常玲，趙蓓，薛姍，馬力鵬

（中國移動通信集團(tuán)設(shè)計院有限公司，北京 100080）

移動應(yīng)用安全防護(hù)技術(shù)研究

常玲，趙蓓，薛姍，馬力鵬

（中國移動通信集團(tuán)設(shè)計院有限公司，北京 100080）

本文首先分析了移動應(yīng)用的安全現(xiàn)狀，提出了移動應(yīng)用安全評估方法，包括客戶端安全評估、服務(wù)器安全評估和業(yè)務(wù)流程安全評估，最后給出了移動應(yīng)用典型安全漏洞及其檢查方法與加固建議，包括敏感數(shù)據(jù)暴露、鑒權(quán)機(jī)制缺陷、代碼保護(hù)不足、公共組件漏洞和應(yīng)用配置錯誤。

移動應(yīng)用；安全評估；鑒權(quán)機(jī)制；代碼保護(hù)

1 引言

近年來我國移動互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速，移動互聯(lián)網(wǎng)用戶規(guī)模不斷擴(kuò)大。相應(yīng)的，移動互聯(lián)網(wǎng)應(yīng)用軟件產(chǎn)業(yè)也在飛速發(fā)展。在Google Android開放平臺的強(qiáng)力沖擊和蘋果公司的穩(wěn)步發(fā)展下，國內(nèi)外官方和第三方的應(yīng)用商店不斷涌現(xiàn)，每時每刻都有數(shù)款新的移動應(yīng)用發(fā)布、下載、更新。

2 移動應(yīng)用安全現(xiàn)狀

來自比達(dá)咨詢發(fā)布的報告顯示，中國智能手機(jī)操作系統(tǒng)中，Android占74%，iOS占24.4%，Windows Phone占1%。智能手機(jī)操作系統(tǒng)市場形成了Android和iOS的兩霸格局。在移動平臺應(yīng)用程序中，Android和iOS系統(tǒng)占據(jù)了明顯的優(yōu)勢。

移動應(yīng)用商店作為在移動端獲取和更新應(yīng)用程序的主要渠道，在目前移動互聯(lián)網(wǎng)產(chǎn)業(yè)鏈中位于相當(dāng)核心的位置。蘋果公司首創(chuàng)移動應(yīng)用商店APP Store模式獲得了巨大的成功，谷歌和微軟也相繼推出Google Play與Windows Phone Store，移動互聯(lián)網(wǎng)中的應(yīng)用程序基本上是通過應(yīng)用商店下載的。在我國，由于iOS、Android系統(tǒng)的官方市場，尤其是Google Play在國內(nèi)下載不便等原因，國內(nèi)同時出現(xiàn)了很多非官方商店（即第三方商店）。第三方商店審核機(jī)制不完善、安全檢測能力差等問題，使得惡意程序得以發(fā)布和擴(kuò)散。

某些應(yīng)用會在用戶下載安裝后，在用戶不知情的情況下，后臺進(jìn)行收發(fā)惡意短信、傳播不良信息以及破壞用戶系統(tǒng)等行為；還有些應(yīng)用程序會在用戶使用其服務(wù)的過程中非法獲取用戶的隱私信息、賬號密碼等。部分惡意應(yīng)用并非真正的開發(fā)者所為，而是黑客將正常應(yīng)用篡改所致。在利益的驅(qū)使下黑客將正常應(yīng)用程序破解、加惡意代碼、添加廣告再重新打包，并重新在應(yīng)用商店中發(fā)布，這些應(yīng)用本身沒有惡意行為，只是在傳播過程中遭到了惡意篡改，但是用戶很難有效識別正常的移動應(yīng)用軟件，惡意軟件往往會喬裝成某一類正常應(yīng)用軟件，并發(fā)布到應(yīng)用商店中。用戶下載安裝后，這些惡意程序會在用戶不知情的情形下，觸發(fā)惡意扣費(fèi)、系統(tǒng)破壞、隱私竊取、訪問不良信息等惡意行為，給用戶帶來經(jīng)濟(jì)損失和信息安全問題。

