移动APP安全测试要点 | 绿盟科技博客
两步邮件订阅，方便获取文章
欢迎订阅！现在已有1 966个朋友订阅了。
在后续邮件的尾部，您可以退订及修改订阅内容。
选择订阅组：对搜索结果不满意？试试论坛
开发者中心
数据库技术
钉钉开放平台
架构师中心
phpwind产品专区
－浏览 9425 － 回复 7
可访问的域本身就是一个开放的平台，如何有效保证开放性又能证明安全性?数据安全类APP开发可以将无钥签名专利技术(KSI)整合到云生产环境组合中。无钥签名是数据的电子标签(签名)，以纯数学算法检验及证明电子数据的...
－浏览 539 － 回复 0
其中，SOC2审计的是一家企业安全性、可用性、过程完整性、保密性或隐私性相关的服务控制，而CCM是目前国际上云计算行业通用的云安全控制要求及控制框架。此次第三方机构针对阿里云的数据安全审计过程，涉及阿里云...
－浏览 4494 － 回复 1
高可用、高可靠 基于飞天大规模分布式计算系统，通过自动故障迁移提供99.9%的可用性，通过存储的冗余备份确保数据的安全。三、开放数据处理服务 ODPS 开放数据处理服务(Open Data Processing Service,ODPS)构建在...
－浏览 5566 － 回复 0
阿里云-安全中心团队：我是做政府环保行业数据的公司，在目前...之所以不说安全性是因为我相信阿里能做到数据不会被黑客攻击盗取，不会因备份等原造成数据丢失。想请问下阿里云是怎么来做到数据的不会泄密性？谢谢！
－浏览 2612 － 回复 4
虽然，现在逐渐有各种安全措施加以保护，甚至未来还将不断推出完善的法律法规，但是最终数据的安全与否很大程度还是掌握在用户手中。云端互通一切以服务客户为宗旨，始终专注于云计算服务，坚实的技术、超强的市场是...
－浏览 3813 － 回复 0
[attachment=64934]作为中国药品电子监管网的主管单位，国家食品药品监督管理总局对支撑其运转的阿里云计算，提出了严格的数据安全保护要求，并希望由国家权威测评机构验证其安全性。今年8月，公安部信息安全等级...
－浏览 8462 － 回复 7
【推荐课程】专家带你深入学习APP安全漏洞及防护：[url]/promotion/174 今天我们来聊一聊移动App开发，如何确保代码和数据的安全性？以下是网友热议内容：来自云栖网友观点:似水的流年 使用...
－浏览 382 － 回复 0
传统的办法是通过保护网络、服务器、桌面和边界，在外围来保护信息的安全，很难有效地确保数据的保密性和完整性。那么，能否从直接保护关键的业务数据出发呢?这就是以信息为中心的安全战略。它将信息安全从网络边缘...
－浏览 5220 － 回复 0
底层分布式存储是强制多份写入，并且多份数据强制分布在多个交换机下,追求数据安全性，带来的是性能的开销的方式，我能够理解，毕竟做云计算服务提供商，是不能给用户丢数据的，数据丢了谈什么数据安全性和可靠性，...
－浏览 9105 － 回复 24
原来，用户自己要保证服务的安全性，现在由云计算服务提供商来保证服务提供的安全性。和云计算安全问题同样重要，云计算的可靠性和可用性值得高度关注。云计算安全提供给传统安全厂商以极大的优势来提高服务质量和...
－浏览 6145 － 回复 5
这些测评和认证可以为客户提供更多有关阿里云制定的安全策略、流程和程序，实施的安全控制措施以及安全运营的信息。ISO/IEC 27001 阿里云已取得ISO/IEC 27001国际认证。ISO/IEC 27001是一项被广泛采用的全球安全标准...
－浏览 3204 － 回复 0
对于所有与支付卡业务相关联的企业而言，PCI－DSS是一项重要的支付卡业务质素认证，评测支付卡数据的安全性，包括信用卡号、CVV2号等，同时关注账号或密码传输与储存的安全性。[attachment=104712]
－浏览 1931 － 回复 2
因为这些想要使用云服务的组织，其数据将被存储在外部，这会为数据的安全性带来更大的挑战。尽管数据会存储在云提供者的空间，但任何疏忽都将使该企业面临风险。云服务确实有可能造成新的待解决的安全风险，但也有...
