软考-信息安全工程师学习笔记119—移动应用安全综合应用案例分析(软考信息安全工程师题库)

金融移动安全

常见的金融移动安全风险

  • 木马控制用户手机
  • 钓鱼 App 捕获
  • 用户账户信息
  • 窃取转移用户资金

安全保护方案

1.实施移动 App 安全开发管理

针对金融业务安全性需求提供咨询服务,帮助客户了解潜在发全风险、优化业务设计。

  • 在 App 设计时,考虑应用安全问题。开展移动安全编程培训,培养安全意识。
  • App 增加安全防护功能,提供安全软键盘、防界面劫持、短信保护、清场等安全 SDK 和组件
  • 对移动应用源代码进行安全性检查及风险排查,减少 App 代码安全漏洞,及早发现金融业务安全风险。

2.移动 App 网络通信内容安全加密保护

针对移动 App 应用通信协议进行加密保护,防止应用通信协议被逆向分析,防止各类刷单、非授权客户端访问行为。对本地文件进行加密保护

3.移动 App 安全加固

对 App 进行安全加固,如 dex 加密、smali 流程混淆、so 文件加密、关键函数加密、增加反调试和反编译功能。

4.移动 App 安全测评

对移动应用进行渗透性测试服务,挖掘移动应用的安全漏洞,避免安全风险。参照《电子银行业务管理办法》《电子银行安全评估指引》《中国金融移动支付客户端技术规范》《中国金融移动支付 应用安全规范》等安全标准及信息安全等级保护标准等要求进行合规性核查,避免移动应用合规风险。

5.移动 App 安全监测

  • 钓鱼监测及响应。对 App 的仿冒、钓鱼应用进行钓鱼监测及响应,及时通知用户,并快速联系渠道下架仿冒、钓鱼应用 App,避免安全影响。
  • App 漏洞监测及响应。监测移动设备、移动应用、服务器等新增、突发漏洞,及时规避漏洞风险。
  • 盗版监测及响应。监测 App 应用分发渠道上出现的盗版应用,随时进行盗版下架处理。
  • 移动威胁安全态势感知。捕获针对 App 的攻击行为,提供可视化数据分析平台及实时安全防控技术

运营商移动安全

运营商移动应用安全主要面临的安全威胁

  • 账号、密码窃取。通过病毒、木马、社工库收集、字典破解性猜测等方式,非法获得用户账号及密码。
  • 漏洞利用。黑客及非法利益团体,通过系统漏洞侵入运营商服务器。
  • 恶意代码。将病毒、木马、逻辑炸弹、恶意扣费等恶意代码捆绑在移动应用上,通过运营商网络向普通用户扩散。
  • 数据窃取。利用非法手段窃取、盗用运营商用户重要数据。
  • 恶意刷量、刷单。利用运营商用户数据监管漏洞,伪造大量虚假身份/盗用真实用户身份进行自动化大批量的刷单、刷量。
  • 拒绝服务攻击。非法用户利用拒绝服务手段攻击系统。
  • 计费 SDK 破解。通过反编译、破解等手段,屏蔽、破解运营商的移动应用计费 SDK。
  • 钓鱼攻击。通过仿冒正版的钓鱼移动应用程序,截获、捕捉用户输入数据,非法入侵用户互联网账户系统。
  • 社工库诈骗。通过盗版、高仿应用收集用户信息,以及泄露的其他社工库,对用户实施诈骗

App 安全保护方案

  • 加固运营商 App,以及通过运营商应用市场推广的所有第三方 App。
  • 对提交到运营商应用市场的第三方 App 提供病毒、木马、恶意代码查杀服务。
  • 对运营商的计费 SDK 提供基于防调、防改、防破解的加固保护服务。
  • 对运营商的通信协议、证书进行加密。
  • 提供基于移动应用的威胁态势感知服务,实时预警接入网络的异常流量、入侵攻击、风险 App 等。

