背景
在全球信息化時(shí)代,信息量呈爆炸式增加,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及三網(wǎng)融合在實(shí)際生活中的深入,目前,手機(jī)應(yīng)用百花齊放,移動(dòng)互聯(lián)網(wǎng)快速成長(zhǎng)。
移動(dòng)互聯(lián)網(wǎng)時(shí)代的爆發(fā)帶動(dòng)了移動(dòng)端設(shè)備趨于全能化的發(fā)展。比如目前的移動(dòng)端電子支付、移動(dòng)端查詢、移動(dòng)端充值等,都意味著越來(lái)越多的業(yè)務(wù)渠道開始以移動(dòng)端為主要渠道。
與此帶來(lái)便利的同時(shí),安全隱患也伴隨而來(lái),安全問(wèn)題也越來(lái)越突出。因此從2016年全國(guó)人大、網(wǎng)信辦、公安部、工信部等出臺(tái)了多條相關(guān)的法律法規(guī)凈化網(wǎng)絡(luò)安全環(huán)境。
但在移動(dòng)應(yīng)用軟件開發(fā)全生命周期中,仍然面臨著安全問(wèn)題亟待解決。例如權(quán)限濫用、逆向分析、二次打包等攻擊類型,一旦發(fā)生,將會(huì)導(dǎo)致用戶的隱私信息泄露,應(yīng)用的核心業(yè)務(wù)邏輯被獲取等風(fēng)險(xiǎn)。針對(duì)目前應(yīng)用在市場(chǎng)中的安全狀況,需要在軟件開發(fā)生命周期的各個(gè)階段進(jìn)行一系列針對(duì)移動(dòng)應(yīng)用安全的防護(hù)措施,保證APP安全。
國(guó)家及行業(yè)安全規(guī)范要求
1.符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)要求,如:
第三章《網(wǎng)絡(luò)運(yùn)行安全》第二節(jié)(關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全)第三十一條規(guī)定:國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
第四章《網(wǎng)絡(luò)信息安全》第四十二條規(guī)定:網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。
第四章《網(wǎng)絡(luò)信息安全》第四十四條規(guī)定:任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。
第五章《監(jiān)測(cè)預(yù)警與應(yīng)急處置》第五十二條規(guī)定:負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門,應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。
2.符合《信息安全等級(jí)保護(hù)管理辦法》中三級(jí)等保認(rèn)證相關(guān)建設(shè)要求,該等級(jí)規(guī)定:信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。
針對(duì)物流行業(yè)APP和智能設(shè)備需要降低信息安全風(fēng)險(xiǎn),提高信息系統(tǒng)的安全防護(hù)能力。
3目前針對(duì)物流行業(yè)移動(dòng)應(yīng)用面臨安全威脅問(wèn)題
目前物流行業(yè)移動(dòng)應(yīng)用的核心業(yè)務(wù)有:訂單信息查詢、移動(dòng)端在線電子支付、數(shù)據(jù)通訊與同步等業(yè)務(wù)。例如,對(duì)于移動(dòng)端電子支付來(lái)說(shuō),目前各行業(yè)移動(dòng)端二維碼支付已經(jīng)代替?zhèn)鹘y(tǒng)的支付方式,從安全角度出發(fā),二維碼安全需要對(duì)服務(wù)端下發(fā)私鑰,本地客戶端存儲(chǔ)密鑰等內(nèi)容做安全保護(hù)。
針對(duì)物流行業(yè)現(xiàn)狀需要信息安全縱深防御。面臨的安全隱患及安全問(wèn)題諸如,市場(chǎng)惡意軟件泛濫、移動(dòng)端平臺(tái)不足導(dǎo)致安全風(fēng)險(xiǎn)、多種多樣的攻擊手段等。
