25-移动应用安全需求分析与安全保护工程
25.1 威胁与需求分析
1)组成
一是移动应用,简称App;二是通信网络,包括无线网络、移动通信网络及互联网;三是应用服务端,由相关的服务器构成,负责处理来自App的相关信息或数据。
2)安全分析
平台安全
无线网络攻击
恶意代码
逆向工程
应用程序非法篡改
25.2 android 系统安全与保护机制
1)组成概要
Linux内核层,系统运行库层,应用程序框架层,应用程序层
2)安全机制
权限声明机制
应用程序签名机制
沙箱机制
网络通信加密
内核安全机制
25.3 ISO 系统安全与保护机制
1)组成概要
核心操作系统层,核心服务层,媒体曾,可触摸层
2)安全机制
硬件,固件,软件
- 安全启动链
- 数据保护
- 数据的加密与保护机制
- 地址空间布局随机化
- 代码签名
- 沙箱机制
25.4 保护机制与技术方案
1)风险
移动应用 App是指运行在智能设备终端的客户端程序,其作用是接收和响应移动用户的服务请求,是移动服务界面窗口。由于移动应用App 安装在用户的智能设备上(通常为智能手机),很容易遭受到反编译、调试、篡改、数据窃取等安全威胁。
2)加固
防反编译
防调适
防篡改
防窃取
3)监测
- 身份认证机制检测
- 通信会话安全机制检测
- 敏感信息保护机制检测
- 日志安全策略检测
- 交易流程安全机制检测
- 服务端鉴权机制检测
- 访问控制机制检测
- 数据防篡改能力检测
- 防SQL注入能力检测
- 防钓鱼安全能力检测
- App 安全漏洞检测
