移动 APP安全等级保护对象的防护策略

在网络安全等级保护标准落地实施研究过程中，要在以下几个方面着重考虑移动 APP 等级保护对象的防护策略。

(1) 新标准要求将终端、应用和网络环境视为一个整体对象，与其他采用移动互联技术的保护对象一起来定级。但在现有的移动互联应用体系中， APP 应用、网络、终端的运维负责单位是不同个体，如银行类 APP 就存在银行网络、银行服务器、 用户个人终端、银行柜台终端、无线 WIFI 网络、移动运营商网络、软件程序等多个等级保护对象，这些对象隶属的单位或个人是完全不同的，涉及面甚广，在实施等级保护对象防御系统设计和应用时，谁来负责设计、实施和应用是很大的难题。 

(2) 目前新标准针对移动 APP 等级保护对象的通信网络 要求强调的是无线网络，但在实际应用时存在使用转接设备实现有线上网或蓝牙共享上网的情况。移动终端和其它设备的多样性和复杂性都会对移动 APP 等级保护对象的防护造成影响，很难指定统一的标准和管理制度。

(3) 新标准对移动 APP 获取用户或业务敏感信息的授权、存储、传输和计算等方面进行了详细要求，但是对移动 APP 获取用户隐私信息的数量、途径和利用方式没有明确规定。目前移动 APP 在首次应用时会有用户须知手册提示，但对具体的敏感信息类别没有明确标识，用户也不能指定不可被获取的个人隐私信息。例如通讯录、定位、生活习惯等敏感信息是部分移动 APP 的必备数据，但用户无法自主设定哪些数据可以提供和被分析。 

(4) 新标准明确提出移动 APP 的发行需要具有资质的检测机构评测合格后才可以发布。但目前移动 APP 的下载渠道 较多，不同型号的终端、操作系统都要有兼容性的安装程序。 部分辅助工具提供的 APP 下载已经是旧版本或不兼容版本， 安全厂商提供的检测结果也存在结果不一致或版本不全等问题。检测的权威性也无法得到保证，检测方法不同导致检测结 果不同情况较为普遍。

(5) 新标准要求移动 APP 等级保护对象“应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别”。但这个要求只是规定了用户身份鉴别的方法数量，并没有对准确性、可靠性进行约束，比如采取数字密码和图案密码的形式是类似的但算是 2种鉴别方法，这经常被软件厂商利用来应付测，但实质上安全性并没有显著提高。

结合《GBT28448-2019信息安全技术网络安全等级保护测评要求》中的评测指标和评测要求,几维安全通过全自动的方式，模拟攻击者攻击的方式，采用静态、动态、源码及漏洞嗅探的方式，自动检测Android/iOS应用内部存在的各种应用漏洞，包括代码保护、动态防御、本地数据、网络数据、恶意漏洞等80+项风险点，平均10分钟即可完成静态分析和动态分析检测［真机检测］，生成可视化的在线报告和Word格式的离线报告,缩短人工评测的时间。

优势：

1、满足等保评测要求；

2、操作简单，基于APK/IPA包即可完成；

3、15分钟极速输出在线报告和Word报告

4、支持Android和iOS双平台