终端应用风险管控 我们该注意什么？

　　9月，央行办公厅发布《关于开展支付安全风险专项排查工作的通知》即146号文，文件要求，“对商业银行、支付机构、清算机构等从业机构就行客户端应用软件、系统等方面就行全面风险排查。其中，对从业机构支付业务相关的客户端应用软件，包括但不限于手机银行、移动支付等客户端应用软件及支付控件。”可以看出终端应用的安全问题是重点关注内容。

　　终端应用安全内忧外患

　　截至2017年12月，手机网民规模达到7.53亿，手机支付用户规模达到5.27亿。2017年，银行业金融机构共处理电子支付业务1525.80亿笔，金额2419.20万亿元。

　　在这样的大环境下，移动病毒威胁持续攀升。根据CNCERT的统计，2017年新增病毒样本达3284524个，平均每天新增9000个样本，这相当于每10秒生成一个病毒样本。2017年手机病毒类型比例中，流氓行为、资费消耗、隐私窃取三类占比最高，合计占到了90%以上。

　　而根据国家互联网应急中心《2017中国互联网网络安全态势综述》的数据，18个行业的Top10应用中，95%的应用都有漏洞，总漏洞量14798个，平均每个应用有52个漏洞。大部分应用都面临着类似的安全风险：技术先天性缺陷、业务逻辑缺陷、操作系统漏洞等。

　　可以说终端应用安全面临着内忧外患的情况：病毒威胁持续攀升，应用漏洞普遍存在，应用自身存在多种风险。

　　如何有效的进行终端应用风险管控?

　　众所周知，移动支付的高速发展也带来了诸多安全隐患，电信诈骗、信息泄露、盗刷等安全事件不断提醒相关从业者，安全是重中之重，而风控是保证安全的有效手段。

　　目前大量的金融机构都基于大数据做了交易风控系统，但系统运转的核心除了算法更主要是真实有效的数据，在终端存在大量安全风险未解决的情况下，采集到后端的数据不真实，造成风控系统效果欠佳。

　　如何有效的进行终端应用风险管控?移动支付网有幸邀请到北京梆梆安全科技有限公司高级安全顾问赵千里，在第三届中国移动金融安全大会上以《金融风控下的终端应用风险管控》为题向我们介绍移动威胁感知系统在终端存在大量安全风险未解决的情况下，如何提升终端采集数据的真实性，从而保障风控系统的可靠性。