3.1市場(chǎng)惡意軟件泛濫
1、惡意扣費(fèi)
在用戶不知情的情況下,通過(guò)隱蔽執(zhí)行、欺騙用戶點(diǎn)擊等手段,訂購(gòu)各類收費(fèi)業(yè)務(wù)或使用移動(dòng)端支付,導(dǎo)致用戶經(jīng)濟(jì)損失。
2、遠(yuǎn)程控制
在用戶不知情的情況下或未授權(quán)的情況下,能夠接收遠(yuǎn)程控制端指令并進(jìn)行相關(guān)操作。自動(dòng)通過(guò)復(fù)制、感染、投遞、下載等方式將自身、自身衍生物或其他惡意代碼進(jìn)行擴(kuò)散。
3、資源消耗
在用戶不知情的情況下,通過(guò)自動(dòng)撥打電話,發(fā)送短信、郵件、彩信、頻繁鏈接網(wǎng)絡(luò)等方式造成用戶資費(fèi)損失。
4、誘騙欺詐
通過(guò)偽造、劫持、篡改、刪除、終止進(jìn)程等手段導(dǎo)致移動(dòng)終端功能、文件等無(wú)法正常使用。干擾、破壞和阻斷網(wǎng)絡(luò)服務(wù)和其他合法業(yè)務(wù)正常運(yùn)行。
3.2移動(dòng)端平臺(tái)不足導(dǎo)致安全風(fēng)險(xiǎn)
1、平臺(tái)架構(gòu)
Root提權(quán)攻擊風(fēng)險(xiǎn)
攻擊者一旦擁有攻擊權(quán)限就可對(duì)系統(tǒng)和文件進(jìn)行肆意修改
非法系統(tǒng)篡改
原生系統(tǒng)缺乏對(duì)系統(tǒng)鏡像加載過(guò)程的安全防護(hù),攻擊者可以在系統(tǒng)內(nèi)植入或安裝非法程序。
APK逆向破解
對(duì)于Android采用Dalvik虛擬機(jī)進(jìn)行代碼執(zhí)行,由于解釋語(yǔ)言機(jī)制會(huì)導(dǎo)致Android應(yīng)用容易被攻擊者通過(guò)反編譯的手段進(jìn)行逆向分析,進(jìn)而惡意篡改代碼后二次打包,損害用戶利益。
2、安全機(jī)制
偽造應(yīng)用簽名
Android的簽名機(jī)制保證應(yīng)用的安全性,但近年來(lái)暴露的簽名漏洞使得攻擊者利用惡意程序偽造合法應(yīng)用而繞過(guò)應(yīng)用簽名。
作用受限的保護(hù)機(jī)制
Android僅采用基于文件系統(tǒng)的加密技術(shù)保證數(shù)據(jù)安全一旦設(shè)備正常運(yùn)行,將暴露與系統(tǒng)的明文空間內(nèi)數(shù)據(jù)。
3、運(yùn)營(yíng)模式
版本碎片化
目前對(duì)于Android市場(chǎng)開源性,故市場(chǎng)上運(yùn)行的安卓版本眾多,版本過(guò)多分散導(dǎo)致漏洞暴露,給攻擊者帶來(lái)可乘之機(jī)。
第三方ROM良莠不齊
第三方ROM良莠不齊可能導(dǎo)致系統(tǒng)漏洞的篡改,給攻擊者帶來(lái)可乘之機(jī)。
3.3攻擊手段
盜版泛濫
結(jié)合中國(guó)目前移動(dòng)應(yīng)用市場(chǎng)的實(shí)際情況,Android系統(tǒng)開源性帶來(lái)的缺陷給移動(dòng)端APP帶來(lái)較大的安全風(fēng)險(xiǎn),同時(shí)行業(yè)內(nèi)多數(shù)移動(dòng)應(yīng)用APP在代碼防護(hù)及業(yè)務(wù)邏輯設(shè)計(jì)層面安全防護(hù)意識(shí)和措施不足,存在二次打包、盜版、釣魚、篡改、業(yè)務(wù)邏輯調(diào)試等攻擊風(fēng)險(xiǎn)。與此同時(shí),iOS客戶端也存在大量源代碼泄露、核心算法、核心接口信息被非法竊取等安全風(fēng)險(xiǎn)。這些安全風(fēng)險(xiǎn)使得攻擊者極易通過(guò)網(wǎng)上一些自動(dòng)化工具(如JEB等)進(jìn)行反編譯,扒取所有的源代碼和程序文件,進(jìn)而進(jìn)行二次打包再發(fā)布,造成盜版泛濫。
釣魚威脅
