25-移动应用安全需求分析与安全保护工程

合集 - 信息安全工程师-V2-2020(26)

1.1-网络信息安全概述2024-08-172.2-网络攻击原理与常用方法2024-08-263.3-密码学基本理论2024-08-304.4-网络安全体系与网络安全模型2024-09-075.5-物理与环节安全技术2024-09-136.6-认证技术原理与应用2024-09-227.7-访问控制技术原理与应用2024-09-288.8-防火墙技术原理与应用2024-10-019.9-VPN技术原理与应用2024-10-0210.10-入侵检测技术原理与应用2024-10-0311.11-网络物理隔离技术原理与应用2024-10-0412.12-网络安全审计技术原理与应用2024-10-0513.13-网络安全漏洞防护技术原理与应用2024-10-0614.14-恶意代码防范技术原理2024-10-0715.15-网络安全主动防御技术与应用2024-10-1216.16-网络安全风险评估技术原理与应用2024-10-1717.17-网络安全应急响应技术原理与应用2024-10-2518.18-网络安全测评技术与标准2024-11-0219.19-操作系统安全保护2024-11-0320.20-数据库系统安全2024-11-0921.21-网络设备安全2024-11-1522.22-网站安全需求分析与安全保护工程2024-11-1723.23-云计算安全需求分析与安全防护工程2024-11-1824.24-工控安全需求分析与安全保护工程2024-11-19

25.25-移动应用安全需求分析与安全保护工程2024-11-23

26.26-大数据安全需求分析与安全保护工程（完结）2024-11-25

收起

25.1 威胁与需求分析

1）组成

一是移动应用，简称App；二是通信网络，包括无线网络、移动通信网络及互联网；三是应用服务端，由相关的服务器构成，负责处理来自App的相关信息或数据。

2）安全分析

平台安全

无线网络攻击

恶意代码

逆向工程

应用程序非法篡改

25.2 android 系统安全与保护机制

1）组成概要

Linux内核层，系统运行库层，应用程序框架层，应用程序层

2）安全机制

权限声明机制

应用程序签名机制

沙箱机制

网络通信加密

内核安全机制

25.3 ISO 系统安全与保护机制

1）组成概要

核心操作系统层，核心服务层，媒体曾，可触摸层

2）安全机制

硬件，固件，软件

• 安全启动链
• 数据保护
• 数据的加密与保护机制
• 地址空间布局随机化
• 代码签名
• 沙箱机制

25.4 保护机制与技术方案

1）风险

移动应用 App是指运行在智能设备终端的客户端程序，其作用是接收和响应移动用户的服务请求，是移动服务界面窗口。由于移动应用App 安装在用户的智能设备上(通常为智能手机)，很容易遭受到反编译、调试、篡改、数据窃取等安全威胁。

2）加固

防反编译

防调适

防篡改

防窃取

3）监测

• 身份认证机制检测
• 通信会话安全机制检测
• 敏感信息保护机制检测
• 日志安全策略检测
• 交易流程安全机制检测
• 服务端鉴权机制检测
• 访问控制机制检测
• 数据防篡改能力检测
• 防SQL注入能力检测
• 防钓鱼安全能力检测
• App 安全漏洞检测

25.5 案例分析

1）金融

2）运营商

3）移动办公