移动App安全等级保护测评防护要点
伴随着移动互联网技术的迅速发展
根据最新版《等级保护》关于移动互联安全管理的补充意见稿
移动终端安全防护方面
针对移动终端的安全性问题, 标准重点规定了移动终端的安全运行环境, 应对应用程序的安装管控以及终端设备自身的安全性做出了明确规定. 具体而言, 应当对能够访问不同级别的保护对象的移动终端实施应用层面的隔离管理; 并应当具备软件白名单功能, 通过设置白名单来实现对应用程序的安装权限控制; 同时, 移动终端还应当能够进行设备生命周期管理, 实现设备远程操控以及安全监控功能.
移动应用安全防护方面
针对移动应用程序遭受篡改或假冒的挑战,在制定相关标准时应当运用校验技术确保程序代码的安全性。同时规定,在开发完成并投入运行之前必须对业务层面的移动应用软件进行安全检测;对于在发布渠道及管理过程中涉及的各类问题,则必须确保相关移动端设备上的应用程序均源自可信赖的证书签名或可靠的分发途径
基于该标准中的评测指标和具体要求,几维安全结合《GBT28448-2019信息安全技术网络安全等级保护测评要求》开展相关工作。通过自动化手段模拟真实攻击场景,在线识别包括代码保护、动态防御、本地数据、网络数据等在内的多类潜在风险。系统自动完成对Android/IOS应用内部各种漏洞的检测工作,并对包括代码保护、动态防御、本地数据、网络数据等在内的80+项风险点进行分类识别。平均只需10分钟即可完成静态与动态分析检测(真机检测),生成可视化的在线报告以及可导出的Word格式详细分析报告。该功能显著缩短了人工评测所需时间。
几维安全APP的安全检测功能符合等保标准要求。该系统设计易于操作,在10分钟内即可快速生成详细的全面安全报告。通过解析APK和IPA包文件即可实现精准的安全漏洞排查与修复功能。该软件适用于Android及iOS双端设备。
无线网络安全防护方面
特别强调该标准对无线网络安全接入与传输的要求涵盖了三个主要方面:首先是安全接入管理;其次是入侵防护措施;最后是通信数据的安全处理能力。具体而言:
- 标准特别规定,在无线网络接入过程中需对非授权设备进行实时监控与识别;
- 特别强调标准能够检测并记录无线接入设备的SSID广播信息;
- 同时要求能准确监测并判断WPS等高风险功能是否被开启;
- 在无线通信传输环节,则有明确规定需采取加密措施保护敏感信息字段或完整报文内容。
移动互联安全管理方面
就安全管理而言,相关标准规定应当建立一套完整的移动互联安全管理制度,并对各类移动终端实施全方位的安全控制与管理活动,确保其运行环境的安全性与可靠性。为此,应安排一名专门的安全管理员负责制定并执行相关管理制度,明确其工作职责与权限范围。对于丢失的移动终端设备,应采取紧急措施,确保其内部存储数据能够得到及时有效的远程清除操作。在系统规划阶段,应当依据信息系统的安全保护等级制定相应的移动互联安全解决方案,并将这些方案作为整体系统设计方案的重要组成部分加以考虑与整合
当下