`
jishunaxieshi
  • 浏览: 4685 次
文章分类
社区版块
存档分类
最新评论

移动App安全等级保护测评防护要点

阅读更多

随着移动互联网的快速发展,丰富多彩的移动终端特别是移动App应用极大方便了用户的工作和生活,但是其信息安全面临极其严峻的现实考验。国家标准化管理委员会目前修订等级保护相关要求,将增加移动互联安全扩展要求。

从新版等级保护关于移动互联安全扩展要求征求意见稿来看,新标准要求采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。为加强移动互联的安全管理,新标准在传统等级保护的基础上,在技术层面上重点针对移动终端、App应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个方面进行扩展安全要求,在管理层面上对包括安全管理策略与制度、安全管理机构和人员、安全建设管理、安全运维管理在内的4个方面提出了相关的要求。

移动终端安全防护方面 

针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,如应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。 

移动应用安全防护方面

针对移动应用App被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用App发布的问题,在移动应用App发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。 

几维安全结合《GBT28448-2019信息安全技术网络安全等级保护测评要求》中的评测指标和评测要求,通过全自动的方式,模拟攻击者攻击的方式,采用静态、动态、源码及漏洞嗅探的方式,自动检测Android/IOS应用内部存在的各种应用漏洞,包括代码保护、动态防御、本地数据、网络数据、恶意漏洞等80+项风险点,平均10分钟即可完成静态分析和动态分析检测[真机检测],生成可视化的在线报告和Word格式的离线报告,缩短人工评测的时间。

几维安全APP安全检测满足等保评测要求、操作简单、基于APK/IPA包即可完成、10分钟内极速输出报告、支持Android和IOS双平台。

无线网络安全防护方面

针对无线网络安全接入与安全传输的问题,在标准中提出了对无线网络设备安全接入、入侵防范、通信传输等方面的安全要求。如能够检测、记录、定位非 授权无线接入设备;能够检测到无线接入设备的SSID 广播、WPS等高风险功能的开启状态;在无线通信传输中对敏感字段或整个报文进行加密。 

移动互联安全管理方面

在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计,并且纳入了系统总体方案设计。

如今,山寨App泛滥,隐私泄露、恶意扣费、流量损失等事件屡有发生,严重影响了程序的正常使用以及使用者的正常生活和工作。为了适应新技术的发展,应加强对采用移动互联技术的等级保护对象的安全防护,提高移动APP的安全,切实保障信息安全。

 

分享到:
评论

相关推荐

    移动APP安全及等级保护测评研究.pdf

    移动APP安全及等级保护测评研究.pdf

    移动APP安全及等级保护测评实践研究.pdf

    移动APP安全及等级保护测评实践研究.pdf

    移动App安全及等级保护测评研究 (2).pdf

    移动App安全及等级保护测评研究 (2).pdf

    掌上医院APP移动终端信息安全防护方案.pdf

    该资源总结了掌上医院APP移动终端信息安全防护方案的设计和实施,旨在保护医疗机构的信息安全。该方案涵盖了移动互联网基础设施的安全风险评估、身份认证和授权、数据加密和备份、网络安全架构、边界安全检查、恶意...

    等级保护2.0之App个人信息保护测评方法的探讨.docx

    等级保护2.0之App个人信息保护测评方法的探讨.docx等级保护2.0之App个人信息保护测评方法的探讨.docx等级保护2.0之App个人信息保护测评方法的探讨.docx等级保护2.0之App个人信息保护测评方法的探讨.docx等级保护2.0...

    TTAF 078.7-2020 APP用户权益保护测评规范 下载分发行为.pdf

    9.T/TAF 078.9-2020 APP用户权益保护测评规范 移动应用分发平台信息展示 10.T/TAF 078.10-2020 APP用户权益保护测评规范 自启动和关联启动行为 APP收集使用个人信息最小必要评估规范系列标准 1.T/TAF 077.1-2020 ...

    网络安全等级保护移动互联安全防护技术体系设计.pdf

    为了提高移动互联系统的安全防护能力,需要从以下几方面入手:首先,制定统一的移动互联安全等级保护标准,规范移动互联系统的安全建设;其次,研发适合移动互联环境的安全技术解决方案,包括但不限于安全计算环境、...