移動智能終端應(yīng)用安全形勢越來越惡劣，一旦對安全輕視，將會導(dǎo)致嚴(yán)重的后果，對移動智能終端惡意程序進(jìn)行有效地防范和控制，關(guān)系到用戶的切身利益以及我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的成長發(fā)展。因此，對移動應(yīng)用進(jìn)行安全分析及防護(hù)技術(shù)研究有重要的意義。

3 移動應(yīng)用安全評估方法

移動應(yīng)用安全防護(hù)技術(shù)研究，應(yīng)建立在全面安全評估的基礎(chǔ)上，分析應(yīng)用的安全狀況，是否存在安全漏洞，針對存在的各種安全漏洞，采用相應(yīng)的安全防護(hù)手段對移動應(yīng)用進(jìn)行加固。

3.1評估方法概述

通過對移動應(yīng)用軟件正常運(yùn)行所需的總體環(huán)境進(jìn)行分析，移動應(yīng)用安全評估主要包括三方面，即客戶端安全評估、服務(wù)器安全評估和業(yè)務(wù)流程安全評估，如圖1所示。

圖1　移動應(yīng)用軟件運(yùn)行總體環(huán)境

其中，客戶端安全評估主要包括評估APP客戶端程序自身的安全性、客戶端數(shù)據(jù)的安全性、以及客戶端與服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩浴７?wù)器安全評估主要包括評估服務(wù)器主機(jī)系統(tǒng)安全性，Web服務(wù)安全性，數(shù)據(jù)庫、Web Service接口安全性等方面。業(yè)務(wù)流程安全評估主要包括分析應(yīng)用系統(tǒng)架構(gòu)，業(yè)務(wù)流程、業(yè)務(wù)邏輯設(shè)計等方面是否存在缺陷。由此分析得出移動應(yīng)用安全評估的總體框架，如圖2所示。

圖2　移動應(yīng)用安全評估框架

3.2客戶端安全評估

客戶端安全評估包括4個方面的安全評估工作，即程序安全、數(shù)據(jù)安全、認(rèn)證安全和傳輸安全。

其中，程序安全是對客戶端安裝程序進(jìn)行反編譯，檢查是否存在源代碼、接口信息和敏感數(shù)據(jù)暴露。

數(shù)據(jù)安全是檢查移動應(yīng)用的配置文件、用戶數(shù)據(jù)文件等是否可以被非法讀取或者篡改。

認(rèn)證安全是檢查客戶端軟件登錄認(rèn)證是否可以被繞過等。

傳輸安全是檢查客戶端與服務(wù)器之間的通信數(shù)據(jù)是否能被解密、篡改等。

3.3服務(wù)器安全評估

服務(wù)器安全評估包括評估主機(jī)安全、Web軟件安全、中間件安全、第三方組件安全、數(shù)據(jù)庫安全和Web框架安全等。

其中，主機(jī)安全是檢查服務(wù)器操作系統(tǒng)的帳號、口令、日志等是否存在安全漏洞，以及對服務(wù)器進(jìn)行系統(tǒng)漏洞掃描等。

Web軟件安全是檢查是否存在敏感信息泄漏、跨站、SQL注入、文件上傳、文件包含等安全漏洞。

中間件安全是檢查服務(wù)器的中間件，包括Tomcat、Weblogic、Jboss、Apache、Ngnix等是否存在安全漏洞。

第三方組件安全是檢查服務(wù)器的第三方組件，包括DeDecms、DirectAdmin、HttpFile、PhpMyAdmin、PhpShop、WordPress等是否存在安全漏洞。

