25.1 威脅與需求分析
1)組成
一是移動應用,簡稱App;二是通訊網路,包括無線網路、行動通訊網路及網際網路;三是應用服務端,由相關的伺服器構成,負責處理來自App的相關資訊或資料。
2)安全分析
平臺安全
無線網路攻擊
惡意程式碼
逆向工程
應用程式非法篡改
25.2 android 系統安全與保護機制
1)組成概要
Linux核心層,系統執行庫層,應用程式框架層,應用程式層
2)安全機制
許可權宣告機制
應用程式簽名機制
沙箱機制
網路通訊加密
核心安全機制
25.3 ISO 系統安全與保護機制
1)組成概要
核心作業系統層,核心服務層,媒體曾,可觸控層
2)安全機制
硬體,韌體,軟體
- 安全啟動鏈
- 資料保護
- 資料的加密與保護機制
- 地址空間佈局隨機化
- 程式碼簽名
- 沙箱機制
25.4 保護機制與技術方案
1)風險
移動應用 App是指執行在智慧裝置終端的客戶端程式,其作用是接收和響應移動使用者的服務請求,是移動服務介面視窗。由於移動應用App 安裝在使用者的智慧裝置上(通常為智慧手機),很容易遭受到反編譯、除錯、篡改、資料竊取等安全威脅。
2)加固
防反編譯
防調適
防篡改
防竊取
3)監測
- 身份認證機制檢測
- 通訊會話安全機制檢測
- 敏感資訊保護機制檢測
- 日誌安全策略檢測
- 交易流程安全機制檢測
- 服務端鑑權機制檢測
- 訪問控制機制檢測
- 資料防篡改能力檢測
- 防SQL隱碼攻擊能力檢測
- 防釣魚安全能力檢測
- App 安全漏洞檢測