2014年企业级移动应用安全风险分析

移动应用的发展使得信息移动化已经成为政企业务及信息化创新的主旋律，BYOD的节能增效也备受追捧。但是移动应用安全风险依旧！据IDC数据显示，目前在全球范围内有12亿人在外用移动应用办公，有69%的用户表示会用自己的手机去访问公司的网络，且此数量还在不断攀升。移动互联时代，每个人，每一台移动设备都成为互联网的入口，数据安全问题从系统层面逐步走到了移动应用层，入口同时成为信息泄密的出口。移动应用安全风险导致的信息泄密事件频发，带来的经济和名誉损失让移动应用开发类企业对数据保护的态势愈加强烈。

这里是一份2014年企业级移动应用安全风险相关调研的数据分析：

背景

针对移动应用安全提供商的部分客户群，这些移动应用安全提供商涉及了政府、运营商、金融、机械制造业、互联网、教育及医疗等众多领域。

移动办公行业特性

 

调研结果显示，移动应用办公主要集中在政府、电信运营商、金融及互联网四大行业。

在国家大力推广信息化的政策下，政府对移动信息化保持了更高的执行力度，移动应用信息安全也提升到战略高度，可以说政府不仅是极具开发潜力的移动应用安全市场，也是更为广阔的移动应用安全市场。

金融行业是国家经济战略重要体系，数据重要性毋庸置疑。移动互联网金融对传统金融的冲击促使其新业务增速，移动保单、移动开卡等新业务在给金融单位带来高效收益，同时蕴含的高风险也慢慢暴露出来。

虚拟运营商与传统运营商的竞争格局已经凸显，加之运营商自身的行业优势，对移动应用信息化的安全有着极高要求。运营商内部的OA、移动应用门户及电话会议系统的移动化应用带来数据的高风险;同期运营商的云建设由于移动应用众多，更新频繁，云端出口难以保障，安全问题也愈加复杂。

近几年，移动互联应用和移动电商应用发展迅猛，推动信息消费也成为国家大力推行的重点战略。中国有最大的移动应用商务市场和最多的客户资源，这两个“最”，就决定了中国有最广泛的移动应用商务增值空间。在提高用户移动应用安全体验度的同时，未来无论是隐私还是安全，都是消费者最关注的，如何处置好二者的平衡成为移动应用安全发展重要因素。

移动办公个人情况

 

据数据统计，绝大多数人有移动办公需求：其中不需要移动办公的人群仅占10.3%，有移动办公需求的人群占89.7%，人数越多所潜伏的移动应用安全泄密风险就越高。针对这种情况，企业必须建立完善的移动应用安全措施，保障员工在移动办公过程中的敏感数据安全。

移动应用系统分布情况

 

我们针对移动应用办公系统的个人进行统计：移动办公自动化(OA 系统)占有率最高。OA系统一般企业都在应用，企业移动信息化建设也都以OA 建设先行。OA移动化降低了办公人员对个人电脑、办公地点的依赖，提高工作流程流转效率，提高企业的实时响应能力，所以移动应用自动化办公系统的占比最高是合情合理的。移动ERP 系统、移动CRM、移动HR及特殊行业的业务流程系统占比远低于OA系统，但同样影响企业的工作效率和实时响应能力。

移动信息系统的成熟度、安全问题等都是影响移动信息化的关键原因。移动应用安全系统不但是移动信息系统的重要组成，也是制约移动应用系统发展的瓶颈。移动信息系统市场催生了移动信息安全系统市场，大力发展移动信息安全产品，拓展移动信息安全市场将会反过来促进移动信息系统市场的健康发展。

移动信息系统数据在终端的保存状况

 

对于移动终端在个人使用情况下存放短信、照片等隐私数据，在企业级移动信息系统使用过程中主要保存的数据为邮件、通讯录、信息系统中的文件数据。受访者表示，目前移动网络的使用费用、稳定性、等待时间和展示效果等，都是影响数据需要在本地存放的原因。除了使用者存储的个人数据以外，绝大多数受访者表示，移动终端上同时会存放办公信息系统的过程数据。

六因素致移动办公泄密高风险

 

据调研结果显示，人们最担心的移动办公泄密高风险点占比集中：有54.9%的人选择“移动设备丢失”;49.7%的人选择“公共wifi”;46.4%的人选择数据未做加密保护，账号密码盗用、恶意APP和手机病毒等紧跟其后。由此了解到移动办公中接入、传输和存储的过程均存在泄密风险，在使用移动设备办公时必须同时确保设备本身和网络环境的安全性。

有很多企业数据(如包含企业重要信息的电子邮件)存储在个人手机上，公共场所设备丢失信息泄密风险增大;诸多公共Wifi天然处在一个开放状态，如果没有加密技术的保护，任何人都可能无障碍地访问到企业数据，因此数据加密传输显得尤为重要;个人设备上往往同时安装很多个人的APP，而个人APP市场恶意软件多如牛毛，这就将企业数据置于安全隐患之中;移动应用缺乏安全机制，数据或者明文存在的存储卡里或越狱的终端上，导致恶意程序可窃取、篡改或盗用的风险;手机病毒和恶意app方面，公网的不安全因素、设备使用场所的不固定都使盗取者可以获得账号、密码，所以账号、密码的安全性也是移动办公中需要注意的泄密风险点。

总结与对策分析

通过数据分析，可以看到企业级移动应用安全存在很大的风险。企业解决移动安全问题刻不容缓。移动办公类APP常见的漏洞及风险有：二次打包、植入恶意代码、资源文件被窃取与篡改风险、账号密码等隐私信息被窃取。针对这些漏洞风险，解决方案可以从dex专业加壳保护、dex专业加花保护、内存防dump保护、资源文件指纹签名保护、防二次打包保护、防调试器保护、高级内存保护、源码优化、SO文件保护。这是移动应用安全行业的第三方平台-爱加密，提出的专门针对移动办公类APP的加密解决方案，详细了解入口：

http://www.ijiami.cn/appprotect_move_office

最后，企业应该尽早完善安全体系建设以支撑移动信息化发展，信息安全制度和移动安全技术体系建设要两手抓两手都要硬。

 

转载于:https://my.oschina.net/wwwwwqqq/blog/338711