數(shù)據(jù)庫安全是檢查服務(wù)器數(shù)據(jù)庫的帳號權(quán)限、口令、訪問控制、日志等是否存在安全漏洞。

Web框架安全是檢查服務(wù)器的Web框架，包括Structs2、Thinkphp、Spring、Hibernate等是否存在安全漏洞。

3.4業(yè)務(wù)流程安全評估

業(yè)務(wù)流程安全評估包括評估移動應(yīng)用軟件的權(quán)限分配合理性、操作合理性和流程設(shè)計合理性等。

其中，權(quán)限分配合理性是檢查應(yīng)用軟件是否存在將業(yè)務(wù)功能開放給不合理的用戶等。

操作合理性是檢查應(yīng)用軟件在業(yè)務(wù)流程中是否存在某些不合理操作。

流程設(shè)計合理性是檢查業(yè)務(wù)流程中是否存在某些環(huán)節(jié)可以省略或者繞過。

4 移動應(yīng)用典型安全漏洞、檢查方法及加固建議

在實際應(yīng)用中，移動應(yīng)用的典型安全漏洞包括敏感數(shù)據(jù)暴露、鑒權(quán)機(jī)制缺陷、代碼保護(hù)不足、公共組件漏洞和應(yīng)用配置錯誤。以下內(nèi)容將對這5大典型安全漏洞進(jìn)行簡要描述，并給出檢查方法和加固建議。

4.1敏感數(shù)據(jù)暴露

敏感數(shù)據(jù)暴露主要表現(xiàn)在3個方面，即明文傳輸敏感信息、不安全的本地存儲和邊信道信息泄漏。

4.1.1明文傳輸敏感信息

明文傳輸敏感信息即在客戶端與服務(wù)器端交互過程中，明文傳輸用戶名、密碼、驗證碼、后臺服務(wù)器地址等，導(dǎo)致用戶敏感信息泄露。若后臺服務(wù)器存在漏洞，則可控制后臺服務(wù)器。

檢查方法：

（1）確保Windows主機(jī)和測試手機(jī)均使用同一無線網(wǎng)絡(luò)；

（2）在BurpSuite工具中設(shè)置proxy標(biāo)簽頁中的options選項，對8080端口進(jìn)行編輯，取消其對“l(fā)isten on loopback interface only”選項的勾選，并確保BurpSuite狀態(tài)是“intercept is on”，即監(jiān)聽功能開啟狀態(tài)；

（3）設(shè)置測試手機(jī)無線局域網(wǎng)中的HTTP代理，服務(wù)器是Windows主機(jī)地址，端口是8080。之后即可利用BurpSuite工具對測試手機(jī)的網(wǎng)絡(luò)訪問情況進(jìn)行分組抓取分析，檢查客戶端與服務(wù)器端交互過程中，是否明文傳輸敏感信息。

加固建議：在被測應(yīng)用與服務(wù)器交互過程中，對用戶名、密碼、驗證碼、后臺服務(wù)器地址等敏感信息進(jìn)行加密傳輸。

4.1.2不安全的本地存儲

不安全的本地存儲即移動應(yīng)用軟件開發(fā)者使用多種方法存儲數(shù)據(jù)，如果存儲在本地的數(shù)據(jù)文件未加密，易造成敏感信息泄漏。

檢查方法：

（1）在安卓應(yīng)用軟件中，Shared Preferences是用key-value來存儲私有的原始數(shù)據(jù)的xml文件。數(shù)據(jù)類型有布爾型、浮點(diǎn)型、整形、長整型和字符串。

通常情況下存儲的路徑為：

/data/data/＜package name＞/shared_prefs/＜filename.xml＞。直接打開查看是否有敏感數(shù)據(jù)。

（2）SQLite數(shù)據(jù)庫是輕量級基于文件的數(shù)據(jù)庫。這些文件通常以db或者sqlite結(jié)尾。移動應(yīng)用的數(shù)據(jù)庫一般存儲在下面的地方：

/data/data/＜package name＞/databases/＜databasename.db＞，可以使用SQLite數(shù)據(jù)庫直接打開查看是否有敏感數(shù)據(jù)。