－浏览 3626 － 回复 0
高可用性系统提供错误监控机制，对于故障采取自动迁移，采用多份备份来确保数据的安全性，系统达到高可用性。高SQL 语法兼容提供与ANSI SQL 高度兼容的语法支持，支持用户复杂的数据分析需求。提供Client 工具、...
－浏览 3041 － 回复 0
大数据时代来了，究竟如何确保数据的安全？大泄密时代？因为大数据的特征—体量巨大、类型繁多、价值密度低、处理速度快，在部分专家看来，大数据时代也被称作“大泄密”时代。360公司总裁齐向东告诉记者，据不完全...
－浏览 2650 － 回复 2
一方面云产品节约了大量的成本资源，另一方面它的安全性能不能得到保障是我们关注的问题。现在我们广泛使用的公共云，安全问题更是首当其冲最关键的因素。其实谈到安全性，它包含的范围很广泛，主要有数据安全，网络...
－浏览 16803 － 回复 61
2015年，阿里云里云全球率先发起“数据保护倡议”：“数据是客户资产，云计算平台不得移作它用，并有责任和义务帮助客户保障其数据的私密性、完整性和可用性。据悉，这是中国云计算服务商首次定义行业标准，针对用户...
－浏览 231 － 回复 0
一方面云产品节约了大量的成本资源，另一方面它的安全性能不能得到保障是我们关注的问题。现在我们广泛使用的公共云，安全问题更是首当其冲最关键的因素。其实谈到安全性，它包含的范围很广泛，主要有数据安全，网络...
－浏览 10839 － 回复 27
无论怎样，你的数据中心的安全性将会围绕你如何保护虚拟和云计算层。可扩展的安全服务 下一代安全使用各种服务来控制和保护基础设施数据。应用程序防火墙、基于API的安全以及网络流量服务监控都提供新水平的安全性。...
－浏览 4535 － 回复 6
未解决问题？到论坛提问试试吧!
你可能感兴趣您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
手机银行APP用户体验研究以及使用者和非使用者的对比分析.pdf 22页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：100 &&
你可能关注的文档：
··········
··········
MERCURIOUS ?Consulting? |2013 年5 月
手机银行APP 用户体验研究
使用者和非使用者的对比分析
2013 年5 月
MERCURIOUS ?Consulting? |2013 年5 月
手机银行客户端（APP ）是近几年才出现的基于移动技术的新的银行交易渠道。本研究利
用定性分析和定量分析的方法，探索影响银行 APP
使用体验的潜在因素，并对比银行
使用者和非使用者对这些因素的感知（perception ）和期望（expectation ）。基于定性
研究，我们选择了9 个潜在的影响因素，包括：功能性，用户界面，稳定性，易用性，安
全性，响应速度，流量消耗，权限要求，手续费优惠。分析显示，除功能性和手续费优惠
外，其他因素的感知价值均显著低于期望价值。这表明银行 APP
在开发设计上仍有较大
的提高空间。我们建议银行可以通过手续费的优惠作为切入点来普及 APP
的使用。此外，
我们的定性研究还发现，用户的使用体验会影响到到银行的企业形象及口碑。因此，优质
的银行APP 可以成为维护客户关系，维护企业形象，提高行业竞争力的重要工具。
MERCURIOUS ?Consulting? |2013 年5 月
项目团队成员 III
版权声明IV
研究背景 1
探索性研究——定性分析 1
2.1 访问法(interview)
2.2 内容分析法(content analysis) 4
的SWOT 分析 6
数据收集和分析 7
4.1 人口统计学分析 7
4.2 银行APP 用户的使用特征 9
4.3 用户感知和非用户期望的比较分析（t 检验） 11
附录A: Interview 结果统计 15
附录B: 内容分析法编码方案 16
参考文献 17
MERCURIOUS ?Consulting? |2013 年5 月
项目团队成员
项目经理：李陶婷
