够。

　　4、安全技术的发展：信息安全技术日新月异，针对手机银行的攻击手段也发展的很快，如重放攻击、截屏攻击、钓鱼攻击、中间人攻击等方式可能对现有的安全控制措施造成威胁。

　　全面的分析手机银行的安全风险是保障手机银行安全的基础，针对上述的情况，以下提出几种手机银行安全风险分析的方法。

　　四、手机银行安全需求分析

　　1、基于业务组件的分析

　　简单来说，手机银行的组件包括客户端APP、服务端和通讯线路，基于业务组件的分析就是分别对这三部分进行安全需求分析。

　　(1)从生命周期角度控制客户端APP安全

　　任何软件开发都会经历开发、测试、上线、更新和消亡的过程，手机银行APP也不例外，开发阶段可能存在编码安全风险，需要建立开发规范;测试阶段需要进行严格的安全测试;上线前需要经过专业的安全检测机构进行测试，手段包括代码审计、渗透测试等;软件更新需要遵循更变规范，分发使用时需要确保应用的完整性，在用户删除软件时不能留存敏感信息。

　　(2)确保服务端的安全

　　手机银行在重视客户端安全的同时，不能疏忽服务端的安全，服务端通常需要确保逻辑安全、会话控制和防攻击，其中对于暴露在互联网上的服务器要做到防止利用接口的攻击、拒绝服务攻击以及SQL注入等攻击。

　　(3)采用硬件认证和安全加密算法保障通讯安全

　　基于互联网的不安全性，必须采用安全的加密算法和密钥管理体系，软件本身的数字签名技术也存在着一定的风险，基于安全控制模块等硬件的数字签名技术会安全许多，另外公开的加密算法或多或少存在被破译的风险，建议采用商密级的未公开加密技术。

　　2、基于业务过程的安全分析

　　我们可以把手机银行的业务流程归为两个过程，分别是初始化过程和交易过程。

　　在初始化过程中，可能存在下载了不安全的客户端APP的风险，造成钓鱼攻击或窃取信息，需要对客户端APP进行完整性校验或客户风险提示;同时手机的运行环境安全也是非常重要的环节，在下载应用前或使用后手机可能被植入病毒木马。这就需要做到对手机环境的扫描检测或告警，尤其是手机系统是否被Root，以及客户端APP的防逆向和防篡改。

　　在交易过程中考虑到手机环境的不安全，需要对输入法进行控制，宜用自带的随机干扰的输入法，通过规避按键的屏幕显示效果，使得黑客无法自动获得相关数据，建议使用数据干扰等防御模式，可以有效的使得黑客的内存攻击无效化，在内存中不存储明文的敏感数据，任何针对内存的攻击都无法获得敏感信息的明文。

　　3、基于场景分析的安全分析

　　既然手机银行安全事件的发生都是伴随着非正常因素，那么针对可能的异常场景的分析就能有助于发现一些潜在的安全隐患。例如场景一：下载非可信APP：安全风险主要体现在钓鱼，信息窃取，攻击的本质是针对业务的攻击。场景二：手机病毒木马，安全风险的主要体现是信息被窃听，或者信息被篡改，以及保存的信息被窃取泄露，本质风险在于存储安全，客户端APP自身安全和数据安全。场景三：手机遗失，安全风险主要体现在身份的冒用，认证风险等。场景四：不安全的网络环境，例如公共wifi下，传输数据可能会被窃听和篡改，所以需要相应的加密手段来解决。场景五：恶意补卡：可能会面临恶意补卡的攻击，实质上也是基于业务层面的安全风险。

　　4、基于技术攻击的安全分析

手机操作系统以Android为例，生产出的手机在出厂后都是不具备root权限，虽然用户在使用时会有诸多限制，但也带来了安全。手机root后会带来很多安全隐患，例如很多用户在root手机这个过程中很可能误删系统重

【更多热点请手机下载《爱济南》客户端 山东大小事尽在掌握】