（3） 檢查SD卡目錄中是否存在敏感數(shù)據(jù)。

加固建議：對存儲在本地的數(shù)據(jù)文件進(jìn)行加密。

4.1.3邊信道信息泄漏

邊信道信息泄漏即當(dāng)移動應(yīng)用處理用戶或其他數(shù)據(jù)源輸入的數(shù)據(jù)時，可能會把數(shù)據(jù)放在不安全的位置，導(dǎo)致應(yīng)用受到嚴(yán)重的攻擊。

檢查方法：

（1）Android提供的日志功能是可能造成信息泄露，日志一般是開發(fā)者在開發(fā)期間調(diào)試使用的。查看日志的方式有兩種：

使用Eclipse工具：在Logcat選項卡中查看移動應(yīng)用運(yùn)行期間輸出的所有日志信息，其中可能有敏感信息。

使用adb工具：使用命令# adb logcat打印出所有的日志。通過logcat選項可以過濾需要查找的內(nèi)容，或者通過命令#adb logcat＞output.txt，將日志保存到電腦本地，以便后期進(jìn)一步分析。

（2）基于Web的應(yīng)用程序會產(chǎn)生URL，cookie和緩存等泄露。緩存可能存在日志，流量歷史和瀏覽緩存等多種內(nèi)容。使用命令#adb logcat|grep“cookie”即可過濾出諸如cookies等敏感信息。

加固建議：在日志中對于密碼等敏感信息進(jìn)行加密存儲；對敏感信息的緩存進(jìn)行加密。

4.2鑒權(quán)機(jī)制缺陷

鑒權(quán)機(jī)制缺陷主要表現(xiàn)在兩個方面，即未使用有效的Token機(jī)制和登錄設(shè)計缺陷。

4.2.1未使用有效的Token機(jī)制

如果移動應(yīng)用沒有使用有效的Token機(jī)制，則可對登錄響應(yīng)中服務(wù)器返回的鑒權(quán)信息進(jìn)行修改，繞過服務(wù)器鑒權(quán)，直接訪問系統(tǒng)內(nèi)部信息。

檢查方法：

（1）利用BurpSuite工具監(jiān)聽移動應(yīng)用的登錄響應(yīng)過程，對登錄響應(yīng)中服務(wù)器返回的鑒權(quán)信息進(jìn)行修改。

（2）修改成功后即可繞過登錄界面，進(jìn)入應(yīng)用界面。加固建議：使用有效的Token機(jī)制進(jìn)行鑒權(quán)。

4.2.2登錄設(shè)計缺陷

登錄設(shè)計缺陷即如果在用戶登錄過程中，未對同一用戶的登錄失敗次數(shù)做限制，則可導(dǎo)致存在被暴力破解的風(fēng)險。

檢查方法：

（1）利用BurpSuite工具中的Intruder功能對被測應(yīng)用進(jìn)行暴力破解。首先確保BurpSuite是監(jiān)聽功能開啟狀態(tài)，然后點(diǎn)擊登錄。登錄請求命令將被BurpSuite監(jiān)聽攔截，右鍵單擊“send to intruder”功能。

（2）進(jìn)入Intruder標(biāo)簽頁，在Positions選項中，可以看到上一步驟發(fā)送給Intruder的請求命令，重要的信息用亮色顯示。

