移動(dòng)應(yīng)用APP全生命周期安全管理思路闡述

王飛

摘要：本文真對(duì)移動(dòng)應(yīng)用APP面臨的安全問(wèn)題進(jìn)行分析，并且提出全生命周期安全管理的對(duì)策，促進(jìn)移動(dòng)應(yīng)用APP穩(wěn)定發(fā)展，滿足人們的使用需求。由于移動(dòng)互聯(lián)網(wǎng)的迅速普及和發(fā)展，移動(dòng)終端的方便性，移動(dòng)應(yīng)用APP逐漸融入日常辦公和業(yè)務(wù)系統(tǒng)中，其數(shù)量不斷增加。移動(dòng)應(yīng)用APP和移動(dòng)辦公在提高辦公效率、改善辦公流動(dòng)性、加強(qiáng)與人的溝通等方面都取得了巨大的進(jìn)步。

關(guān)鍵詞：移動(dòng)應(yīng)用APP;全生命周期;安全管理

一、移動(dòng)應(yīng)用APP面臨的安全問(wèn)題

《“十三五”國(guó)家政務(wù)信息化工程建設(shè)規(guī)劃》中明確規(guī)定，“十三五”期間，基本實(shí)現(xiàn)對(duì)各類專用網(wǎng)絡(luò)的整合和遷移，與移動(dòng)信息安全保障能力得到加強(qiáng)，協(xié)調(diào)各級(jí)部門共同治理。隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，智能手機(jī)不斷普及，5G技術(shù)商用的推進(jìn)，移動(dòng)應(yīng)用APP已經(jīng)成為一種普遍趨勢(shì)。由于網(wǎng)絡(luò)環(huán)境的進(jìn)一步開放，傳統(tǒng)的網(wǎng)絡(luò)邊界逐漸消失，不同類型的終端和網(wǎng)絡(luò)相互連接，移動(dòng)接入問(wèn)題帶來(lái)了更多的安全風(fēng)險(xiǎn)，成為制約移動(dòng)應(yīng)用APP發(fā)展的主要因素，比如信息泄露、惡意篡改、惡意攻擊、安全事件追蹤等重大安全問(wèn)題，給移動(dòng)應(yīng)用APP管理帶來(lái)全新挑戰(zhàn)。

二、移動(dòng)應(yīng)用APP全生命周期安全防護(hù)解決方案

針對(duì)移動(dòng)應(yīng)用APP業(yè)務(wù)發(fā)展面臨的安全挑戰(zhàn)，分析了眾多客戶對(duì)電子移動(dòng)應(yīng)用的安全需求，提出了一套完整的生命周期安全保護(hù)解決方案。以PPDR安全框架為基礎(chǔ)，從預(yù)測(cè)、保護(hù)、發(fā)現(xiàn)、響應(yīng)等方面覆蓋了移動(dòng)應(yīng)用APP的整個(gè)生命周期，全面提升了移動(dòng)應(yīng)用APP的安全防護(hù)功能。

（一）移動(dòng)應(yīng)用APP安全開發(fā)管控

移動(dòng)應(yīng)用APP通過(guò)開放網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，大量信息通過(guò)互聯(lián)網(wǎng)傳輸，因此，APP的安全是首要問(wèn)題。通過(guò)對(duì)目前主流APP安全問(wèn)題的統(tǒng)計(jì)分析，發(fā)現(xiàn)90%以上的APP安全問(wèn)題發(fā)生在APP開發(fā)過(guò)程中。如何有效地防止APP開發(fā)過(guò)程中出現(xiàn)的安全問(wèn)題，并盡快解決安全問(wèn)題就成了移動(dòng)應(yīng)用APP的當(dāng)務(wù)之急。基于STRIDE威脅建模方法，根據(jù)豐富的APP安全經(jīng)驗(yàn)，構(gòu)建了針對(duì)移動(dòng)應(yīng)用APP的安全基線知識(shí)庫(kù)，在開發(fā)過(guò)程的不同階段，根據(jù)APP軟件開發(fā)的一系列安全措施，確保生命周期（SDLC）中不同角色的人員平穩(wěn)工作協(xié)作，并將安全工具有序集成到開發(fā)過(guò)程的不同階段，實(shí)現(xiàn)流程指導(dǎo)自動(dòng)化和工作協(xié)作制度化，透明度將有效提高移動(dòng)應(yīng)用APP的研發(fā)效率和安全質(zhì)量。

