软考-信息安全工程师学习笔记119—移动应用安全综合应用案例分析(软考信息安全工程师题库)

金融移动安全

常见的金融移动安全风险

  • 木马控制用户手机
  • 钓鱼 App 捕获
  • 用户账户信息
  • 窃取转移用户资金

安全保护方案

1.实施移动 App 安全开发管理

针对金融业务安全性需求提供咨询服务,帮助客户了解潜在发全风险、优化业务设计。

  • 在 App 设计时,考虑应用安全问题。开展移动安全编程培训,培养安全意识。
  • App 增加安全防护功能,提供安全软键盘、防界面劫持、短信保护、清场等安全 SDK 和组件
  • 对移动应用源代码进行安全性检查及风险排查,减少 App 代码安全漏洞,及早发现金融业务安全风险。

2.移动 App 网络通信内容安全加密保护

针对移动 App 应用通信协议进行加密保护,防止应用通信协议被逆向分析,防止各类刷单、非授权客户端访问行为。对本地文件进行加密保护

3.移动 App 安全加固

对 App 进行安全加固,如 dex 加密、smali 流程混淆、so 文件加密、关键函数加密、增加反调试和反编译功能。

4.移动 App 安全测评

对移动应用进行渗透性测试服务,挖掘移动应用的安全漏洞,避免安全风险。参照《电子银行业务管理办法》《电子银行安全评估指引》《中国金融移动支付客户端技术规范》《中国金融移动支付 应用安全规范》等安全标准及信息安全等级保护标准等要求进行合规性核查,避免移动应用合规风险。

5.移动 App 安全监测

  • 钓鱼监测及响应。对 App 的仿冒、钓鱼应用进行钓鱼监测及响应,及时通知用户,并快速联系渠道下架仿冒、钓鱼应用 App,避免安全影响。
  • App 漏洞监测及响应。监测移动设备、移动应用、服务器等新增、突发漏洞,及时规避漏洞风险。
  • 盗版监测及响应。监测 App 应用分发渠道上出现的盗版应用,随时进行盗版下架处理。
  • 移动威胁安全态势感知。捕获针对 App 的攻击行为,提供可视化数据分析平台及实时安全防控技术

运营商移动安全

运营商移动应用安全主要面临的安全威胁

  • 账号、密码窃取。通过病毒、木马、社工库收集、字典破解性猜测等方式,非法获得用户账号及密码。
  • 漏洞利用。黑客及非法利益团体,通过系统漏洞侵入运营商服务器。
  • 恶意代码。将病毒、木马、逻辑炸弹、恶意扣费等恶意代码捆绑在移动应用上,通过运营商网络向普通用户扩散。
  • 数据窃取。利用非法手段窃取、盗用运营商用户重要数据。
  • 恶意刷量、刷单。利用运营商用户数据监管漏洞,伪造大量虚假身份/盗用真实用户身份进行自动化大批量的刷单、刷量。
  • 拒绝服务攻击。非法用户利用拒绝服务手段攻击系统。
  • 计费 SDK 破解。通过反编译、破解等手段,屏蔽、破解运营商的移动应用计费 SDK。
  • 钓鱼攻击。通过仿冒正版的钓鱼移动应用程序,截获、捕捉用户输入数据,非法入侵用户互联网账户系统。
  • 社工库诈骗。通过盗版、高仿应用收集用户信息,以及泄露的其他社工库,对用户实施诈骗

App 安全保护方案

  • 加固运营商 App,以及通过运营商应用市场推广的所有第三方 App。
  • 对提交到运营商应用市场的第三方 App 提供病毒、木马、恶意代码查杀服务。
  • 对运营商的计费 SDK 提供基于防调、防改、防破解的加固保护服务。
  • 对运营商的通信协议、证书进行加密。
  • 提供基于移动应用的威胁态势感知服务,实时预警接入网络的异常流量、入侵攻击、风险 App 等。

移动办公安全

移动办公主要面临以下风险

  • 设备丢失。操控丢失设备接入企业内网,窃取企业机密数据,破坏后台系统。
  • 信息泄露。存储在本地设备中的敏感数据丢失或被窃取,导致信息泄露。
  • 恶意攻击。植入恶意程序,对组织机构服务器进行入侵攻击。
  • 共享访问。员工分享设备、账号密码,泄露组织机构机密信息。
  • WiFi 监听。按入钓鱼热点,通信数据被劫持监听。

学习参考资料:

信息安全工程师教程(第二版)

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年8月11日 上午10:55
下一篇 2022年8月11日 上午10:57

相关推荐