（3）進(jìn)行參數(shù)配置，可以把用戶名和密碼作為參數(shù)，或者用戶名固定，僅把密碼作為參數(shù)。

（4）進(jìn)入Payload選項，加載字典文件。

（5）開啟Intruder標(biāo)簽頁中的start attack功能，開始進(jìn)行暴力破解。

加固建議：在設(shè)計用戶登錄過程中，對用戶登錄失敗次數(shù)做限制，防止被暴力破解。

4.3代碼保護(hù)不足

代碼保護(hù)不足主要表現(xiàn)在兩個方面，即可以重新編譯打包和SQL注入漏洞。

4.3.1可以重新編譯打包

重新編譯打包即破解者通過反編譯后得到程序源代碼，修改后重新編譯、簽名并安裝。在重新打包的過程中，破解者可能注入代碼分析軟件，或者修改軟件邏輯直接破解。

檢查方法：

（1）使用反編譯工具軟件ApkTool對被測應(yīng)用的安裝文件APK進(jìn)行反編譯。反編譯XXX.apk到文件夾ABC 的命令語句如下：

apktool d XXX.apk ABC

（2）對源代碼進(jìn)行修改后，使用ApkTool工具對修改過的文件夾進(jìn)行重新編譯。從文件夾ABC重新生成APK文件，輸出到文件夾ABC/dist/out.apk 中的命令語句如下：

Apktool b ABC

（3）使用工具軟件Signapk對重新編譯的APK進(jìn)行簽名操作，之后即可安裝使用。

加固建議：移動應(yīng)用通過檢查程序安裝后classes. dex文件的Hash值，判斷軟件是否被重打包并進(jìn)行提示。

4.3.2 SQL注入漏洞

SQL注入漏洞即開發(fā)過程中如果未對特殊字符進(jìn)行過濾，則可以通過把SQL命令插入到Web表單提交，或者輸入到域名/頁面請求的查詢字符串中，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令導(dǎo)致數(shù)據(jù)泄露等。

檢查方法：

（1）利用BurpSuite工具對移動應(yīng)用的登錄過程進(jìn)行監(jiān)聽。首先確保BurpSuite監(jiān)聽功能開啟狀態(tài)，然后點(diǎn)擊登錄，提交表單的請求命令會被BurpSuite監(jiān)聽攔截，將請求命令保存為txt格式。

（2）使用Sqlmap工具對保存的請求命令語句進(jìn)行自動化sql注入檢測，檢測完畢后將會列出存在注入漏洞的位置。

加固建議：加強(qiáng)對用戶輸入內(nèi)容的驗證，對于用戶的輸入內(nèi)容增加過濾手段，例如拒絕某些特殊符號等，防止通過SQL注入造成信息泄漏。

4.4公共組件漏洞

公共組件漏洞主要表現(xiàn)在兩個方面，即組件Content Provider配置錯誤和組件Activity配置錯誤。

4.4.1組件Content Provider配置錯誤

組件Content Provider是安卓應(yīng)用組件，以表格的形式把數(shù)據(jù)展現(xiàn)給外部的應(yīng)用。

檢查方法：

（1）使用Mercury工具獲取被測應(yīng)用所有可以訪問的URL，命令語句如下：

run scanner.provider.finduris -a （package name）（package name是待檢測的應(yīng)用包名）

（2）使用Mercury工具獲取各個可訪問URL的數(shù)據(jù)，命令語句如下：

run APP.provider.query （content：//…）

（content：//…）是上一步驟中得到的可以訪問的URL鏈接

加固建議：在被測應(yīng)用的AndroidManifest.xml文件中，設(shè)置Content Provider組件的android：exported屬性為false或者通過設(shè)置自定義權(quán)限來限制對Content

Provider組件的訪問。

4.4.2組件Activity配置錯誤

組件Activity是安卓應(yīng)用組件，提供與用戶進(jìn)行交互的界面。如果移動應(yīng)用對組件Activity權(quán)限控制不當(dāng)，則可以繞過登錄界面直接顯示組件Activity提供的界面。

