<kbd id='lathutinh'></kbd><address id='lathutinh'><style id='lathutinh'></style></address><button id='lathutinh'></button>

              <kbd id='lathutinh'></kbd><address id='lathutinh'><style id='lathutinh'></style></address><button id='lathutinh'></button>

                  http://www.deltsuncw.com/
                  首頁 | 聯合會專區 | 資訊 | 企業 | 信息化 | 學術 | 人才 | 供求 | 會員 | 微博
                  首頁 >> 物流信息化 >> 案例 >> 物聯網 >> 內容

                  北京梆梆安全科技有限公司-國內物流行業移動端安全態勢
                  字號:T|T 2019年08月07日10:33     中國物流與采購網

                  摘要

                  “移动物流”作为“智慧物流”产物之一,充分运用信息化手段和现代化方式,能够对物流市场做出快速反应,对物流资源进行全方位整合,实现了物流信息系统的移动化。但从其发展至今,移动应用安全危机四伏,企業压力与移动应用安全隐患并行,移动端安全建设应高度关注。

                  國內App安全態勢

                  互聯網技術的發展改變了各類社會組織的經營和運作方式,提升了整個社會的運轉效率,同時也讓原本封閉在機構內部的資産暴露在複雜的網絡環境中。

                  現今,Android系統開源性帶來的缺陷給移動端App帶來較大的安全風險,同時國內應用市場監管缺失,使得Android市場門檻較低,如山寨應用、隱私盜取、資費消耗、惡意扣費、遠程控制、竊取資金、惡意傳播、靜默下載、跨平台感染等安全問題和攻擊行爲變得越發普遍。與此同時,iOS客戶端也存在大量源代碼泄露、核心算法被非法竊取等安全風險。

                  物流行業App安全挑戰與應對

                  “移动物流”促进物流移动应用数量及用户数量快速增长。同时对于物流应用安全也提出更高要求。物流行业的企業目前都有属于自己移动应用,面对层出不穷的攻击手段,需要对其进行安全建设,做好自身安全防护。

                  梆梆安全交通部安全小組針對物流行業移動應用系統目前的安全需求內容總結如下:

                  ① App代碼需要做相應安全防護。目前大多數物流App只做簡單混淆處理,App代碼仍然面臨易被反編譯、易被二次打包、易被動態注入、易被動態調試等攻擊。

                  ② App接口需要相應安全保護。目前物流App未對接口進行保護,接口易被惡意調用、易通過接口逆向分析獲取App業務邏輯。

                  ③ App數據需要相應安全保護。目前物流App只做普通數據加密,仍存在易被獲取傳輸路徑的重要數據、易獲取App關鍵內容包括(用戶名、密碼、銀行卡號等)。

                  ④ App密鑰需要相應安全保護。對于物流App內關鍵加密算法的密鑰保護困難。

                  梆梆安全深入構建物流行業移動安全建設方案

                  針對物流App目前的安全現狀及安全分析,梆梆安全科技有限公司以物流App實際需求爲出發點,進行以下安全需求響應:

                  安全建設框架

                  目前梆梆安全已为国内百分之五十以上主流物流企業提供了移动端安全建设方案,根据安全行业经验以及结合目前物流应用安全状况。得出为保证业务连续性,物流行业移动应用应注重整体移动应用系统安全建设。

                  對物流行業移動應用系統將以先進安全防護模型PPDR爲基礎,建立針對性的安全解決方案,涵蓋了移動端安全、傳輸安全、服務端接口安全三模塊內容。

                  梆梆安全保護框架對應內容如下:

                  安全加固:Android加固、iOS加固;

                  安全保護:密鑰白盒;通訊協議保護

                  安全檢測:滲透測試;

                  感知響應:威脅感知系統。

                  安全建設目標

                  梆梆安全爲物流行業提供針對性移動端安全解決方案所達到的目標如下:

                  第一,對App進行安全加固,可以有效防止移動應用被破解、盜版、二次打包、注入、反編譯等,保障App代碼的保密性、完整性。

                  第二,對關鍵函數所用的加密算法密鑰進行密鑰白盒保護,保障原始密鑰安全性。

                  第三,對傳輸數據進行二次加密,不僅保障傳輸數據安全也保障了協議安全。

                  第四,对服务端接口及整个应用系统进行渗透测试,以业务逻辑为主线,深层次发现存在的安全漏洞。及时发现、及时整改,避免引入安全隐患导致安全事件发生。第五,对App上线后进行运行监测和威胁检测,及时掌握App上线后的安全状况。为企業提供相关威胁情报信息,并对威胁源进行精准定位和控制。

                  安全建設內容

                  1.Android加固(Policy)

                  目前,物流行业App仍然存在应用破解、动态调试的安全风险,通过使用梆梆Android加固,内嵌安全组件和安全加壳,从根本上解决Android应用的安全缺陷。建议进行Android客户端的应用加固安全防护,实现Android应用App的完整性、反调试、Java反编译、so库加密、本地数据加密、资源文件安全防护,有效防止Android应用App二次打包、篡改及破解等客户端风险。加固基于Android APK安装包来实施,从静态安全、动态安全、交易验证安全,据安全、发布完整性保护等方面做加强保护.内容如下:

                  1.借助于重新構建的虛擬機技術,實現執行代碼動態加密

                  2.多方位的動態防禦技術,保證運行時間安全邏輯不可篡改

                  4.完整性保護技術保證發布包不可被篡改

                  5.透明化數據加密方案保護本地數據安全

                  對于自身的保護代碼采用高強度的商業級源代碼混淆方案進行保護,包括但不限于業務邏輯高強度混淆,插入垃圾指令,插入花指令等借助于App加固所構建的整體安全沙箱,讓原本開放的App變成完全封閉的私有程序。

                  2.iOS客戶端源代碼安全防護(Policy)

                  建議進行iOS客戶端源代碼混淆加固防護,有效防止iOS客戶端被破解、調試等安全風險,避免核心源代碼、核心業務邏輯、關鍵算法被非法竊取。目前,逆向工程主要通過借助工具對應用軟件可執行文件進行反編譯、反彙編、通過靜態分析,動態調試來分析應用程序的業務邏輯或接口數據。

                  梆梆源码加固系统通过服务器上的混淆器实现源代码级混淆,核心算法完成控制流平坦化(Controlflow flatterning)和不透明谓词(Opaque predicate)。梆梆安全源码加固方案是通过代码混乱变形(Obfuscate),隐藏程序原始的控制流,使程序各部分逻辑结构相似,从而有效阻止攻击者使用逆向工具还原出业务逻辑或核心算法。

                  3.通訊協議保護(ptotection)

                  梆梆安全移動應用通訊協議保護方案,通過客戶端與服務器的雙重驗證及保護,使攻擊者無法仿冒和盜用合法客戶端與服務器進行交互通訊,爲開發者提供了一種簡易、快速、全面的通訊協議保護方案。

                  梆梆安全通訊協議保護,提高數據加密完整性、保護密鑰安全性、同時進行身份驗證,具體功能點如下所示:

                  提供較高的安全性保證。

                  密鑰多變性。

                  集成簡單。

                  報文監測。

                  源代碼安全性高。

                  4.密鑰白盒系統(Protection)

                  对于本地存储的所有密钥,核心业务逻辑以及一些token,一旦被攻击就等于获取到了App核心的业务和用户敏感信息。不仅导致企業利益损失也导致用户个人敏感信息泄露。

                  在移動端和服務端傳輸過程中,傳輸中的數據未做保護,攻擊者及其容易發起攻擊,包括但不限于以下:

                  重放攻擊會導致服務器消耗;

                  短信轟炸會影響用戶體驗消耗數據流量;

                  釣魚攻擊發送惡意鏈接;

                  數據篡改將內容篡改發送虛假信息等。

                  目前物流App最为主要的核心资源为主要业务数据和各种敏感数据信息,建议采取白盒密钥保护技术实现在程序运行的任何阶段,原始密钥信息以一个巨大的查找表的形式存在,即只能输入明文得到密文,或者相反操作得到明文。在这样的情境下,入侵者无法得到隐藏在查找表背后的密钥,从而保证了信息的安全。 能够保障终端环境(如 Andriod、iOS)在这种白盒环境下,即使遭受到白盒攻击的情况下加解密的密钥不会出现明文,有效的保障密钥安全,进而保护软件及数据的安全。

                  使用密鑰白盒系統結合應用加固能夠保證應用接口安全、應用中核心數據,同時能夠對傳輸過程中重要數據及加密算法的密鑰做保護。使得應用接口安全、數據安全、傳輸安全,將切實可行的做好安全建設。

                  5.移動應用滲透性測試(Detection)

                  现实世界中企業面临的安全威胁种类繁多。但真正的危险,是企業以为自己本身足够安全,殊不知威胁早已渗入内部,伺机而动。伴随着安全行业的发展和管理人员安全意识的提高,以渗透测试为代表的“安全服务”正在得到更多的认可。渗透测试所做的,就是在危险真正影响到企業安全前,发现并解决它。

                  建議引入滲透測試,確保程序在編碼、實施、測試中沒有安全方面的缺陷,保證所有在需求設計階段引入的安全需求都被正確實現,並挖掘可能存在的安全漏洞,實現代碼層面漏洞的挖掘及整改,避免因爲代碼設計階段存在的邏輯漏洞引起後續業務實現中數據泄露、數據盜取、邏輯調試等安全風險,實現服務端身份認證保護、權限管理保護、服務訪問保護等安全防護。

                  6.威脅感知系統(Response)

