信息安全工程师-软考中级-备考笔记:第二十五章 移动应用安全需求分析与安全保护工程
第25章 移动应用安全需求分析与安全保护工程
移动应用安全威胁与需求分析
• 移动应用系统组成
o 移动应用:APP
o 通信网络:无线网络、移动通信网络及互联网
o 应用服务端:相关服务器构成,负责处理app数据
• 移动应用安全分析
o 移动操作系统平台安全威胁:移动应用的安全性依赖于移动操作系统
o 无线网络攻击:通信内容监听、假冒基站、网络域名欺诈、网络钓鱼等攻击
o 恶意代码
o 移动应用代码逆向工程
o 移动应用程序非法篡改
Android系统安全与保护机制
• Android系统安全体系
o 开源的移动终端操作系统,分成Linux内核层、系统运行层、应用程序框架层、应用程序层
o 常见威胁形式:APK重打包、更新攻击、诱惑下载、提权攻击、远程控制、恶意付费、敏感信息搜集
• Android系统安全机制
o 权限声明机制
o 应用程序签名机制
o 沙箱机制:实现不同应用程序和进程之间的隔离
o 网络通信加密
o 内核安全机制
iOS系统安全与保护机制
• iOS系统安全体系
o 分为:
核心操作系统层:提供本地认证、安全、外部访问、系统等服务
核心服务层:提供给应用所需要的基础系统服务
媒体层:提供应用中视听技术
可触摸层:触摸交互操作
iOS系统安全机制
• 安全启动链:iOS平台的安全依赖于启动链的安全
• 数据保护
• 数据的加密于保护机制:强制加密
• 地址空间布局随机化
• 代码签名
• 沙箱机制
移动应用安全保护机制与技术方案
• 移动应用App安全风险
o 逆向工程风险
o 篡改风险
o 数据窃取风险
• 移动应用App安全加固
o 防逆向、防调试、防篡改
o 数据防泄漏、传输数据防护
• 移动应用App安全监测
o 身份认证机制监测
o 通信会话安全机制检测
o 敏感信息保护机制检测
o 日志安全策略检测
o 交易流程安全机制检测
o 服务端鉴权机制检测
o 访问控制机制检测
o 数据防篡改能力检测
o 防SQL注入能力检测
o 防钓鱼能力检测
o App安全漏洞检测
移动应用安全综合应用案例分析
• 金融移动安全
o 实施移动App安全开发管理
o 移动App网络通信内容安全加密保护
o 移动App安全加固
o 移动App安全测评
o 移动App安全监测
• 运营商移动安全
o 风险:
账号、密码窃取
漏洞利用
恶意代码
数据窃取
恶意刷量、刷单
拒绝服务攻击
计费SDK破解
社工库诈骗
移动办公安全
