移动互联网信息安全解决方案.docx

? ? ? ? ? ? ? 移动互联网信息安全解决方案 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  随着移动互联网产业蓬勃发展，APP在企业中扮演了越来越重要的角色。有资料显示，2014年，谷歌PlayStore的应用数量达到了143万，首次超过AppleStore的121万。而亚马逊商店的应用数量也达到了39.3万，排名第三。可见，越来越多的企业己经通过APP应用实现企业业务逻辑、核心经营业务逻辑等部署，完成了从PC向手机PAD等智能移动设备的迁移。移动办公、移动交易己经成为企业必须部署的新方式。 1、背景和需求 据不完全统计，2013年至2016年企业APP开发市场规模将突破百亿人民币。企业APP给各大企业带来很大的经济效益的同时，核心的APP安全方面不容忽视。很多企业发现自己开发的APP被仿冒，被二次打包，甚至被加载恶意代码在安卓市场上分发，为企业的信誉形象带来不可估量的损失。同时针对金融，支付等敏感APP的钓鱼、注入、窃取等攻击也层出不穷，为企业的移动化，互联网化发展蒙上了阴影。 如何保障企业的APP不被破解、山寨、钓鱼或恶意利用，是每个向移动互联网进军的企业都要考虑的重要安全因素。为此启明星辰推出的天镜移动应用安全检测加固系统，旨在针对移动应用的安全提供检测加固一体化的产品和服务，解决企业在移动化，互联网化上遇到的安全问题。 2、解决方案 2.1总体设计 为了保障移动应用的安全性，启明星辰公司针对移动应用使用特点进行了大量的研究，针对移动应用系统（APP及其服务后台系统）完整生命周期中遇到的各项风险进行评估，对可能遇到的攻击手段进行预测，并以此构建了一套完善的安全防护体系，保护移动应用APP的安全及移动业务系统的安全。在依据“互联网+”行动计划的建设思想下，启明星辰充分利用先进的技术资源，提供对移动应用全生命周期的安全管控，避免企业数据泄露，避免移动应用被黑客攻击插入恶意广告、图片等，避免用户被手机病毒或被盗版应用欺骗、攻击，保障终端用户的安全，使这些移动应用更好的服务于各个层面的用户群。 在移动应用的全生命周期过程中，对移动应用程序进行安全管理、检测加固及监控，增加防逆向破解、防盗版、内存敏感数据防窃取等安全加固措施手段，以提高移动应用的安全水平，达到满足移动应用对程序性能和安全强度的要求。移动应用安全防护需要从移动应用全生命周期各阶段进行，包括设计开发、测试、上线、运维，每个阶段都需要采取相应的安全防护措施，整体过程如下图：  2.2移动应用安全服务 2.2.1安全检测 启明星辰公司提供的安全检测服务包括自动化检测工具和人工检测服务，其中人工检测服务按照检测深度分为常规检测、专家级逆向分析与漏洞挖掘。 2.2.2安全加固 移动应用安全加固服务是在安全检测服务的技术上，对移动应用的脆弱性、业务安全风险、内容安全问题以及缺陷漏洞等问题进行整改加固的服务。对已经开发设计完成的APP进行技术处理，使其具备更强安全防护能力的过程。安全加固主要针对AndroidAPP进行，广义的说iOS安全编译器及配套服务也可以称为iOSAPP安全加固。启明星辰公司提供的APP安全加固服务方案同时支持Android和iOS两大主流移动操作系统的APP，并提供多样化的配套服务。 应用安全测试服务 启明星辰公司可以对外提供的测试服务种类： lAPP系统兼容性与设备适配性测试，以下简称兼容性测试 lAPP运行性能测试，以下简称性能测试 lAPP运行稳定性测试，以下简称稳定性测试 lAPP功能有效性测试，以下简称功能有效性测试 对测试服务有更高要求的客户，启明星辰公司可提供额外的增值测试服务。一方面增加测试服务的频次，另一方面可以增加测试的项目，支持客户指定测试用例以及对原包（开发完成后未加固的APP）做完整的兼容性、性能、稳定性、功能有效性测试。 2.2.3移动应用渠道监测 渠道监控服务是启明星辰公司针对目前国内AndroidAPP发布渠道过多，市场发布渠道APP来源不确定的特点而提供的监测服务。主要监测市场发布渠道中出现盗版、破解、钓鱼、仿冒等情况，同时提供监测预警、渠道风险评估、盗版APP下架等服务。 2.2.4移动态势感知 移动态势感知主要是通过数据分析套件产品实现，产品致力于构建立体式的移动应用态势呈现方式，采用大数据信息采集、用户行为分析匹配及建模、机器学习算法研究等尖端技术，对当前的设备环境进行严格而全面的监控排查，保证其运行环境的安全性；量化用户的日常操作行为，为开发者完善APP功能及深入挖掘潜能提供有效参考；形象描绘用户及相关群体，为开发者的后续服务及市场定位提供准确的指导。 2.2.5应急保障服务 运营阶段APP在上线公开发布后，任何使用者都可以随意下载，这其中就包括APP最大的安全威胁