移動App安全等級保護測評防護要點

隨著移動網際網路的快速發展，豐富多彩的移動終端特別是移動App應用極大方便了使用者的工作和生活，但是其資訊保安面臨極其嚴峻的現實考驗。國家標準化管理委員會目前修訂等級保護相關要求，將增加 擴充套件要求。

從新版等級保護關於移動互聯安全擴充套件要求徵求意見稿來看，新標準要求採用移動互聯技術的等級保護物件應作為一個整體物件定級，移動終端、移動應用和無線網路等要素不單獨定級，與採用移動互聯技術等級保護物件的應用環境和應用物件一起定級。為加強移動互聯的安全管理，新標準在傳統等級保護的基礎上，在技術層面上重點針對移動終端、App應用和無線網路在物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全4個方面進行擴充套件安全要求，在管理層面上對包括安全管理策略與制度、安全管理機構和人員、安全建設管理、安全運維管理在內的4個方面提出了相關的要求。

移動終端安全防護方面 

針對移動終端的安全，標準主要對移動終端的安全環境、應用安裝管控、終端自身安全進行了要求，如應將移動終端處理訪問不同等級保護物件的進行應用級隔離；應具有軟體白名單功能，能根據白名單控制應用軟體安裝、執行；移動終端應接受等級保護物件移動終端管理服務端的裝置生命週期管理、裝置遠端控制、裝置安全管控。 

移動應用安全防護方面

針對移動應用App被篡改、被假冒的問題，標準要求採用校驗技術保證程式碼的完整性。同時，應保證等級保護物件業務移動應用軟體開發後、上線前經專業測評機構安全檢測等。針對移動應用App釋出的問題，在移動應用App釋出渠道與管理中要求應保證移動終端安裝、執行的應用軟體來自可靠證書籤名或可靠分發渠道。 

幾維安全結合《GBT28448-2019資訊保安技術網路安全等級保護測評要求》中的評測指標和評測要求，透過全自動的方式，模擬攻擊者攻擊的方式，採用靜態、動態、原始碼及漏洞嗅探的方式，自動檢測Android/IOS應用內部存在的各種應用漏洞，包括程式碼保護、動態防禦、本地資料、網路資料、惡意漏洞等80+項風險點，平均10分鐘即可完成靜態分析和動態分析檢測［真機檢測］，生成視覺化的線上報告和Word格式的離線報告，縮短人工評測的時間。

幾維安全APP安全檢測滿足等保評測要求、操作簡單、基於APK/IPA包即可完成、10分鐘內極速輸出報告、支援Android和IOS雙平臺。

無線網路安全防護方面

針對無線網路安全接入與安全傳輸的問題，在標準中提出了對無線網路裝置安全接入、入侵防範、通訊傳輸等方面的安全要求。如能夠檢測、記錄、定位非 授權無線接入裝置；能夠檢測到無線接入裝置的SSID 廣播、WPS等高風險功能的開啟狀態；在無線通訊傳輸中對敏感欄位或整個報文進行加密。 

移動互聯安全管理方面

在安全管理方面，標準要求建立移動互聯安全管理制度，對移動終端實施安全控制和管理。設定移動互聯安全管理員，明確管理職責。加強終端裝置管理，在移動終端裝置丟失後進行遠端資料擦除。在系統建設前要求根據資訊系統的安全保護等級進行移動互聯安全方案設計，並且納入了系統總體方案設計。

如今，山寨App氾濫，隱私洩露、惡意扣費、流量損失等事件屢有發生，嚴重影響了程式的正常使用以及使用者的正常生活和工作。為了適應新技術的發展，應加強對採用移動互聯技術的等級保護物件的安全防護，提高移動APP的安全，切實保障資訊保安。