檢查方法：

（1）使用Mercury工具檢查被測應(yīng)用中是否存在暴露的Activity組件，命令語句如下：

run APP.activity.info -a （package name）

package name是待檢測的應(yīng)用包名

（2）對于暴露的Activity組件，可以使用以下命令嘗試啟動。

run APP.activity.start--component （package name） （activity name）

activity name是暴露的Activity組件名稱加固建議：通過設(shè)置自定義權(quán)限，限制對Activity組件的訪問。

4.5應(yīng)用配置錯誤

應(yīng)用配置錯誤主要表現(xiàn)在兩個方面，即開啟allowbackup備份權(quán)限漏洞和開啟Debuggable備份權(quán)限漏洞。

4.5.1開啟allowbackup備份權(quán)限漏洞

開啟allowbackup備份權(quán)限漏洞即如果移動應(yīng)用的AndroidManifest.xml文件中allowBackup屬性值被設(shè)置為true，則可通過adb backup對應(yīng)用數(shù)據(jù)進(jìn)行備份，在沒有root權(quán)限的情況下導(dǎo)出移動應(yīng)用中存儲的所有數(shù)據(jù)，造成用戶數(shù)據(jù)泄露。

檢查方法：

（1）使用反編譯工具軟件ApkTool對被測應(yīng)用進(jìn)行反編譯。反編譯XXX.apk到文件夾ABC 的命令語句如下：

apktool d XXX.apk ABC

（2）反編譯操作后生成的文件夾中，AndroidManifest. xml是每個Android程序必有的文件，位于文件夾根目錄，描述了各種組件狀態(tài)（Content Provider、Activity等），以及各種實現(xiàn)類，各種能被處理的數(shù)據(jù)和啟動位置。從安全角度來看，它包含了應(yīng)用程序中所有使用的組件信息，同時還顯示應(yīng)用程序使用的permissiOSns等信息。在其中搜索allowBackup屬性，檢查是否被設(shè)置為true。

加固建議：將AndroidManifest.xml中的參數(shù)android：allowBackup屬性設(shè)置為false，防止數(shù)據(jù)泄漏。

4.5.2開啟Debuggable備份權(quán)限漏洞

開啟Debuggable備份權(quán)限漏洞即如果移動應(yīng)用的AndroidManifest.xml文件中Debuggable屬性值被設(shè)置為true，則可以設(shè)置斷點(diǎn)來控制程序的執(zhí)行流程，在應(yīng)用程序運(yùn)行時修改其行為。

檢查方法：使用反編譯工具軟件ApkTool對被測應(yīng)用進(jìn)行反編譯操作；在反編譯得到的AndroidManifest. xml中搜索Debuggable屬性，檢查是否被設(shè)置為true。

加固建議：將AndroidManifest.xml中的參數(shù)Android： Debuggable屬性設(shè)置為false，就不能對被測應(yīng)用進(jìn)行調(diào)試。

5 總結(jié)

本文分析移動應(yīng)用安全現(xiàn)狀，提出移動應(yīng)用的安全評估方法，包括三個方面即客戶端安全評估、服務(wù)器安全評估和業(yè)務(wù)流程安全評估，最后給出了移動應(yīng)用典型安全漏洞及其檢查方法與加固建議，包括敏感數(shù)據(jù)暴露、鑒權(quán)機(jī)制缺陷、代碼保護(hù)不足、公共組件漏洞和應(yīng)用配置錯誤。本文所提出的移動應(yīng)用安全評估方法能夠全面有效地評估移動應(yīng)用的安全風(fēng)險，給出的典型安全漏洞，對實際開發(fā)有指導(dǎo)意義，有利于降低移動應(yīng)用的信息安全風(fēng)險。

［1］ 王艷紅，楊丁寧，史德年. 當(dāng)前移動應(yīng)用軟件常用安全檢測技術(shù)［J］. 現(xiàn)代電信科技，2012（9）.

［2］ 董航. 移動應(yīng)用程序檢測與防護(hù)技術(shù)研究［D］. 北京：北京郵電大學(xué)，2014.

［3］ 陳建民. 基于行為的移動應(yīng)用程序安全檢測方法研究［J］. 計算機(jī)工程與設(shè)計，2012（12）.

