背景

随着智能移动终端产业真正走向移动信息时代，智能移动终端拥有强大的处理能力，正在从单纯的通讯工具向综合信息处理平台转变。移动互联网用户占整体互联网用户的比例逐年上升，如此庞大的用户群体为移动支付行业的发展奠定了基础和巨大的市场机会。在此背景下，以手机银行为代表的移动终端应用软件无疑将得到快速发展。我国移动支付市场迎来了爆发式增长。未来几年，随着NFC技术的进一步普及以及以卡组织为代表的技术的市场应用，我国移动支付渠道将迎来新时代。

尽管如此，移动支付也将对金融行业现有的信息安全保护体系带来巨大的挑战和风险。作为网络支付的重要工具，移动终端应用软件本身的安全是网民账户和资金安全的基础。如果移动支付客户端存在安全隐患或安全漏洞，极有可能被黑客或病毒利用，造成用户银行账户信息泄露，造成直接财产损失。如何保障移动金融支付客户端的安全已成为当务之急。

移动终端应用软件（APP）作为上述所有移动终端支付、身份认证技术的前端载体和展示媒介，是安全的第一道防线。保护APP是保护支付服务和用户隐私数据的第一阶段。基于上述安全需求，中国金融认证中心信息安全实验室向广大金融行业用户和软件开发商提供移动终端应用软件测试服务。

测试基地

移动终端应用软件安全检测标准

▶Q/.1.2——2013《中国银联移动支付技术规范第1卷第2部分移动终端支付应用软件安全规范》

移动终端应用软件安全检测标准

▶GB/.1-2008《信息技术安全技术信息技术安全评估准则第1部分：简介和通用模型》

▶GB/.2-2008《信息技术安全技术信息技术安全评估准则第2部分：安全功能要求》

▶GB/.3-2008《信息技术安全技术信息技术安全评估准则第3部分：安全保障要求》

▶JR/-2012《中国金融移动支付客户端技术规范》

▶JR/.3-2012《中国金融移动支付标准第3部分：客户端软件》

测试内容

CFCA信息安全实验室依托自身多年的技术积累，对移动终端应用软件安全测试进行了细致的划分，涵盖了七大测试领域、数十个测试项目、数百个测试点。

生命周期安全是客户安全测试经常忽视的一个环节，一般的测试侧重于技术，而忽略了对开发流程安全性的把关。合理合规的开发流程是开发安全软件的基础。同时，CFCA信息安全实验室也发现，现有的标准中只有软件开发标准，而没有软件安全开发的相关标准。遵守软件开发标准是开发不出安全的软件的。因此，CFCA信息安全实验室将重点放在生命周期安全测试上，努力寻找软件生命周期支持中的弊端，目标是将软件生命周期变成软件安全生命周期。

人机交互安全重点关注用户与客户端的交互，通过登录安全控制检测、支付安全控制检测、密码管理安全检测、会话安全控制检测四个方面的检测，发现人机交互过程中存在的安全风险，并对发现的安全漏洞提出整改建议。

程序安全以客户端自身防护为切入点，通过程序异常检测、反编译防护测试、程序权限安全测试、程序API/函数安全测试四个方面的测试，发现客户端自我防护存在的缺陷。

数据安全以数据保护为基础，对数据录入、数据访问、数据存储、数据传输的整个数据流向进行深度检测，探究可能出现的数据泄露、数据篡改等风险，从根本上保障用户隐私和账户数据安全。

通信安全以互联网现有的安全形态为指导，通过网络通信协议安全、安全认证、不可否认性等多重测试发现问题，使得客户端与服务器之间的通信传输在现有的安全形势下能够提供足够的安全保障。

检测对象

基于目前智能移动终端的市场分析，CFCA信息安全实验室对移动终端应用软件安全测试采用环形结构，以iOS为核心，其他智能平台围绕其展开。随着未来智能平台格局的变化，环形结构可及时调整核心点，确保测试内容能够精准、快速覆盖测试对象。