第25章 移动应用安全需求分析与安全保护工程

移动应用安全威胁与需求分析

• 移动应用系统组成

  

  • 移动应用：APP
  • 通信网络：无线网络、移动通信网络及互联网
  • 应用服务端：相关服务器构成，负责处理app数据

• 移动应用安全分析

  • 移动操作系统平台安全威胁：移动应用的安全性依赖于移动操作系统
  • 无线网络攻击：通信内容监听、假冒基站、网络域名欺诈、网络钓鱼等攻击
  • 恶意代码
  • 移动应用代码****
  • 移动应用程序非法篡改

Android系统安全与保护机制

• Android系统安全体系

  • 开源的移动终端操作系统，分成Linux内核层、系统运行层、应用程序框架层、应用程序层

    

  • 常见威胁形式：APK重打包、更新攻击、诱惑下载、提权攻击、远程控制、恶意付费、敏感信息搜集

• Android系统安全机制

  

  • 权限声明机制
  • 应用程序签名机制
  • 沙箱机制：实现不同应用程序和进程之间的隔离
  • 网络通信加密
  • 内核安全机制

iOS系统安全与保护机制

• iOS系统安全体系

  • 分为：

    • 核心操作系统层：提供本地认证、安全、外部访问、系统等服务
    • 核心服务层：提供给应用所需要的基础系统服务
    • 媒体层：提供应用中视听技术
    • 可触摸层：触摸交互操作

    

• iOS系统安全机制

  

  • 安全启动链：iOS平台的安全依赖于启动链的安全
  • 数据保护
  • 数据的加密于保护机制：强制加密
  • 地址空间布局随机化
  • 代码签名
  • 沙箱机制

移动应用安全保护机制与技术方案

• 移动应用App安全风险
  • ****风险
  • 篡改风险
  • 数据窃取风险
• 移动应用App安全加固
  • 防逆向、防调试、防篡改
  • 数据防泄漏、传输数据防护
• 移动应用App安全监测
  • 身份认证机制监测
  • 通信会话安全机制检测
  • 敏感信息保护机制检测
  • 日志安全策略检测
  • 交易流程安全机制检测
  • 服务端鉴权机制检测
  • 访问控制机制检测
  • 数据防篡改能力检测
  • 防SQL注入能力检测
  • 防钓鱼能力检测
  • App安全漏洞检测

移动应用安全综合应用案例分析

• 金融移动安全

  • 实施移动App安全开发管理
  • 移动App网络通信内容安全加密保护
  • 移动App安全加固
  • 移动App安全测评
  • 移动App安全监测

• 运营商移动安全

  • 风险：
    • 账号、密码窃取
    • 漏洞利用
    • 恶意代码
    • 数据窃取
    • 恶意刷量、刷单
    • 拒绝服务攻击
    • 计费SDK**
    • 社工库诈骗

• 移动办公安全