360發(fā)布安全云聯(lián)盟計劃

近日，360企業(yè)安全聯(lián)合云計算開源產(chǎn)業(yè)聯(lián)盟（OSCAR）在北京發(fā)布360安全云生態(tài)聯(lián)盟計劃。據(jù)悉，該計劃將會與廣大云計算廠商合作，提升云平臺的安全防御實力，免除用戶對云安全的困擾，從而促進(jìn)國內(nèi)云計算行業(yè)的蓬勃發(fā)展。

新華三集團(tuán)作為首批加入安全云聯(lián)盟計劃的企業(yè)，與360舉行了戰(zhàn)略合作簽約。浪潮、航天云宏、寶德云、烽火通信、Easystack、東方通、乾云啟創(chuàng)、神州數(shù)碼等國內(nèi)云計算相關(guān)廠商應(yīng)邀出席了發(fā)布活動。云計算開源產(chǎn)業(yè)聯(lián)盟常務(wù)副主席何寶宏博士也出席了本次會議并發(fā)表了講話。

近年來，國內(nèi)越來越多的政企客戶開始將重要業(yè)務(wù)轉(zhuǎn)移到云端，同時對云計算價值的認(rèn)知和認(rèn)可度也大幅增加。因此，云安全成為中國云計算產(chǎn)業(yè)發(fā)展的關(guān)鍵要素。但安全專家認(rèn)為，云安全不是零和博弈，安全威脅是云計算產(chǎn)業(yè)鏈中所有相關(guān)方的敵人，其復(fù)雜性超出了任何一家企業(yè)的掌控能力。因此，只有合作才能共贏，才能夠鑄造起云安全的堅實壁壘。

360企業(yè)安全集團(tuán)總裁吳云坤表示，作為全球最大的互聯(lián)網(wǎng)安全公司，360企業(yè)安全聯(lián)合云計算開源產(chǎn)業(yè)聯(lián)盟（OSCAR）發(fā)布安全云生態(tài)聯(lián)盟計劃，目的是借此機(jī)會轉(zhuǎn)變云安全生態(tài)模式，通過開放資源，加強(qiáng)與各云計算廠商的合作，共建互聯(lián)網(wǎng)云安全產(chǎn)業(yè)鏈新生態(tài)。

新華三云計算產(chǎn)品線總裁吳健表示，云市場的激增，讓云安全的地位日益凸顯，安全廠商唯有通過相互合作，才能取得共贏。作為360安全云聯(lián)盟計劃的首簽企業(yè)，新華三將與360在內(nèi)的云計算產(chǎn)業(yè)鏈企業(yè)合作， 從租戶安全、云服務(wù)安全、云平臺基礎(chǔ)安全等多層次，打造安全服務(wù)鏈，保障政務(wù)系統(tǒng)安全穩(wěn)定運(yùn)營。值得一提的是，作為新IT基礎(chǔ)架構(gòu)領(lǐng)域領(lǐng)導(dǎo)廠商，新華三在云計算應(yīng)用領(lǐng)域積累深厚。

據(jù)悉，360安全云生態(tài)聯(lián)盟計劃引入廣大云計算廠商進(jìn)行合作，實現(xiàn)產(chǎn)品層面相互對接、相互兼容，市場層面共同拓展、共同配合，并計劃在2016年年底前召開聯(lián)盟成立發(fā)布會，形成多方合作共贏的局面。

本次發(fā)布會在2016年中國互聯(lián)網(wǎng)安全大會期間召開，這次網(wǎng)絡(luò)安全盛會吸引到全球超過180位安全專家分享前沿技術(shù)趨勢，近3萬人次參觀和與會。 （李建平）

Research of the security technology on mobile APP lications

CHANG Ling， ZHAO Bei， XUE Shan， MA Li-peng
（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

This paper analyzes the security status of mobile APP lications， proposes the mobile APP lication security assessment method， including the client security， server security and business process security. Finally， it gives the mobile APP lication typical security vulnerabilities and examination methods and suggestions for the strengthening， including sensitive data exposed， defects of authentication mechanism， lack of code protection， vulnerabilities of public components and errors of APP lication confi guration.

mobile APP lications； security assessment； authentication mechanism； code protection

TN929.5

A

1008-5599（2016）09-0086-06

2016-02-25