行為(wèi)、安(ān)全风险漏洞、病毒检测、境外传输、超范围采集等。从而保障移动应用(yòng)的合法、合规、安(ān)全、可(kě)靠。

二、事中(zhōng)防护响应能(néng)力

基于全方位的安(ān)全加固保护，防止移动应用(yòng)被恶意破解注入反编译攻击，根据感知到的威胁时间，自动化响应处理(lǐ)威胁。

针对目前移动应用(yòng)普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安(ān)全风险。需要对移动应用(yòng)进行安(ān)全加固，通过爱加密第六代加密技(jì )术，為(wèi)用(yòng)户提供全面的移动应用(yòng)加固和攻击防范解决方案。

除了针对应用(yòng)本身的加固防护之外，还需要对移动应用(yòng)客户端进行智能(néng)拦截，包括退出应用(yòng)、弹窗、Toast提示退出、允许执行、悬浮球、通知栏、预下载、下载并安(ān)装(zhuāng)应用(yòng)等，比如当移动端触发刷单场景后，平台就会下发退出应用(yòng)的指令到移动端等。针对不同场景提供不同的响应形式来闭环威胁，在威胁事件发生时做到事中(zhōng)及时响应。

三、事后智能(néng)监管能(néng)力

自下而上的建立资产(chǎn)监测和安(ān)全分(fēn)析能(néng)力，闭环威胁管控，為(wèi)监管单位提供全局管控。通过爱加密移动应用(yòng)大数据平台，对區(qū)域、行业、功能(néng)、权限、企业信息等维度数据进行采集、清洗、分(fēn)类、安(ān)全检测、数据分(fēn)析、数据归档存储至移动应用(yòng)大数据中(zhōng)心，构建监管业務(wù)安(ān)全视图，展示全网安(ān)全总览图，实现政府和企业客户对移动应用(yòng)的主动监测。

通过全渠道智能(néng)化数据监测与分(fēn)析，一站式监控所有(yǒu)App相关渠道的信息，及时了解盗版、钓鱼风险应用(yòng)信息，一发现盗版立即执行盗版应用(yòng)下架服務(wù)。