    TTAF 078.5-2020 APP用户权益保护测评规范 违规使用个人信息.pdf

    9.T/TAF 078.9-2020 APP用户权益保护测评规范 移动应用分发平台信息展示 10.T/TAF 078.10-2020 APP用户权益保护测评规范 自启动和关联启动行为 APP收集使用个人信息最小必要评估规范系列标准 1.T/TAF 077.1-2020 ...

    网络APP信息系统安全等级保护定级报告.pdf

    《网络APP信息系统安全等级保护定级报告》详细阐述了如何评估和确定网络应用程序的信息系统安全等级,这是确保网络安全和用户数据安全的重要步骤。报告中提到的XXX系统由重庆市綦江区江仲欣电子商务有限公司开发,...

    TTAF 078.4-2020 APP用户权益保护测评规范 权限索取行为.pdf

    9.T/TAF 078.9-2020 APP用户权益保护测评规范 移动应用分发平台信息展示 10.T/TAF 078.10-2020 APP用户权益保护测评规范 自启动和关联启动行为 APP收集使用个人信息最小必要评估规范系列标准 1.T/TAF 077.1-2020 ...

    移动APP安全测试总结.doc

    移动APP安全测试是确保应用程序在面临各种安全威胁时能有效防护的重要环节。本文将深入探讨移动APP的安全风险、反编译保护、二次打包防范以及组件安全等关键知识点。 首先,移动APP安全风险主要分为三个层面:...

    2015年移动APP安全性或成为APP核心竞争力

    2015年移动应用(APP)安全性的提升被提到了前所未有的高度,有可能成为移动APP市场竞争中的关键...在智能硬件与移动APP相互融合的大背景下,安全防护将是一个不断进化的课题,需要开发者持续关注和适应新的安全需求。

    中外移动APP用户隐私保护文本比较研究.pdf

    移动APP用户隐私保护文本比较研究 随着移动互联网的发展,移动APP的数量急剧增加,用户个人信息成为移动互联网多个参与主体抢夺的目标,个人信息保护成为网络时代的研究热点。制定用户隐私声明或服务条款,是互联网...

    TTAF 078.6-2020 APP用户权益保护测评规范 违规收集个人信息.pdf

    9.T/TAF 078.9-2020 APP用户权益保护测评规范 移动应用分发平台信息展示 10.T/TAF 078.10-2020 APP用户权益保护测评规范 自启动和关联启动行为 APP收集使用个人信息最小必要评估规范系列标准 1.T/TAF 077.1-2020 ...

    移动安全APP 风险防护

    移动安全APP风险防护的核心内容包括对APP面临的各种安全威胁的了解与防护、APP加固技术的使用、APP工作原理的保护、防篡改、防调试与注入保护、反编译和反汇编的防护措施以及脱壳攻击测试。 移动APP面临的威胁主要...

    金融行业移动App安全观测报告.pdf

    综上所述,《金融行业移动App安全观测报告》不仅揭示了当前金融移动应用安全领域存在的问题,更提出了加强监管、严格审查、开发者加强安全意识、用户自我保护等多方面的工作思路。这是一份全面而深入的报告,为金融...

    TTAF 078.2-2020 APP用户权益保护测评规范 定向推送.pdf

    9.T/TAF 078.9-2020 APP用户权益保护测评规范 移动应用分发平台信息展示 10.T/TAF 078.10-2020 APP用户权益保护测评规范 自启动和关联启动行为 APP收集使用个人信息最小必要评估规范系列标准 1.T/TAF 077.1-2020 ...

    APP个人信息保护合规评估资料合集.zip

    《移动金融客户端应用软件安全管理规范》检测App安全设计要求 《app违法违规收集使用个人信息行为认定方法》及检查步骤 《个人信息保护法》下的企业合规自查checklist APP个人信息收集使用合规自查清单 移动互联网...

    移动APP安全漏洞分析技术与方法

    然而,随着应用的普及,移动App的安全漏洞问题也日益凸显,给用户设备与信息安全、企业业务和声誉带来了严重的威胁。因此,移动App安全漏洞分析技术与方法显得尤为重要。 在移动应用安全背景介绍中,可以了解到,...

Global site tag (gtag.js) - Google Analytics