                  物流App不仅对接了车辆信息、地址信息等关键信息查询接口,还拥有着大量的核心数据。并且物流App下载量高,其上线之后的运行状况、运行环境在存在大量不确定因素,同时黑产攻击和“羊毛党”还普遍存在,导致核心数据随时可能被盗取泄露。对于物流App而言,核心数据泄露即代表着高成本运行资源的泄露,不仅是企業内部经济利益的损失,更是企業名誉的损失。再加上移动终端面临的安全威胁种类和数量也在不断增多,手机操作系统漏洞,不可预知的业务逻辑缺陷,运行时的动态攻击,病毒木马,虚假设备,地下黑产等各类攻击手段,严重威胁用户的资金和隐私安全。还有手机机型的众多,客户端运行环境的复杂,给应用兼容性测试构成重大挑战,客户端运行时崩溃极难于发现和复现,导致用户流失。

                  建议引入威胁感知平台。梆梆安全针对移动应用上线运行后的各类动态运行安全问题及运行稳定性问题,开发了移动威胁感知平台,通过在移动应用中植入威胁感知探针,采集前端设备、系统、应用、行为四个层面多维度数据,结合后端大数据分析平台的各种模型规则,通过事前定制的各类安全控制策略,能够在第一时间处理各类安全攻击行为。同时,平台内置智能搜索功能,支持搜索目标设备的安全事件、威胁分析、环境安全、运行情况、崩溃情况、设备详情、应用安装列表等多维度信息,用于事后审计。利用平台提供的运行分析和崩溃采集功能,能够实时收集用户运行过程中的崩溃信息,采集终端用户群体机型分布特征,有效组织兼容性测试,及时根据崩溃信息修复应用。目前,平台已经全面支持 Android 和 iOS 两大操作系统的威胁检测和运行监控。

                  客戶案例——中儲物流

                  中儲物流作爲全國物流行業領頭羊之一,非常重視其安全建設工作。2018年將移動端及應用系統安全提升工作由梆梆安全合作完成。隨著移動互聯網發展,中儲物流的App也逐漸承載著其行業主要業務。例如貨源信息發布、空車輛信息查詢、在線交易、移動支付、訂單在線跟蹤等業務功能。

                  中储物流App使用量日益增加,交易量也呈递增趋势。因此,App安全工作愈显重要,不仅要遵从网络安全法保护用户隐私数据,同时要保障企業利益与敏感数据安全。梆梆安全在与中储技术及安全部门交流完毕后,提供针对中储物流的安全建设方案,分别对以下内容做出相应的安全保护。

                  1.客戶端自身安全防禦

                  2.客戶端生成二維碼密鑰安全

                  3.油卡支付二維碼數據回傳server的密鑰保護

                  4.客戶端與服務端通信數據安全

                  5.整個應用系統漏洞與整改

                  關于梆梆安全移動端服務體系

                  梆梆安全针对App面临的安全和运营问题,针对性提出App全生命周期安全运营方案。以期为企業移动端业务提供一个安全、自主、可控的运营配套体系。

                  App的安全解決方案,梆梆安全認爲用戶應該具備一個全生命周期安全視角:從App設計開發、發布到運維。

                  移動應用全生命周期的安全的建設目標注重兩個關鍵詞:

                  縱深防禦

                  縱深防禦强调企業安全体系的闭环性和有效性。闭环性体现在架构设计、安全流程建设、可信执行及安全响应四个方面:

                  架構設計指的是從設計層面出發的安全架構,包含但不限于設計開發安全,可升級性和可擴展性

                  安全流程指的是建設完整的安全質量管理和控制流程,包含安全需求,安全建模,滲透測試,自動化構建和發布測試

                  可信執行包含運行環境可信,應用可信,數據安全,執行安全和通信安全

                  安全響應包含運維環節的安全監測、應急相應及追溯機制

                  數據驅動的安全

                  數據驅動的安全即數據驅動的安全感知和情报驱动的安全防范。数据驱动安全指利用大数据海量数据,能够结合业务特点进行威胁建模,能够支持复杂的决策分析和模型分析的优点,有效防范黑产灰产行为。
                  數據驅動的安全体系建设目标集中在以下几个方面:

                  數據采集,數據采集是支撐後續規則判斷、大數據建模分析的必要條件。數據采集應該能夠滿足合法、多維和有效性等原則。

                  数据使用:大數據驅動的安全直接和风控系统对接。数据平台借助不同纬度采集的数据(设备、应用和行为),针对数据的关联分析,机器学习及相应的决策算法,建立起有效的威胁监测模型和决策树,实现对威胁的监测预警。
                   

                  热门关键词: ag8官网注册| ag8| ag8国际亚游登录| ag8亚洲游| ag8官网| ag8真人娱乐| ag亚遊| ag8线上娱乐| ag8登录| ag8首页| ag88888vip网站| ag8网址| ag8老虎机| ag8游戏| ag8在线娱乐| ag8只为非凡| ag8电子游戏| ag8官网下载| ag8国际亚游手机版| ag8怎么样| ag8官方网| ag8app| ag8场| ag8下载| ag8集团| ag8邀请码| agvip8| ag8平台| ag8官网登陆| ag8城| ag8注册|