構建信息安全堡壘，駐守互聯網金融世界邊防線

隨著中國互聯網金融市場的發展、政策試點擴大範圍、央行開放徵信牌照、從互聯網巨頭到新興創業公司都開始布局消費金融。特別是隨著移動互聯網的普及和推廣，移動互聯網金融也逐漸成為互聯網金融的主要服務模式。互聯網金融蓬勃興起給大眾帶來了更加便捷的金融服務。但與此同時，互聯網金融伴生的安全問題快速積累、集中爆發，在一定程度上嚴重影響和制約了互聯網金融的健康發展，安全問題成為互聯網金融發展過程中無法迴避的問題。

一般來講，互聯網金融安全主要包括業務安全與技術安全兩大範疇，關於業務安全，因涉及商業模式，監管政策，業務創新、風控機制等多方面複雜因素，不在本文闡述範圍之內，而重點針對互聯網金融的技術安全問題。

築建互聯網金融安全防線集結號已吹響

金融行業信息化發展早、信息化程度高，現代金融服務更離不開強大的信息系統支撐，信息安全是金融業發展的前提，金融信息系統的安全更是國家金融安全的重要組成，金融行業信息系統是國家關鍵信息基礎設施，要求在網路安全等級保護制度的基礎上實行重點保護。

近年來，我國密集發布了一系列金融規範和標準，信息系統安全等級保護也跨入2.0時代，特別是互聯網金融已成為風險防控的重點關注領域，而等級保護評定不止有利於從信息安全形度實現金融業務保障，更是金融企業品牌、可信度的有力體現。

目前主要的互聯網金融模式包括第三方支付、在線理財、P2P網貸、直銷銀行、互聯網保險及互聯網眾籌等。各自都曾經發展過或即將面臨各種安全威脅。

以P2P行業為例，自2013年以來，P2P行業中已有上百家平台遭遇黑客攻擊，甚至不乏個別P2P平台上千萬資金被黑客洗劫一空的惡性事件。P2P平台的安全性受到監管部門的格外重視，為保證P2P的健康發展，2017年的8月份國家出台了《網路借貸信息中介機構業務活動管理暫行辦法》，同年10月又出台了《互聯網金融風險專項整治工作實施方案的通知》，規定網路借貸信息中介機構應當按照國家網路安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試。

再比如直銷銀行，雖然是用戶通過互聯網和移動端獲取銀行產品和服務的一種新型金融產物，但自誕生之日起也面臨各種的安全風險，比如在推廣拓客時，不法分子和黑產黑客用各類腳本軟體批量註冊大量無效賬號，作弊，「薅羊毛」，影響正常用戶體驗，嚴重的甚至產生流量攻擊，導致服務宕機。也有通過撞庫、盜號、漏洞等登錄銀行賬號，盜取資金，信息，給用戶造成財產損失。

鑒於各類互聯網金融存在的嚴重技術安全風險，國家制定了各種監管政策規範行業發展，比如對網貸行業信息安全提出明確要求並作為平台合規的重要門檻之一，達不到不予備案甚至取締。而於2017年6月1日起實施的《網路安全法》更是將現行的網路安全等級保護制度上升為法律，並在第三十一條更明確規定，「國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。」

國家等級保護認證是中國最權威的信息產品安全等級資格認證，共分五級，等級越高，說明安全防護能力越強，但認證難度也更高，例如等保三級就需要在嚴格監督下從兩大方面300多項要求進行測評。

目前大多數互聯網金融平台獲得的以第二級認證為主，屬於「指導保護級「僅適用於一般的信息系統，只有少數平台獲得了三級等保認證，即「監督保護級」，適用於涉及國家安全、社會秩序和公共利益的重要信息系統，說明互聯網金融全行業等保級別還較低，距離國家對非銀行金融機構的最高級認證第三級還有不小差距，下一步需要繼續提升。

互聯網金融安全風險蔓延態勢及具體表現

據相關機構統計數據顯示，早在2014年，中國移動互聯網金融呈現爆髮式增長，全年交易額超過20萬億人民幣。移動支付發展迅猛，各家金融機構也伴隨著移動互聯網發展大潮紛紛推出了各自的金融客戶端應用程序（這裡主要指手機銀行客戶端應用程序，以下簡稱「手機銀行APP」），由此，移動金融支付的安全問題也不斷爆發：釣魚詐騙、信息泄露、資金盜取等。而除了資金出現的問題，實際上還有另一個問題一直被大家忽視，即移動金融app的安全性。金融類APP出現的安全漏洞相比WEB平台要高出很多。

有關機構對金融行業的移動 APP 安全進行評測發現，「網貸之家」中「發展指數」前100名互聯網金融公司旗下的88款Android應用，從數據傳輸安全性、數據存儲安全性、敏感數據保護水平、APP代碼保護強度、密碼演算法與協議安全性五個維度進行評估，結果發現大量的手機金融app存在安全問題，這些安全問題可能導致用戶敏感信息泄露、密碼明文傳輸等隱患。而當前國內移動互聯網金融APP信息安全存在著以下十大安全隱患：通信數據明文發送、通信數據可解密、敏感數據本地可破解、調試信息泄漏、敏感信息泄漏、密碼學誤用、功能泄露、可二次打包、可調試、代碼可逆向等。其潛在風險佔比為：