（二）盜版應(yīng)用監(jiān)測(cè)及下架

隨著APP的發(fā)展，越來(lái)越多的部門通過(guò)移動(dòng)應(yīng)用APP提供公共服務(wù)，猖獗的盜版、偽造APP嚴(yán)重影響了用戶體驗(yàn)和安全。知識(shí)產(chǎn)權(quán)和部門的誠(chéng)信問(wèn)題也會(huì)受到影響。但由于國(guó)內(nèi)APP市場(chǎng)的分割，很難有效地實(shí)施APP的監(jiān)控，使得APP的盜版、偽造等行為難以清除，給運(yùn)營(yíng)商帶來(lái)了極大的麻煩。提供APP增強(qiáng)服務(wù)，可以有效地防止APP的版權(quán)侵權(quán)。移動(dòng)應(yīng)用APP開發(fā)完成后需要進(jìn)行嚴(yán)格的測(cè)試，對(duì)APP客戶端、信息傳輸層和服務(wù)器端進(jìn)行全方位的安全能力檢測(cè)，檢測(cè)內(nèi)容包括客戶端安全檢測(cè)、業(yè)務(wù)流程檢測(cè)、敏感數(shù)據(jù)泄露檢測(cè)、數(shù)據(jù)通信安全檢測(cè)、服務(wù)端滲透安全檢測(cè)。如圖1所示：

（三）公共服務(wù)類外發(fā)SDK安全管控

在SDK外包服務(wù)安全管理和控制的背景下，公共服務(wù)電子政務(wù)（如社會(huì)保障、稅收、公積金基金）已經(jīng)從SDK外包的商業(yè)模式中發(fā)展出來(lái)。雖然這一模式促進(jìn)了電子政務(wù)的商業(yè)發(fā)展，但也存在著諸如SDK反向分析、動(dòng)態(tài)調(diào)試或注入攻擊、SDK業(yè)務(wù)邏輯漏洞等安全風(fēng)險(xiǎn)。SDK發(fā)布前，必須對(duì)其本身進(jìn)行安全保護(hù)和測(cè)試。

（四）應(yīng)用發(fā)布前的安全檢查

APP發(fā)布前的安全檢查是我國(guó)當(dāng)前移動(dòng)應(yīng)用APP全生命周期管理中的一個(gè)重要環(huán)節(jié)，相關(guān)部門必須十分重視移動(dòng)應(yīng)用APP面臨的安全威脅。在推出移動(dòng)電子APP之前，必須進(jìn)行有效的安全檢查。提供安全檢測(cè)服務(wù)，包括個(gè)人隱私檢測(cè)、等級(jí)保護(hù)2.0合規(guī)檢測(cè)、移動(dòng)應(yīng)用APP安全漏洞檢測(cè)、移動(dòng)應(yīng)用APP移動(dòng)安全檢測(cè)等。

（五）運(yùn)營(yíng)維護(hù)階段的安全檢查

移動(dòng)應(yīng)用APP正式發(fā)布后，將持續(xù)監(jiān)控各個(gè)APP市場(chǎng)，全面了解移動(dòng)應(yīng)用APP的安全狀態(tài)和運(yùn)營(yíng)狀態(tài)，有效應(yīng)對(duì)各種潛在風(fēng)險(xiǎn)。圖2顯示了通道監(jiān)控的流程。

移動(dòng)應(yīng)用APP應(yīng)用的智能更新采用了最新的安全提取技術(shù)。有效地防止了APP二次封裝現(xiàn)象，充分保障了APP發(fā)布的安全性。用于更新包的預(yù)加載技術(shù)用于繞過(guò)更新流量，實(shí)現(xiàn)了APP客戶端的分布式下載。對(duì)于較小的迭代、較少資源文件更新的大版本迭代以及較大的迭代，支持增量更新、完整更新和安裝更新方法，對(duì)用戶是完全透明的，不需要彈出窗口和提示，因此改善了用戶體驗(yàn)。

結(jié)束語(yǔ)：

通過(guò)對(duì)移動(dòng)應(yīng)用APP生命周期中如何進(jìn)行安全管理的研究，詳細(xì)分析了移動(dòng)應(yīng)用APP設(shè)計(jì)、開發(fā)、測(cè)試、啟動(dòng)、運(yùn)行和維護(hù)等階段所采取的安全措施。這種方法有效地避免了傳統(tǒng)更新中的不及時(shí)更新、更新時(shí)間不可控以及軟件包大規(guī)模更新等問(wèn)題，有效地降低了成本。經(jīng)實(shí)際APP驗(yàn)證，可有效保護(hù)移動(dòng)應(yīng)用APP應(yīng)用程序，為移動(dòng)APP全生命周期的安全管理提供了有價(jià)值的參考。

參考文獻(xiàn)：

[1]孫侃.?移動(dòng)應(yīng)用APP全生命周期安全管理[J].?現(xiàn)代電視技術(shù)，?2018，?207（09）：139-142.

[2]殷銘，李琳.?移動(dòng)應(yīng)用全生命周期管理平臺(tái)的研究與實(shí)踐[J].?電信科學(xué)，?2020，?v.36（12）：151-158.