釣魚攻擊:攻擊者通過(guò)偽造APP界面進(jìn)行發(fā)布,誘導(dǎo)用戶下載進(jìn)而盜取用戶數(shù)據(jù)信息,目前釣魚攻擊是最為普遍的一種攻擊手段。攻擊者只需模仿真實(shí)應(yīng)用APP和其中關(guān)鍵界面,如登錄界面、轉(zhuǎn)賬界面,而用戶使用時(shí)無(wú)法辨其真?zhèn)危谶M(jìn)行賬號(hào)登錄或充值時(shí)實(shí)際上已泄露用戶數(shù)據(jù)信息并造成誤充值(誤充值:用戶在釣魚的充值界面充值時(shí),充值金額未到達(dá)真實(shí)服務(wù)器后臺(tái),而是流入攻擊者指定的服務(wù)器或路徑),在用戶信息泄露和利益受損的同時(shí)失去對(duì)政務(wù)應(yīng)用的信任,損害政府或企業(yè)形象,造成用戶大量流失。
插入反動(dòng)言論信息
電子政務(wù)行業(yè)移動(dòng)應(yīng)用作為政府利民的APP,若攻擊者借此插入一些反動(dòng)言論或是惡意廣告等,一方面影響APP本身的使用體驗(yàn),導(dǎo)致用戶量減少和大量差評(píng);另一方面插入的反動(dòng)言論將造成惡劣的社會(huì)影響,甚至上升到國(guó)家安全層面。目前移動(dòng)端APP展示界面被插入惡意廣告、反動(dòng)言論等信息已成為各個(gè)APP普遍存在的安全問(wèn)題,且通過(guò)網(wǎng)上一些公開工具就可實(shí)現(xiàn),成本極低。
信息泄露
個(gè)人隱私數(shù)據(jù)是行業(yè)及政府監(jiān)管的重點(diǎn)區(qū)域,如果現(xiàn)有移動(dòng)應(yīng)用安全措施不足,在實(shí)名制、登錄等關(guān)鍵業(yè)務(wù)場(chǎng)景中或是傳輸過(guò)程中數(shù)據(jù)以明文形式存在,極易導(dǎo)致用戶重要信息(如賬號(hào)、密碼、手機(jī)號(hào)、身份證號(hào)、車牌號(hào)等)泄露,且違反了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)要求:移動(dòng)應(yīng)用APP的使用應(yīng)確保用戶隱私數(shù)據(jù)的安全防護(hù)。信息泄露一旦發(fā)生,不但會(huì)造成自身APP公信力下降,注冊(cè)用戶及使用者下降,還會(huì)對(duì)政府形象造成損害。
垃圾短信
若電子政務(wù)行業(yè)內(nèi)移動(dòng)應(yīng)用在短信接口處存在業(yè)務(wù)邏輯設(shè)計(jì)缺陷且沒有做好上線前的安全防護(hù),其短信接口的調(diào)用方式極易泄露,使得攻擊者可采用接口重放攻擊等手段無(wú)限制的向用戶發(fā)送短信驗(yàn)證碼,實(shí)現(xiàn)對(duì)用戶的短信轟炸,造成資源損耗、運(yùn)營(yíng)成本上升并損害政府形象。
用戶差評(píng)
移動(dòng)應(yīng)用APP業(yè)務(wù)邏輯設(shè)計(jì)缺陷和安全防護(hù)不足除帶來(lái)應(yīng)用APP上線后的各種安全隱患外,還會(huì)導(dǎo)致很多較差的體驗(yàn)。目前電子政務(wù)行業(yè)內(nèi)很多移動(dòng)應(yīng)用在應(yīng)用市場(chǎng)中使用現(xiàn)狀并不十分樂(lè)觀,在移動(dòng)應(yīng)用市場(chǎng)上對(duì)任意一款行業(yè)內(nèi)APP進(jìn)行搜索,發(fā)現(xiàn)評(píng)論中多為崩潰無(wú)法及時(shí)發(fā)現(xiàn)、及時(shí)響應(yīng)的差評(píng),極易導(dǎo)致用戶體驗(yàn)下降,用戶流失。
4安全防御
梆梆安全針對(duì)APP面臨的安全和運(yùn)營(yíng)問(wèn)題,針對(duì)性提出APP全生命周期安全運(yùn)營(yíng)方案。以期為企業(yè)移動(dòng)端業(yè)務(wù)提供一個(gè)安全、自主、可控的運(yùn)營(yíng)配套體系。
APP的安全解決方案,梆梆安全認(rèn)為用戶應(yīng)該具備一個(gè)全生命周期安全視角:從APP設(shè)計(jì)開發(fā)、發(fā)布到運(yùn)維。移動(dòng)應(yīng)用全生命周期的安全的建設(shè)目標(biāo)應(yīng)該注重兩個(gè)關(guān)鍵詞:
1、縱深防御
縱深防御強(qiáng)調(diào)企業(yè)安全體系的閉環(huán)性和有效性。閉環(huán)性體現(xiàn)在架構(gòu)設(shè)計(jì)、安全流程建設(shè)、可信執(zhí)行及安全響應(yīng)四個(gè)方面:
