首页 > 赛迪观察 > 正文

等保2.0之移动互联等级保护

来源:中国软件评测中心  作者:李婧  投稿时间:2018-01-26

  1.中国移动互联网发展现状
 

  2016年中国境内活跃的手机上网号码数量达12.4亿,占全国人口数量的90.2%;活跃的智能手机联网终端达23.3亿,九成以上运行Android操作系统和IOS操作系统,其中Android操作系统的智能手机最多。手机网民上网访问量最多的三个领域是社交、搜索和电子商务,使用最多的前三个APP是微信、QQ和百度地图,用户量分别为10.03亿、9.78亿和6.56亿。
 

  综上,移动互联已经变的非常重要,等保2.0中提出了移动互联等级保护的要求。
 

  2.移动互联存在的主要安全风险
 

  当今,智能手机具有极高的用户粘性,功能强大,能够进行通讯娱乐、信息管理、搜索聚合、在线办公等;并具有一直开机,随手可用,长时间在线的特点。
 

  信息泄露。智能终端中存储着大量的用户信息,个人信息泄露的事件时有发生。对用户信息安全造成严重的安全威胁。
 

  重打包应用(破解)、钓鱼应用。有的应用被逆向分析破解,加入恶意代码,重新打包发布,有的应用就是钓鱼应用。用户可能被恶意扣费、远程控制、诱骗欺诈等。
 

  应用漏洞。应用开发者有时对应用漏洞的维护不及时,手机用户不及时更新应用版本,都是应用漏洞被利用的重要原因。
 

  系统root。因各方面原因,手机可能会将系统root,取得操作系统的超级管理员权限。可能导致病毒木马入侵、系统不稳定、无法享受售后服务、隐私泄露等坏处。
 

  系统漏洞。漏洞爆出后,厂商对系统漏洞更新不及时的情况时有发生,用户也存在不及时更新漏洞的情况,导致已经发现的操作系统漏洞,继续被攻击者利用。
 

  3.等保2.0移动互联要求重点
 

  等保2.0移动互联安全要求的重点,以三级要求为例:
 

  物理和环境安全:无线接入点的物理位置合理性;
 

  网络和通信安全:定位非授权无线接入设备;
 

  设备和计算机安全:移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等;
 

  应用和数据安全:《网络安全法》要求的信息保护;
 

  安全建设管理:应保证移动终端安装、运行的移动应用软件由经审核的开发者开发;
……
 

  4.等保2.0移动互联要求的实现
 

  对于移动应用的安全状况,应该采用监测平台对第三方应用发布渠道上的应用进行持续的监测,并对移动应用软件进行等级测评和安全加固。
 

  比如中国软件评测中心具有“智能移动终端软件公共服务平台”,并申请了相关的专利(兼容安卓应用的服务签名方法与装置)。
 

  移动应用本身的漏洞,可以采用对移动应用进行等级测评,并进行应用加固。
 

  应用测试
 

  自动化安全扫描。通过自动化安全扫描发现病毒、木马、敏感权限、已知漏洞。
 

  定制化安全评估。对移动应用进行防篡改、防攻击、数据安全、通讯安全、业务逻辑、云端安全等定制化的安全评估。
 

  源代码安全检测。对移动应用的源代码进行源代码安全检测。

  应用加固
 

  应用安全防护。进行代码、脚本、资源加密、动态执行、数据加密、.so库混淆、设备捆绑等。
 

  运行环境保护。签名自校验、反调试保护、信号异常保护、反内存dump,敏感数据及时清楚等。

  业务场景保护。防钓鱼、防劫持、账号密码保护等。(通讯员:雷蕾)

共1页 |< 首页 < 上一页 1 下一页 > 尾页 >|

【上一篇】: 共享单车后半场,该如何收场?    【下一篇】: 2017年我国光伏产业运行情况分析

  中国电子信息产业发展研究院(赛迪集团)是直属于国家工业和信息化部的一类科研事业单位。成立二十多年来,一直致力于面向政府、面向企业、面向社会提供研究咨询、评测认证、媒体传播与技术研发等专业服务。形成了政府决策与软科学研究、传媒与网络服务、咨询与外包服务……[详细]

赛迪专家更多

在自主创新上突破 在产业生态上布局

近来,针对中兴美国被禁事件持续发酵,引发全民“谈芯..

孙会峰:算力即权力

2018年3月22日,主题为“人工智能开启数字经济..

赛迪机构

咨询业 媒体业 评测业 信息技术服务业 会展培训业 其他(分支机构)