移动互联网应用安全与服务规范培训.ppt

分析典型安全事件揭示安全问题根源提高安全防范意识案例分析案例启示吸取案例教训提高安全防范能力保护应用安全案例借鉴学习案例中成功经验提高应用安全防护水平降低安全风险移动互联网应用安全案例分析??????应用安全需求持续增长安全技术不断创新安全标准和规范逐步完善移动互联网应用安全发展趋势应对日益复杂的安全威胁提高应用安全防护能力保护用户隐私和数据安全移动互联网应用安全挑战加强安全研究和创新提高安全服务水平保护应用安全和用户权益移动互联网应用安全未来发展移动互联网应用安全未来发展展望谢谢观看Docs移动互联网应用安全与服务规范培训DOCS移动互联网应用安全概述及挑战01开发者安全意识和技能不足缺乏专业的安全培训对安全风险认识不足代码质量参差不齐应用商店审核机制不完善缺乏严格的安全审核存在恶意应用上架现象审核流程不够透明移动互联网生态环境恶劣恶意软件泛滥黑客攻击频繁用户隐私泄露严重移动互联网应用安全风险分析恶意软件威胁病毒、木马、蠕虫等恶意程序恶意广告和欺诈应用隐私窃取和数据泄露01网络攻击威胁DDoS攻击、网络钓鱼中间人攻击、网络监听暴力破解和漏洞利用02内部安全威胁内部员工恶意泄露数据内部系统安全漏洞内部人员未经授权访问03移动互联网应用安全威胁类型各企业安全措施不一缺乏行业统一的防护标准安全防护效果参差不齐缺乏统一的安全标准和规范依赖传统的网络安全防护技术缺乏针对移动互联网特点的防护技术安全防护手段不够智能化应用安全防护技术落后缺乏对应用安全的定期检测缺乏对应用安全的实时监控应急响应机制不完善缺乏有效的安全检测和监控手段??????移动互联网应用安全防护现状移动互联网应用安全规范与标准02国内外移动互联网应用安全规范国际移动互联网应用安全规范OWASPMobileTop10GooglePlay商店安全政策iOSAppStore审核指南国内移动互联网应用安全规范中国网络安全法移动互联网应用安全管理办法移动互联网应用安全标准应用程序安全开发生命周期（ASDL）安全需求分析安全设计安全编码安全测试安全部署和维护安全漏洞分类和严重程度评估漏洞分类漏洞严重程度评估漏洞修复优先级安全防护技术要求和实施指南数据加密技术要求身份验证技术要求安全检测与监控技术要求移动互联网应用安全标准解读建立完善的安全管理制度安全责任制度安全培训制度安全审计制度落实安全开发生命周期（ASDL）安全需求分析安全设计安全编码安全测试安全部署和维护加强安全检测和监控定期进行安全检测实时监控应用安全状况建立应急响应机制移动互联网应用安全规范实施策略移动互联网应用安全防护技术03数据加密技术对敏感数据进行加密保护采用安全的加密算法和密钥管理保护数据在传输和存储过程中的安全身份验证技术采用多因素身份验证机制保护用户隐私和数据安全提高应用安全性安全防护技术防止恶意软件入侵防范网络攻击和内部安全威胁提高应用安全防护能力移动互联网应用安全防护技术概述采用AES、DES等加密算法加密和解密速度快密钥管理简单对称加密技术采用RSA、ECC等加密算法密钥管理复杂加密和解密速度慢非对称加密技术采用SHA、MD5等消息摘要算法验证数据完整性和来源保证数据的真实性和不可篡改性消息摘要和数字签名技术移动互联网应用安全加密技术移动互联网应用安全身份验证技术密码验证技术采用强壮密码策略防止暴力破解和字典攻击定期更新密码短信验证码验证技术采用短信验证码进行身份验证防止恶意注册和登录提高应用安全性生物特征识别技术采用指纹、面部识别等生物特征提高身份验证安全性方便用户使用移动互联网应用安全检测与监控04静态安全检测代码审查和分析检测潜在的安全漏洞和风险提高代码质量动态安全检测运行时监控和分析检测潜在的安全威胁和攻击保护应用运行安全自动化安全检测工具采用专业的安全检测工具提高安全检测效率和准确性降低安全检测成本移动互联网应用安全检测方法实时监控应用安全状况监控应用运行状态监控应用安全事件及时发现和处理安全问题01建立安全事件应急响应机制制定安全事件应急预案提高安全事件应对能力降低安全事件影响和损失02定期进行安全审计和评估对应用安全进行定期审计评估应用安全防护能力指导和完善安全管理制度03移动互联网应用安全监控策略建立应急响应组织设立应急响应小组制定应急响应流程提高应急响应能力制定应急响应计划制定