团队成员：王心蕊，经婉如，杨艳琳，袁嘉，竺正午，霍付全，诸乾
任务分工：
T1 背景资料收集 3 月11
杨艳琳，竺正午，王心蕊
T2 定性研究
正在加载中，请稍后...“互联网+”形势下银行业信息安全挑战与对策
来源：银行家&
　　银行业“+”IT治理课题组
　　自2013年“余额宝”出现以来，第三方支付、P2P网贷、众筹等迅速发展，互联网巨头携在零售、社交等领域的成功之势杀入，以其渠道多、门槛低等优势迅速吸引大量用户，对传统造成巨大的冲击。、(,)等纷纷发力部署在线零售平台，(,)甚至以“你好银行”品牌试水直销银行来实现自我革新。可以看到，传统金融借“网”升级成为趋势，政府层面亦将作为国家行动规划，“互联网+”已然成为21世纪以来最大的一次热潮。
　　然而，互联网金融的迅速成长也伴随着风险挑战，事件时有发生，近年来更有愈演愈烈之势。据不完全统计，截至2014年年底有近165家P2P平台由于黑客攻击导致系统瘫痪或数据被恶意篡改，一时间P2P在百姓心里成了高风险的代名词，在政府眼里成了监管失效的重灾区。互联网时代是以IT技术为生产工具、以数据为生产资料的时代，传统金融特别是大型国有银行在拥抱“互联网+”、实现业务创新的同时，如何守住信息安全底线、保障业务健康发展、维护消费者权益，是摆在从业者面前的一道难题。
　　“互联网+”对银行业的影响
　　比尔?曾预言银行将成为21世纪灭绝的恐龙，但我们认为灭绝的将只是那些过时的经营模式，市场和客户在进化、银行也在进化，最终银行业会变成怎样尚不可知，但趋势已经依稀可见。
　　业务渠道更广、服务更多样。一是银行纷纷加速互联网渠道的建设布局，从原有的网上银行、电话银行扩展到手机银行、微信银行等渠道，移动端的交易量增长更加迅猛，预测到2018年将赶超PC端；二是银行产品更加多元化，不再局限于传统的金融业务，呈现出平台化的发展方向，银行逐步从后台走向前台；三是银行与第三方机构的互联合作日益增多,目前与农行互联的第三方机构就超过2000家；四是服务范围不断扩大，借助互联网渠道的优势，银行的服务突破了时间与地域的限制，能随时随地向所有客户提供越来越丰富的服务，3A模式（Anytime、Anywhere、Anyway）俨然成为银行业未来的标准服务模式。
　　产品创新更快，更注重用户体验。一是系统逐渐倾向于“瘦核心、胖前置”的技术模型，开放式、模块化的架构为业务产品的快速上线和更新提供了技术保证；二是银行更多采用敏捷开发、灰度发布的方法，实现了产品的快速更替和功能改进；三是越来越多的银行在PC端、移动端通过提供UI自由定制、客户业务推荐等功能，为客户提供了个性化服务，实现了对单一客户的精确营销。从网银界面、卡面等的个性化定制到信用卡自选商户的积分优惠等业务产品的个性化服务，银行纷纷通过个性化服务增加对客户的吸引力。
　　大数据进一步驱动业务发展。“互联网+”时代，银行的数据量呈爆发式增长，非结构化数据成为数据分析闪光点。以农行为例，每年产生的非结构化数据增速惊人，目前已超过1PB以上。多家银行积极引进Hadoop、MPP、SQL等新技术，加紧建设大数据应用体系，大数据分析在银行业务创新、精准营销、风险管理、成本控制等方面正发挥着越来越大的作用。农行基于Hadoop技术架构的反洗钱系统，实现了分析速度和监控金额精度的双提升，系统作业处理从原来的小时级压缩至分钟级，交易金额监控分析的粒度从“百元”级精确到“元”级。
　　“互联网+”给银行业信息安全带来的挑战
　　“互联网+”极大地推动了银行业的变革，降低了金融服务的门槛，为各个层面的客户都带来了便捷高效的体验，同时也提供了更多便利。但互联网对银行业务产生积极影响的同时，也带来了诸多新的信息安全问题。
　　外部安全形势日趋复杂和严峻。一是面临的网络威胁越来越严重。除了传统的SQL注入、DDOS等常见攻击，APT等新型攻击方式（高级持续威胁攻击，指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式）也愈演愈烈，据统计，国内银行一年遭受的网络攻击次数就高达上千万次；二是第三方系统交互的风险愈加突显，第三方公司信息安全水平参差不齐，短板效应极易被黑客利用导致信息安全事件；三是客户的容忍度越来越低，互联网的放大效应加剧了信息安全事件的影响，银行面临的声誉风险压力倍增。
