随着移动互联网的发展,政府信息化建设已经从传统的 PC 端转移到移动端,以移动办公、移动执法、移动审批、移动巡检等为代表的移动信息化已成为政府部门履行自身职能的必备工具。与此同时,各地政府为方便人民群众办理政务服务事项,开发并上线便民办事类APP。涉及交通出行、劳动就业、企业开办等多个关注度高的领域,目标是实现办事预约的全覆盖,即通过手机便可查询所有办事指南、轻松完成办事预约以及随时查看办事状态等。
如今,通过移动 APP 展开工作及相关业务已然成为政企必不可少的运作方式。而移动信息化的发展规划则需要综合考虑应用安全、业务安全、个人信息安全及合规风险等问题,对于政企来说至关重要。
移动信息化带来的风险
互联网 + 的大力发展,使得移动信息安全的重要性日益凸显。移动 APP 逐渐成为应用系统的主要入口,但其存在的安全风险则是重大隐患,如:移动 APP 被反编译、APP 被分析业务逻辑、个人信息安全风险、篡改认证证书、篡改内存数据、窃取本地数据等。除此之外,政企用户还面临着合规性的建设压力,包括监管机构、移动应用安全检测机构检测以及等级保护测评机构测评等合规性要求。
政企行业移动应用安全解决方案
政企行业移动应用安全建设,既要加强被动防护能力,还要逐步建立动态监测及防御能力。通过对政企行业的移动应用进行安全检测分析,可从如下几个阶段加强其安全保障。
移动应用对外提供服务前:
1、移动应用安全检测服务
对移动应用存在的安全风险漏洞主动进行检测,建立有效的风险检测平台及评估体系。
对移动应用的用户个人信息安全风险进行评估,包括信息收集、安全存储、信息注销等方面的安全性、合理性、合规性。
移动应用进行兼容性测试、性能测试来确保加固后对业务连续性、稳定性、用户体验的影响。
2、移动应用安全加固
确保移动应用本身的代码的安全性,(包括程序中的 DEX 文件、SO 文件、SDK 文件、H5 文件)。
确保移动应用本身的完整性,避免移动应用被二次打包(包括程序中的签名文件、清单配置文件、资源文件、DEX文件、SO 库文件、H5 文件)。
确保移动应用本身的应用安全(包括调试、内存代码注入、内存数据读取、内存数据修改、内存 dump、模拟器运行、应用页面截屏、应用页面劫持)。
3、移动数据安全
确保移动应用在运行过程中的数据安全(包括数据的输入、存储、输出)提高移动应用的威胁感知能力,防止大规模安全事件的出现。
4、WEB网站服务器维护
对政企网站服务器做动态防护,可实现防止自动化工具、高级DDOS攻击、中间人攻击等防护效果。
5、等保合规建设
确保移动应用安全合规,符合等级保护测评要求。
移动应用对外提供服务后:
加强对上架APP的安全监测,定向监测渠道市场中应用的下载量及版本统计。
及时获取渠道市场中存在相关盗版、钓鱼应用。
及时下架相关恶意应用,杜绝市场上存在的盗版、钓鱼应用。
杭州金投
需求:杭州办事APP需要保障APP设计的安全性及上线后的安全。
服务:安全咨询服务、安全加固服务、渗透测试服务、渠道监测。
亮点:APP全生命周期的安全保障,覆盖APP开发、测试、加固、渠道监测等。
美的集团
需求:智能家电移动 APP 安全检测与加固、web 服务器安全防护。
服务:移动 APP 渗透测试服务、移动 APP 定制化加固服务、web 服务器动态防护。
亮点 : 家电事业部及金融事业部的移动应用到服务端的整体防护。
国家电网
需求:电网集团下网上购电类应用安全加固。
服务:提供对“电 e 宝”、“掌上电力”等众多应用安全编码扫描、安全加固服务,帮助电网移动。
亮点:安全开发、安全准备、安全优化的全面方案。
其它案例
工业信息化部电子工业标准化研究院
国家计算机网络与信息安全管理中心
江苏电力
厦门航空
中国体彩网
华为
顺丰
恒大
标签: 移动安全
还木有评论哦,快来抢沙发吧~