架構(gòu)設(shè)計(jì)指的是從設(shè)計(jì)層面出發(fā)的安全架構(gòu),包含但不限于設(shè)計(jì)開發(fā)安全,可升級(jí)性和可擴(kuò)展性
安全流程指的是建設(shè)完整的安全質(zhì)量管理和控制流程,包含安全需求,安全建模,滲透測(cè)試,自動(dòng)化構(gòu)建和發(fā)布測(cè)試
可信執(zhí)行包含運(yùn)行環(huán)境可信,應(yīng)用可信,數(shù)據(jù)安全,執(zhí)行安全和通信安全
安全響應(yīng)包含運(yùn)維環(huán)節(jié)的安全監(jiān)測(cè)、應(yīng)急相應(yīng)及追溯機(jī)制
2、數(shù)據(jù)驅(qū)動(dòng)的安全
數(shù)據(jù)驅(qū)動(dòng)的安全即數(shù)據(jù)驅(qū)動(dòng)的安全感知和情報(bào)驅(qū)動(dòng)的安全防范。數(shù)據(jù)驅(qū)動(dòng)安全指利用大數(shù)據(jù)海量數(shù)據(jù),能夠結(jié)合業(yè)務(wù)特點(diǎn)進(jìn)行威脅建模,能夠支持復(fù)雜的決策分析和模型分析的優(yōu)點(diǎn),有效防范黑產(chǎn)灰產(chǎn)行為。
數(shù)據(jù)驅(qū)動(dòng)的安全體系建設(shè)目標(biāo)集中在以下幾個(gè)方面:
數(shù)據(jù)采集,數(shù)據(jù)采集是支撐后續(xù)規(guī)則判斷、大數(shù)據(jù)建模分析的必要條件。數(shù)據(jù)采集應(yīng)該能夠滿足合法、多維和有效性等原則。
數(shù)據(jù)使用:大數(shù)據(jù)驅(qū)動(dòng)的安全直接和銀行風(fēng)控系統(tǒng)對(duì)接。數(shù)據(jù)平臺(tái)借助不同緯度采集的數(shù)據(jù)(設(shè)備、應(yīng)用和行為)為設(shè)備和用戶畫像,把虛擬數(shù)據(jù)轉(zhuǎn)換成可識(shí)別的“人”。針對(duì)數(shù)據(jù)的關(guān)聯(lián)分析,機(jī)器學(xué)習(xí)及相應(yīng)的決策算法,建立起有效的威脅監(jiān)測(cè)模型和決策樹,實(shí)現(xiàn)對(duì)威脅的監(jiān)測(cè)預(yù)警
最新案例
- 易鏈倉(cāng)儲(chǔ)——打造大宗商品智慧倉(cāng)儲(chǔ)物流園區(qū)
- 中國(guó)物流SO56系統(tǒng)的白色家電運(yùn)輸應(yīng)用
- 一汽集團(tuán)汽車產(chǎn)前供應(yīng)鏈智能化物流技術(shù)改造項(xiàng)目
- 重慶長(zhǎng)享供應(yīng)鏈科技有限公司:打造行業(yè)領(lǐng)先整車末端物流數(shù)字化生態(tài)圈
- 中國(guó)東信:華建會(huì)采供應(yīng)鏈服務(wù)平臺(tái)
- 一汽解放:“物聯(lián)網(wǎng)+智能儲(chǔ)運(yùn)”助力打造數(shù)智化整車物流管理平臺(tái)
- 中原大易科技:智能物流技術(shù)與裝備創(chuàng)新應(yīng)用案例申報(bào)
- 上海南軟:打造數(shù)字供應(yīng)鏈及物流信息化平臺(tái)
點(diǎn)擊排名
- 銳特信息技術(shù)有限公司:物流團(tuán)購(gòu)第四方物流公共交易服務(wù)
- 常州東慧網(wǎng)絡(luò)科技有限公司:政成聯(lián)盟體物流信息平臺(tái)(ULP)
- 北京中京嘉信物流科技有限公司:基于O2O的高速汽修服務(wù)平臺(tái)
- 我國(guó)跨境電商發(fā)展現(xiàn)狀及問(wèn)題研究
- 上海壹米滴答供應(yīng)鏈管理有限公司:物流信息運(yùn)營(yíng)管理化核心系統(tǒng)
- 大數(shù)據(jù)對(duì)采購(gòu)與供應(yīng)鏈的影響
- 京東物流(企業(yè)名待確認(rèn)):京東物流倉(cāng)儲(chǔ)管理玄武系統(tǒng)
- 中國(guó)電信浙江公司:建設(shè)高效、集約、規(guī)范的集中倉(cāng)儲(chǔ)物流體系