移动办公安全

移动办公主要面临以下风险

  • 设备丢失。操控丢失设备接入企业内网,窃取企业机密数据,破坏后台系统。
  • 信息泄露。存储在本地设备中的敏感数据丢失或被窃取,导致信息泄露。
  • 恶意攻击。植入恶意程序,对组织机构服务器进行入侵攻击。
  • 共享访问。员工分享设备、账号密码,泄露组织机构机密信息。
  • WiFi 监听。按入钓鱼热点,通信数据被劫持监听。

学习参考资料:

信息安全工程师教程(第二版)

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年8月11日 上午10:55
下一篇 2022年8月11日 上午10:57

相关推荐

  • 悦读文摘027期《合同精细管理》丨违约条款越严厉越好吗?(合同精细化管理)

    背 景 在交易合同签订后,若交易双方都能严格遵守合同约定,则合同顺利履行,皆大欢喜。但是,若有一方或多方未按合同约定履行,那么守约方该如何维护自身合法利益? 案 例 A公司是一家建…

    科研百科 2024年3月18日
    198
  • 工程进度管理实施细则

    工程进度管理实施细则 随着现代工程领域的迅速发展,工程进度管理已成为项目管理中不可或缺的一部分。通过有效的工程进度管理,不仅可以提高项目的效率,还可以确保项目按时按质完成。因此,本…

    科研百科 2024年5月27日
    109
  • 实验室管理系统项目

    实验室管理系统项目 实验室是科学研究和实验的重要场所,也是保证科学研究质量和成果的重要保障。随着实验室规模的不断扩大和科学研究的深入发展,实验室管理也需要越来越高效和智能化。因此,…

    科研百科 2024年12月31日
    0
  • 项目管理进度管控措施

    项目管理进度管控措施 项目管理在企业发展中的地位越来越重要,项目进度管控是项目管理的核心之一。合理的进度管控措施可以帮助企业提高项目的效率和质量,减少项目风险。本文将从项目管理的基…

    科研百科 2024年8月19日
    41
  • 如何建设epc项目数据管理系统

    如何建设EPC项目数据管理系统 在EPC项目开发中,数据管理是至关重要的一个环节。数据管理系统可以帮助项目团队更好地管理和控制项目数据,确保数据的完整性、准确性和安全性。本文将介绍…

    科研百科 2025年1月25日
    0
  • 项目进度计划软件

    项目进度计划软件:帮助团队更好地管理项目 随着项目的不断推进,项目进度计划软件变得越来越重要。项目进度计划软件可以帮助团队更好地管理项目,确保项目按时按质完成。本文将介绍项目进度计…

    科研百科 2024年8月19日
    55
  • 科研信息管理系统(项目管理者的日常工作)(科研项目信息化管理)

    现在,我是第一个承认项目管理令人沮丧的人。这不是因为我很软弱!因为在完成项目计划之后,项目管理者的唯一任务就是发现项目的障碍并解决它们。请记住,项目障碍不仅是在特殊情况下出现,它们…

    科研百科 2022年5月22日
    239
  • 装修工程管理软件

    装修工程管理软件:高效管理装修工程的利器 装修工程管理软件是一种能够帮助装修工程管理人员高效管理装修工程的软件。随着装修行业的快速发展,装修工程管理软件已经成为了装修行业必不可少的…

    科研百科 2024年10月2日
    23
  • 2023年看板软件精选:用于项目管理的15个最佳看板工具(看板工具是什么-)

    在当今的商业环境中,组织需要足够敏捷和灵活来满足快速增长的市场需求。企业的工作管理结构需要提供明确的计划、流程和责任,以便按时并在预算内交付关键业务。考虑到这些挑战,敏捷和精益管理…

    科研百科 2024年2月13日
    144
  • 苏州项目管理软件系统

    苏州项目管理软件系统 苏州是一个历史悠久、文化底蕴深厚的城市,也是中国南方的重要城市之一。在这个城市里,有许多企业,他们需要一款高效、实用的项目管理软件系统来帮助他们管理项目。 苏…

    科研百科 2025年1月8日
    0