　　新技术、新架构带来新风险。一是开放式架构安全风险增大。相比传统封闭式系统，开放式系统漏洞更多，更容易遭受攻击；二是云计算技术引入新风险。部分传统安全手段已不再适合云平台，如传统加密技术可能影响云平台数据的正常使用，共享云基础设施中不同用户日志混杂，日志收集分析存在很大困难，个别应用的安全短板甚至会影响整个云平台的安全等等；三是产品安全设计滞后。产品研发中“重功能开发、轻安全设计”的传统问题依然突出，产品安全缺陷层出不穷。
　　互联网环境下，信息泄漏和滥用问题日益严峻。一是大数据依托海量数据集中，一旦泄漏，其危害不堪设想。近年来，金融业的数据泄漏事件可谓触目惊心、影响甚广，一旦被不法分子利用，产生的身份冒充、钓鱼诈骗等违法事件将极难防范；二是信息欺诈的伪装性更强、更难以识别。近年特别火爆的二维码支付，由于其极易伪造，真伪难辨，缺乏密码认证机制，客户“扫一扫”资金就可能不知去向；三是信息滥用现象普遍。企业对非业务必须数据的暗中收集、滥用等违法侵权行为屡见不鲜，今年蚂蚁金服的“花呗”非法收集用户系统中的人际关系信息用于催款，侵犯用户个人隐私，为企业大数据信息的保护敲响了警钟。
　　应对措施和建议
　　“互联网+”给银行业带来了一股新风，催动着传统银行的创新和变革，但是大型银行“诚信立业、稳健行远”的核心价值观不可颠覆，银行传统的合规经营文化、风险控制核心理念不可动摇，在坚持这些理念的基础上，信息安全工作必须与时俱进、锐意进取。
　　信息安全原则
　　“互联网+”时代，银行信息安全工作应坚持审慎合规、理性安全、快速响应、合作共治四大原则。
　　审慎合规：从合规角度出发，守住安全底线，重点防范信息泄漏和滥用，确保不发生长时间、大范围的信息安全事件。
　　理性安全：不追求绝对的安全，兼顾安全与成本，避免无限制的安全阻碍新技术的使用和业务的创新，安全要为业务服务。
　　快速响应：施行IT、业务一体化的监测、分析与处置，实现提前预警预判，快速消除信息安全风险隐患。
　　合作共治：监管部门、银行、安全机构要加强合作交流，建立信息安全情报合作分享机制，打造“互联网+”信息安全生态，共享信息安全成果。
　　应对措施
　　面对“互联网+”新态势下的信息安全挑战，银行应坚持四大原则，主动适应市场、环境、技术的变化。
　　建立专业高效权威的信息安全组织。一是在银行高管层设置CISO（首席信息安全官）或CPO（首席隐私官）统领全行信息安全工作；二是在行内建立横跨科技、业务、、公共关系等部门的信息安全团队，统筹制定全行安全策略，发挥各专业优势，针对安全问题实现一体化的整体快速响应；三是合理运用“外脑”，引入外部信息安全专家智囊团，凭借外部先进的管理技术理念，形成决策参考机制，带动技术研究革新，推动人才培养发展，为企业信息安全工作提供有力补充。
　　适时审慎地引入新技术新架构。一是针对互联网时代新型外部攻击方式多、来源广、影响大的特点，引入数据防泄漏、云端恶意代码防范、威胁情报系统等新安全技术，弥补开放式系统架构漏洞多的弱点；二是构建基于大数据的SOC（安全运行中心），以异常事件监测为基础，整合历史分析数据和业界威胁情报，实现安全态势的全维度智能感知、可视化展现及前瞻性预测；三是综合运用应用安全检测、云综合日志审计，引入同态加密等技术，适应云计算环境边界模糊、资源共享的特点，在保证用户体验的前提下，有效破解云环境的安全难题。
　　产品研发安全先行。一是产品设计阶段要遵循安全防控规范，既要防范SQL注入、跨站脚本等常见攻击，又要关注业务流程设计上的安全，避免出现平行越权（指相同权限等级的不同用户之间可以越权获取或操作他人的数据）等业务逻辑缺陷；二是要搭建安全的开发环境，使用正版开发工具，确保开发过程的安全可控；三是要选用合适的开发技术，如IOS平台APP应尽可能使用Native App Mode（原生APP开发模式）而非Web App Mode（HTML5框架开发模式），凭借其能够调用手机定位及其他传感器的特点提高程序安全性；四是加强产品安全测试，引入代码缺陷测试、web应用安全扫描等技术手段，将后台应用和终端APP纳入测试范围，把好产品安全质量关。
