隨著無線網(wǎng)絡(luò)和移動(dòng)通信技術(shù)的發(fā)展，智能手機(jī)功能日趨強(qiáng)大，因此也將APP市場(chǎng)帶動(dòng)了起來。但是隨著手機(jī)操作系統(tǒng)日益標(biāo)準(zhǔn)化，網(wǎng)絡(luò)攻擊手段不同往日，黑客已經(jīng)可以像攻擊電腦信息系統(tǒng)一樣針對(duì)手機(jī)系統(tǒng)發(fā)起攻擊，同時(shí)，APP的特點(diǎn)使其同時(shí)暴露在眾多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅之下，容易遭受到病毒、木馬、蠕蟲等惡意程序的攻擊。

APP通報(bào)事件不斷，引起了相關(guān)部門的重視，下令整改難免給通報(bào)企業(yè)帶來壓力，網(wǎng)絡(luò)安全警鐘再次敲響。

當(dāng)今社會(huì)多數(shù)人手機(jī)不離身，我們無時(shí)不刻不在使用APP，那么它真的安全嗎?這是APP開發(fā)商應(yīng)該為自身企業(yè)和用戶考慮的問題。

[[419662]]

移動(dòng)應(yīng)用和信息系統(tǒng)一樣，會(huì)存在安全隱患，只是有待APP開發(fā)商發(fā)現(xiàn)，而發(fā)現(xiàn)安全風(fēng)險(xiǎn)的最好辦法就是對(duì)目標(biāo)應(yīng)用定期進(jìn)行安全檢測(cè)。因此建議APP開發(fā)商在應(yīng)用開發(fā)生命周期里，對(duì)APP安全做一下檢測(cè)，及時(shí)發(fā)現(xiàn)APP的安全漏洞和程序存在的缺陷問題，從而降低安全風(fēng)險(xiǎn)和損失。

那么有關(guān)APP安全檢測(cè)的方式都有哪些?

1. 漏洞掃描

基于漏洞數(shù)據(jù)庫(kù)，通過自動(dòng)化工具掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)。發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)行為。

2. 滲透測(cè)試

由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起、并模擬常見黑客所使用的攻擊手段對(duì)目標(biāo)系統(tǒng)進(jìn)行模擬入侵。

圖2 滲透測(cè)試流程

3. 代碼審計(jì)

由具備豐富編碼經(jīng)驗(yàn)并對(duì)安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員，對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查。

圖3 代碼審計(jì)流程

4. 安全加固

移動(dòng)應(yīng)用安全加固包括Android應(yīng)用加固、iOS應(yīng)用加固、游戲應(yīng)用加固、H5文件加固、微信小程序加固、SDK加固、so文件加固和源對(duì)源混淆加固技術(shù)，從根本上解決移動(dòng)應(yīng)用的安全缺陷和風(fēng)險(xiǎn)，使加固后的移動(dòng)應(yīng)用具備防逆向分析、防二次打包、防動(dòng)態(tài)調(diào)試、防進(jìn)程注入、防數(shù)據(jù)篡改等安全保護(hù)能力。

5. 安全配置檢查

針對(duì)IT范圍內(nèi)，漏洞掃描工具不能有效發(fā)現(xiàn)的方面(網(wǎng)絡(luò)設(shè)備的安全策略弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等)進(jìn)行安全輔助的一種有效評(píng)估手段。

6. App違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估

從APP運(yùn)營(yíng)者和監(jiān)管部門角度出發(fā)，多方面對(duì)個(gè)人信息的收集、使用、存儲(chǔ)、傳輸、行為和權(quán)利保障等多個(gè)方面，嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)規(guī)范和監(jiān)管發(fā)文，對(duì)移動(dòng)應(yīng)用進(jìn)行全面合規(guī)檢查，率先將監(jiān)管檢測(cè)要求運(yùn)用到合規(guī)評(píng)估服務(wù)中，強(qiáng)制授權(quán)、過度索權(quán)、不給權(quán)限不讓用、私自收集使用個(gè)人信息等，為企業(yè)和機(jī)構(gòu)提供面向移動(dòng)應(yīng)用程序的全方位合規(guī)評(píng)估。

圖5 App違法違規(guī)收集使用個(gè)人信息合規(guī)評(píng)估流程

APP安全檢測(cè)主要面向主流手機(jī)操作系統(tǒng)(包括但不限于：Android，IOS，Windows Phone，Symbian，Java等)上開發(fā)的移動(dòng)應(yīng)用。檢測(cè)范圍覆蓋手機(jī)端應(yīng)用程序及文件，服務(wù)器端承載環(huán)境及處理邏輯及手機(jī)端與服務(wù)端的網(wǎng)絡(luò)通訊。

近期APP違法違規(guī)收集使用個(gè)人信息通報(bào)較多，APP無安全評(píng)估報(bào)告不給上架的情況也較為常見。隨著移動(dòng)應(yīng)用市場(chǎng)應(yīng)用的增多，相關(guān)部門也因此加大監(jiān)管力度。為確保APP的安全性與合規(guī)性，有必要對(duì)其實(shí)施有效的安全評(píng)估。

諸多種安全檢測(cè)方式，企業(yè)可根據(jù)自身需求選擇合適的評(píng)估手段，以便通過上架審查。