软考-信息安全工程师学习笔记119—移动应用安全综合应用案例分析(软考信息安全工程师题库)

金融移动安全

常见的金融移动安全风险

  • 木马控制用户手机
  • 钓鱼 App 捕获
  • 用户账户信息
  • 窃取转移用户资金

安全保护方案

1.实施移动 App 安全开发管理

针对金融业务安全性需求提供咨询服务,帮助客户了解潜在发全风险、优化业务设计。

  • 在 App 设计时,考虑应用安全问题。开展移动安全编程培训,培养安全意识。
  • App 增加安全防护功能,提供安全软键盘、防界面劫持、短信保护、清场等安全 SDK 和组件
  • 对移动应用源代码进行安全性检查及风险排查,减少 App 代码安全漏洞,及早发现金融业务安全风险。

2.移动 App 网络通信内容安全加密保护

针对移动 App 应用通信协议进行加密保护,防止应用通信协议被逆向分析,防止各类刷单、非授权客户端访问行为。对本地文件进行加密保护

3.移动 App 安全加固

对 App 进行安全加固,如 dex 加密、smali 流程混淆、so 文件加密、关键函数加密、增加反调试和反编译功能。

4.移动 App 安全测评

对移动应用进行渗透性测试服务,挖掘移动应用的安全漏洞,避免安全风险。参照《电子银行业务管理办法》《电子银行安全评估指引》《中国金融移动支付客户端技术规范》《中国金融移动支付 应用安全规范》等安全标准及信息安全等级保护标准等要求进行合规性核查,避免移动应用合规风险。

5.移动 App 安全监测

  • 钓鱼监测及响应。对 App 的仿冒、钓鱼应用进行钓鱼监测及响应,及时通知用户,并快速联系渠道下架仿冒、钓鱼应用 App,避免安全影响。
  • App 漏洞监测及响应。监测移动设备、移动应用、服务器等新增、突发漏洞,及时规避漏洞风险。
  • 盗版监测及响应。监测 App 应用分发渠道上出现的盗版应用,随时进行盗版下架处理。
  • 移动威胁安全态势感知。捕获针对 App 的攻击行为,提供可视化数据分析平台及实时安全防控技术

运营商移动安全

运营商移动应用安全主要面临的安全威胁

  • 账号、密码窃取。通过病毒、木马、社工库收集、字典破解性猜测等方式,非法获得用户账号及密码。
  • 漏洞利用。黑客及非法利益团体,通过系统漏洞侵入运营商服务器。
  • 恶意代码。将病毒、木马、逻辑炸弹、恶意扣费等恶意代码捆绑在移动应用上,通过运营商网络向普通用户扩散。
  • 数据窃取。利用非法手段窃取、盗用运营商用户重要数据。
  • 恶意刷量、刷单。利用运营商用户数据监管漏洞,伪造大量虚假身份/盗用真实用户身份进行自动化大批量的刷单、刷量。
  • 拒绝服务攻击。非法用户利用拒绝服务手段攻击系统。
  • 计费 SDK 破解。通过反编译、破解等手段,屏蔽、破解运营商的移动应用计费 SDK。
  • 钓鱼攻击。通过仿冒正版的钓鱼移动应用程序,截获、捕捉用户输入数据,非法入侵用户互联网账户系统。
  • 社工库诈骗。通过盗版、高仿应用收集用户信息,以及泄露的其他社工库,对用户实施诈骗

App 安全保护方案

  • 加固运营商 App,以及通过运营商应用市场推广的所有第三方 App。
  • 对提交到运营商应用市场的第三方 App 提供病毒、木马、恶意代码查杀服务。
  • 对运营商的计费 SDK 提供基于防调、防改、防破解的加固保护服务。
  • 对运营商的通信协议、证书进行加密。
  • 提供基于移动应用的威胁态势感知服务,实时预警接入网络的异常流量、入侵攻击、风险 App 等。

