海云安：深度解读移动应用服务器安全防御方案

近些年，随着移动智能化网络应用的不断发展延伸，移动智能终端开始逐步代替了传统pc工具，据相关权威组织预测，2017年移动终端的数量将会达到100亿，其中移动智能手机的数量将会达到28亿左右，由此引发的移动终端安全问题近些年也随之越演越烈，网络信息安全的主阵地也开始从PC领域逐步过渡到了目前的移动安全领域。

有需求才有发展，随着消费者对移动互联网依赖日深，众多企业也纷纷进军移动互联网+，借助移动应用技术将自身的诸多业务服务搬到了“掌上营业厅”，通过APP来开展系列业务，在新的安全需求的刺激下很多安全厂商也因此推出了多种移动终端的安全防护解决方案。

一时间，针对移动终端应用安全的加固方案、加密方案，防破解方案等得到了快速发展的契机，并迅速形成了成熟的体系方案，移动终端应用的安全问题得到了有效解决。但是，处于后端的移动应用服务器的安全防御却存在着安全缺口！

目前移动服务器的安全防御技术仍存在空白

但是移动业务系统并非仅由移动终端组成，还由数据处理的大脑—移动APP服务器、及数据通信链路也就是我们常说的通信网络这两项组成。前端的移动终端、中间的通信网络、后端的移动应用服务器这三者组成了一个完整的移动业务系统。 目前大多数安全厂商大都是针对移动终端设备及应用本身的安全性进行防护，如环境清场技术、加固技术、防逆向技术等等，却往往忽略了对移动APP服务器端的有效防护。

由于系统构成及业务场景的不同，移动应用的服务器面临的安全问题区别于传统的WEB服务器，常见的风险威胁如下：

两者有什么区别呢？目前移动APP服务器的安全往往是沿用传统的Web应用防火墙(WAF)或是入侵防护设备(IPS)来防护，但是缺少了对前端移动终端安全及通讯网络安全的联动防护，只单纯提供传统的服务器安全功能，无法彻底有效的对整个移动业务系统进行安全防御。

 

目前移动终端面临的威胁如下：

主要是围绕APP的破解劫持等行为产生的一系列风险威胁，如界面劫持、反编译，内存注入等等。

而目前移动业务安全威胁则主要有盗取资产、利用虚假身份榨取资源、利用业务漏洞盗刷、通过“剪羊毛”以及使用外挂工具等手段进行欺诈行为等也普遍存在。

填补市场空白：海云安推出国内首套移动应用防火墙系统（iMAF）

针对这一需求痛点，海云安凭借在移动信息安全技术领域的多年技术创新积累，结合实际的安全需求，推出了国内首套智能移动应用服务器防火墙产品—iMAF，iMAF产品在传统防火墙产品的基础上，结合目前移动业务系统的整体安全防护需求，增加了对移动终端、通讯网络的安全防护，并实现了一体化联动防御，可以有效保障整个移动业务系统的安全运行！

移动应用防火墙iMAF如何实现一体化防御？

1、“端管云”一体化的安全防御

iMAF系统方案中包含了三大体系的防护思路，分别是用于用于保障客户端安全的可信基SDK、用于网络通信加密安全的的云安链及用于服务器防护的云安盾。

针对传统的防火墙产品防护单一的现状，海云安iMAF系统有效增加了对移动客户端的保护，实现了防破解调试、防被代理、防模拟器、防界面劫持、重打包检测、非法外联监测等效果，再加上对网络通信数据的加密保护及针对后端服务器板块的深度防护，三位一体，协同防御，有效提升了对羊毛党、业务欺诈、敏感业务信息泄漏等系列业务风险的应对能力，实现了对整个移动场景下业务系统的深度防护，保障了相关业务的顺利有序开展。

移动应用客户端SDK：海云安通过可信基SDK工具实现了移动业务系统前后端的联控防御，并有效的针对移动端应用进行了加固保护，并可及时监控到前端移动端应用的攻击、破解威胁及性能故障等问题。

通信网络安全：通过云安链的私有加密算法可有效对通信数据进行加密保护，防止数据抓包等攻击行为，保障数据传输的安全可靠。

服务器端安全防御：海云安云安盾产品相比于传统WAF防火墙，在原有的防SQL注入、跨站攻击、Cookie注入等功能基础上如增加了诸多贴合移动系统需求的防户功能，如防剪羊毛、防欺诈等业务安全功能，还通过联动功能增加了针对客户端的性能监测服务，如崩溃监测、交互监测、网络请求监测、错误监测、ANR监测等。

2、高度便捷的集成特性

使用iMAF系统可以一站式的实现非常便捷的系统集成效果，比如通过集成APP端SDK，实现一键SDK集成方案，并附带完善开发文档，支持安卓、iOS端。对于通信网络加密可以实现自动链路加密，无需额外配置，即可拥有高强度的一次一密Token加密方案。

后端自动防护：自动防护多种后端架构的WEB程序，无需修改代码即可轻松实现高安全性的WEB防护。

3、安全风险+运行性能的实时监控支持

iMAF 系统提供了完善的恶意攻击行为及运行性能的实时状况监控功能，准确的记录遭受攻击的信息，覆盖移动客户端及服务器端。随时随地让信息安全人员了解客户端应用程序及服务器的安全状况，了解运行性能状况，通过分析有助于及时预警并定位安全攻击行为，发现攻击漏洞等，便于针对性地制定相应的安全策略或反馈给开发人员对相应安全漏洞进行修改。

iMAF还可通过图表的方式展示防御统计信息，提供运维人员或管理者网站安全及业务状况。

结语：

iMAF的出现切合了目前移动业务系统在各行各业快速应用所带来的安全需求，符合当下的移动安全发展趋势，作为信息安全的细分领域，很好的填补了移动安全市场的技术空白，目前一些非常依赖移动APP系统的行业领域，比如：移动金融、政府移动政务、移动医疗，大型企业的移动OA等，是iMAF产品的核心需求客户，在有效保护了核心数据安全、业务安全的同时，还可以大大减少在安全运维方面的人力及资源的投入，一体化实现整个移动业务系统的安全防御。

相信未来随着对移动业务安全需求的进一步提升，以iMAF为代表的移动服务器安全防御产品将会成为移动安全领域的主流趋势，毕竟在移动互联网的“淘金时代”，如何保障移动业务的安全开展才是整个企业安全策略中的重中之重！