　　加强客户信息安全宣传。一是多层面多渠道加强客户宣传，提升客户安全意识。通过典型案例的动画、安全口诀小册子等方式，宣传网络钓鱼、电信诈骗等风险防范知识，充分利用互联网渠道，设立安全社区，进行安全金点子有奖征集，提升客户对信息安全的关注度与参与度；二是通过积分、现金或礼品等奖励方式，引导客户踊跃采用刷指纹、刷脸等安全可靠的新身份认证技术，引导客户形成安全使用习惯，建立银行与客户间的良性安全互动；三是强化银行与客户风险预警联动，利用大数据分析客户行为，发现异常行为及时提示客户，并向客户提供便利的安全问题反馈渠道，保证风险预警处置的及时。
　　“互联网+”时代，银行无法单枪匹马应对信息安全挑战，需要政府、企业、研究机构的共同努力，齐心协力共同开创互联网金融信息安全的新局面。
　　政府完善立法，扶持打击并举。一是结合互联网金融的特点，从保护国家安全、行业安全、个人安全出发，尽快围绕公民资金安全、敏感信息保护等领域建立健全有关法律法规，规范互联网金融健康发；二是融合“自主可控”与“互联网+”两大国家战略，加大对国产软硬件产品和信息安全技术研发和使用的扶持力度，摆脱核心技术受制于人的困境，创造“互联网+”时代金融安全自主可控的新局面；三是理顺网络安全执法体制，充实执法手段，持续打击网络安全犯罪行为，加大惩处力度，对于日益增多的跨国网络犯罪行为，还应加强国际合作，共同维护网络空间主权和安全。
　　完善监管标准，实施分类监管。一是在人民银行等十部委出台《关于促进互联网金融健康发展的指导意见》的基础上，针对互联网金融的特点，加快修订出台信息安全方面的规范标准，特别是数据保护和云计算、大数据等新技术的安全标准；二是建议在银行业监管评级的基础上，试行多部门联合的互联网金融信息科技监管评级，根据评级结果实施差异化的监管，对风险大的金融业务加强监管力度，避免一刀切，提升监管效率；三是采取适度宽松的弹性监管，在不突破信息安全底线的前提下，鼓励有条件的银行对国产自主可控产品进行先试先行，对于国产产品的可用性和可靠性给予监管政策倾斜与适度包容。
　　打造安全生态，共营金融信息安全。一是设立银行业网络信息安全平台，与CNCERT（国家互联网应急中心）及CVE（国际公共漏洞披露平台）等官方或非官方信息安全组织合作，为银行业内的安全事件多方预防、及时发现、快速预警和协调处置提供服务；二是建立银行、第三方安全机构、信息安全企业的常态化交流机制，准确把握信息安全前沿动向，交流安全防护工作经验；三是信息安全企业要发挥技术专业优势，对于“互联网+”时代的新型信息安全威胁，及时研发有针对性的防御产品，提供有力的技术支持，助力银行业的信息安全防护；四是要深化产学研用的合作对接，要加大对信息安全的科研投入，加速科研成果的产业化，银行的核心业务要积极尝试国产技术产品，形成产学研用一体化的良性循环。
　　“互联网+”时代，银行金融服务的产品与技术的融合创新不断涌现，信息安全工作挑战与机遇并存。未来，随着云计算、大数据、人工智能等新技术的不断发展和应用，信息安全工作将朝着更加灵活、智能、有效的方向发展。借助云计算、虚拟化、生物识别等技术，系统和产品的安全防护将变得更为可靠高效。风险防控和审计检查将更为智能、快捷，风险预防和违规行为阻断将更多从事后前移到事中、事前。随着量子通信等新技术的日益成熟普及，数据的保护也将更加有效可靠。相信在“互联网+”时代，银行信息安全工作将迎来更加美好灿烂的明天。
　　（作者单位：中国数据中心，上海自由贸易试验区，课题组成员：谢以清，叶奇青，胡亦恩，王国义，丁征涛，叶青晟，孙英明）
（责任编辑：郝运 HN064）
01/14 07:4612/28 10:4512/28 09:3012/22 10:5012/15 02:2312/04 13:1811/27 03:2511/26 11:31
银行精品推荐
特色数据库：
精品栏目：
每日要闻推荐
社区精华推荐
精彩专题图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。}