移动办公安全

移动办公主要面临以下风险

  • 设备丢失。操控丢失设备接入企业内网,窃取企业机密数据,破坏后台系统。
  • 信息泄露。存储在本地设备中的敏感数据丢失或被窃取,导致信息泄露。
  • 恶意攻击。植入恶意程序,对组织机构服务器进行入侵攻击。
  • 共享访问。员工分享设备、账号密码,泄露组织机构机密信息。
  • WiFi 监听。按入钓鱼热点,通信数据被劫持监听。

学习参考资料:

信息安全工程师教程(第二版)

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年8月11日 上午10:55
下一篇 2022年8月11日 上午10:57

相关推荐

  • 装修项目的管理系统

    装修项目的管理系统 装修项目管理系统是一种用于管理装修项目的工具,能够帮助项目经理和设计师更好地控制项目进度,管理资源和预算,确保项目的质量和交付时间。本文将介绍一种基于Windo…

    科研百科 2024年12月28日
    0
  • “党建+网格”积分制管理推进村级精细化治理(村民积分管理考核细则)

    为推进乡村组织振兴,强化党建引领乡村治理,阿拉哈格镇库纳斯村以实施《库车市阿拉哈格镇网格精细化管理服务暨群众文明积分制管理实施方案》为契机,全面推进“党建 网格”积分制管理工作。在…

    科研百科 2023年9月12日
    173
  • 业务管理的软件

    业务管理的软件:如何提升企业效率 随着企业竞争的加剧,业务管理已经成为企业管理中不可或缺的一部分。为了更好地管理业务,企业需要一款专业的业务管理软件。那么,如何选择合适的业务管理软…

    科研百科 2024年9月30日
    28
  • 《国资报告》2024央企动向:不断增强风险防控能力 全面提升党建工作水平

    小新说 2024年是中华人民共和国成立75周年,是实现“十四五”规划目标任务的关键一年。《国资报告》3月刊特别策划 《2024央企动向》 ,深入解读年度工作会议报告,全面展现新动向…

    科研百科 2024年5月11日
    296
  • 科研项目与新技术

    科研项目与新技术 随着科技的不断发展,科研项目与新技术也在不断进步。在过去的几年里,我们见证了许多令人印象深刻的新技术,如人工智能、机器学习、区块链和虚拟现实等。这些新技术正在改变…

    科研百科 2025年3月2日
    0
  • 上网管家(上网管理软件有哪些)

    上网管理软件是一种可以帮助用户管理互联网浏览行为的软件,以下是一些常见的上网管理软件: 1. 浏览器扩展程序:浏览器扩展程序是一种可以扩展浏览器功能的软件,可以帮助用户更好地浏览网…

    科研百科 2024年6月2日
    84
  • 施工进度 管理软件

    施工进度管理软件: 让施工变得更加高效和准确 随着现代建筑行业的不断发展,施工进度管理变得越来越重要。一个好的施工进度管理软件可以帮助管理人员更好地控制施工进度,确保项目按时按质完…

    科研百科 2024年8月14日
    62
  • 中学英语科研项目

    中学英语科研项目 中学英语科研项目是近年来教育领域备受关注的话题之一。随着全球化的加速和英语学习的重要性日益凸显,越来越多的学校和研究机构开始关注英语学习的研究和实践。本文将介绍中…

    科研百科 2025年3月19日
    0
  • 清华大学线上科研项目怎么样清华大学线上科研项目怎么样

    清华大学线上科研项目怎么样? 随着科技的不断发展,线上科研项目已经成为了许多高校和研究机构选择项目方式的一种趋势。清华大学作为我国顶尖的高等教育机构之一,也在积极探索线上科研项目的…

    科研百科 2024年6月14日
    58
  • 工程建设项目审计管理办法(工程建设项目审计管理办法最新)

    工程建设项目审计管理办法 第一章 总 则 第一条 为了加强对公司工程建设项目的审计监督,规范审计程序,提高审计工作质量,根据****《审计工作制度》的规定,结合公司工程项目建设的具…

    科研百科 2023年12月22日
    166