高危佔比23%：數據傳輸不安全導致盜取用戶錢財損害平台利益。
中危佔比40%：用戶敏感信息泄露，應用被重打包後加入惡意代碼和廣告。
低危佔比37%：應用崩潰，APP主要邏輯被逆向。

2018年11月28日，中國消費者協會召開新聞發布會對100款App的個人信息收集與隱私政策情況進行測評的情況進行了通報。在被評測的10個類別中，以安全、可信賴等宣傳語示人的金融理財在此次測評中排名墊底。根據測評結果，新聞閱讀、網上購物和交易支付等類型APP為總平均分相對較高的APP類別，而金融理財類APP得分相對較低，僅為28.91分。

中國信息安全在《2018年一季度熱點行業APP安全報告》中對互聯網金融典型移動應用場景也進行了安全檢測，檢測結果顯示超過六成的互聯網金融APP自身安全性較好，而所存在的安全隱患點基本都集中在代碼保護方面。單看未採取安全防護措施的互聯網金融APP檢測數據發現，其數據安全的重災區為資料庫安全問題，其次是數據傳輸安全問題和隱私/敏感數據泄露方面。

釣魚扣費風險、惡意攻擊防護風險、APP伺服器被攻擊風險、DoS攻擊風險方面也存在類似現象，未採取安全防護措施的互聯網金融APP對於DDoS攻擊防護方面問題十分嚴重，釣魚扣費、惡意攻擊防護方面也不樂觀。

互聯網金融APP安全隱患分布圖

結合以上數據分析，互聯網金融APP安全風險主要包括以下9大類：

以代碼加密為核心的安全保障策略

數據傳輸安全及其衍生的安全風險成為互聯網金融領域的「阿喀琉斯之踵」，而代碼安全更是駐守堡壘的護城河，通過代碼加密可有效提高互聯網金融的信息安全。

幾維安全通過長期研究發現，以代碼加密為核心的安全保障策略主要可分為傳統代碼加密和基於LLVM的代碼加密方式，進一步對其技術原理和適用性的區別進行分析：

若採用傳統代碼加密方式將面臨移植性問題和兼容性問題。從加密實現原理看，傳統代碼加密方式針對的操作系統、晶元架構均為特定的一個小集合，較難對多端且同源的代碼做一致性的保護，且與晶元架構不兼容、內存需求顯著增加。而其加密過程往往需要干預正常的App運行時（Hook技術），但對於像Android這類高碎片化的平台，干預運行時意味著很難把方案做到完備；像iOS這類完全封閉的平台，干預運行時更意味著方案沒法工作，目前蘋果基於安全考慮不允許很多底層的操作，比如動態分配代碼內存。

LLVM是模塊化、可復用的編譯器工具鏈集合，它提供了完整的API操作介面，可自定義整個編譯過程。能實現在架構無關的IR級別做防護，可以適應任意晶元架構。若採用基於LLVM的代碼加密方案可以函數為單位進行防護，適應低內存運行環境；並能根據不同安全需求制定初級、高級、旗艦級的防護。

初級防護：「混淆」

Obfuscator-LLVM是2013年開源的一個混淆編譯器，也是國產安全編譯器的鼻祖，能實現代碼膨脹、塊亂序等功能。通過反編譯混淆之後會將代碼量增大，將執行邏輯做轉換。從逆向分析的角度看，代碼量的增加在一定程度提高了逆向的難度。

高級防護：塊調度編譯器

從逆向分析的角度看，只要函數邏輯是連貫就總是可以做分析，所以切斷函數邏輯是一個代碼防護的方向。基於這個方向的思考可做出塊調度編譯器，實現原始函數的邏輯掐斷，讓逆向的人無法分析。將各基本的關鍵代碼塊調度成為獨立的實體，靜態反編譯工具將無法做代碼的連續性分析，這將使得逆向分析無法進行。塊調度還可對函數調用加密，使常用的通過函數調用來猜測函數邏輯的破譯變得不可能。

旗艦級防護：虛擬機

一直以來，在外掛、反外掛最激烈的Windows網路遊戲攻防戰場，虛擬機防護往往是最後一道防線，也是強度最高的一道防線，而虛擬機更是代碼安全的最高堡壘。

由於LLVM-IR的平台無關性，因此KiwiVM也能平台無關的實現函數級的虛擬化，而其靜態代碼加密方式決定了一旦成功虛擬化，配合虛擬CPU的運行時即可完整的實現原始代碼的功能，不存在干預運行時的Hook操作，因此兼容性可以達到100%。

應用場景及實例

以XX銀行手機端APP安全加固項目為例，幾維安全針對Android和ios兩個平台不同特徵，採用不同方案對手機APP進行安全加固。其中針對Android平台採用Java2C+代碼虛擬化（KiwiVM）+設備指紋SDK+白盒密鑰SDK；針對iOS平台採用代碼虛擬化（KiwiVM）+設備指紋SDK+白盒密鑰SDK