×
梆梆资讯

梆梆资讯

解码2022中国网安强星丨从移动应用到万物互联,梆梆安全保护您的软件

2022-08-12

由中国网络安全产业联盟(CCIA)、科技云报道共同主办的“解码2022中国网安强星”活动已正式拉开帷幕。本次直播活动以“网安力量 照见未来”为主题,邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层直播访谈。梆梆安全创始人、董事长兼CEO阚志刚受邀做客直播间,从企业成长历程、行业发展趋势、技术潮流走向等多角度进行深度交流,深入浅出与线上观众探讨“从移动应用到万物互联,安全无处不在”的议题。

在世纪疫情冲击之下,全球经济复苏乏力,数字经济伴随信息革命浪潮快速发展,逆势上扬。放眼全球,互联网、大数据、云计算、人工智能等技术加速创新,日益融入经济社会发展各领域和全过程。移动互联网技术创新驱使移动应用安全已成为网络安全的重点领域之一。纵观全球移动应用安全现状,应用场景迅速扩展,新业态带来新发展,同时新问题新情况也在不断涌现,安全风险正在呈现多样化。

 

移动应用安全先驱者

 

随着国家网络安全法制的逐步健全,网络安全已上升为国家战略。作为网络安全企业,在趋势推动、政策引导、内需牵引下,梆梆安全自成立之初,就对自身发展及自身要担负的使命责任,有相对清晰的认知——梆梆安全肩负“保护您的软件”重要使命,一直致力于为国家和社会提供有力的网络安全保障。梆梆安全取得今天的成绩要受惠于这个时代。

计利当计天下利,山高路远恒者胜。回顾一路走来十余年的发展历程,安全技术是核心驱动力。技术创新是作为公司自身持续造血的根本来源,更是面向未来,更好的服务客户、服务社会的基石。从稳如泰山、值得托付到赋能发展、创造价值,梆梆安全逐步走出了一条适应时代发展的网络安全责任之路。

 

移动应用合规与安全

两手都要抓 两手都要硬

 

由于移动互联网技术发展与新冠疫情的叠加效应,移动应用业务场景和技术产品发展迅猛,出行导航、外出点餐、社交娱乐、生活缴费等诸多移动应用的出现极大地便利了百姓生活,但同时安全风险也呈现出多样化发展趋势。

一方面,移动应用因其系统开源特性和用户普遍性,正逐渐成为恶意攻击者的主要目标,应用漏洞、隐私违规问题最为突出,盗版仿冒应用、数据境外传输等安全威胁同样不容小觑。

另一方面,移动应用安全监管逐步强化。基于“有法可依”原则,安全法规及标准持续落地;基于“执法必严”原则,违法违规通报已日趋常态化。

这些变化致使企业在隐私合规、App个人信息保护与数据安全治理上,在技术能力与人才储备上,均面临着新的风险与挑战。

安全与合规是企业在移动应用持续健康发展的关键。对App在发布前后的评估及整改、监测及运营等服务,从根本上提升应用安全级别,降低企业移动应用被通报的几率,有效形成安全及合规的监管闭环。

当前行业内开展APP隐私合规工作的主要方式是安全服务,纯自动化产品的准确率还无法达到商业化的水平,仍然存在需要突破的技术瓶颈和现实问题。

基于此,梆梆安全的APP隐私合规解决方案主要以“服务+产品”的形式交付,以服务输出为主,人工配合产品和检测工具来共同完成,根据用户行业安全监管要求,帮助企业在监管部门检查前自查自纠,提前发现问题,确保其符合行业安全合规、个人信息合规要求。

 

开源技术盛行

企业安全风险与破解之道

 

近年来,开源技术已逐渐成为企业数字化转型的重要基座。企业利用开源软件开放共享、易于获得、迭代高速等特性,支持业务场景和服务模式的创新,并适应互联网时代千变万化的市场需求。

在享受开源技术带来机遇的同时,也面临着数据安全、运维技术、知识产权、供应链安全等风险挑战。

关于数据安全风险,开源软件经常引发一些安全漏洞导致的数据泄露问题。开源软件涉及源代码共享,很多配置信息中会涉及账号密码等敏感信息,如果未能及时对代码进行审核,可能会造成大量敏感信息泄露的危险。

关于运维技术风险,开源软件缺乏相应的厂商服务、运维支持和SLA承诺。因此,在开发和运维阶段需要公司内部有专业技术团队提供支持,很多企业本身的技术和运维人员在数量和能力上有一定的局限性,解决相应运维问题会存在一定难度。

关于知识产权风险,企业在应用开源软件时最隐蔽的问题应属开源许可证的“商用”。不遵守开源许可协议、未得到开源软件专利权人的许可、许可证冲突等,会导致一系列的知识产权等法律风险。

关于供应链安全风险,开源软件供应链相较于传统软件有着更复杂的网络,也受地缘政治影响。对于App使用者,由于缺少对相关信息跟踪能力,存在一定的消息滞后性,也增加了开源软件供应链管控难度。

梆梆安全一直关注移动互联网应用程序开源技术在信息安全和隐私合规等维度所面临的风险,针对此建立了安全防护体系。

“2+2”评估体系

通过梆梆安全渗透测试服务、隐私合规评估服务及安全测评、合规测评平台,形成以自动化工具为主,人工为辅的“2+2”整体安全及隐私合规评估体系,全面识别移动应用引入的开源SDK资产清单并关联整体安全及隐私风险,提供具有实操性整改建议,全面协助进行风险修复,将开源SDK引入的系统性风险降低至可接受范围内。

“双平台”自动化测试

隐私合规及安全测评双平台,可实现移动应用所引入的开源SDK整体通用性风险输出,涵盖开源SDK面临的安全风险和隐私合规风险。

“双服务”人工测试

同时,辅以梆梆安全渗透测试及隐私合规评估双服务,可实现移动应用所引入的开源SDK具体业务逻辑风险输出,具体包括开源SDK二进制代码保护缺失风险、数据传输安全风险、加密算法及密钥泄漏风险、用户数据存储安全风险、跨进程交互风险及面临的隐私合规风险。

 

翼举长云之纵横 万物互联掀新潮

 

随着移动互联网的发展,智能家居、自动驾驶汽车、智能电表的兴起,宣告万物互联时代的到来,未来一定是物联网的天下。梆梆安全早在2015年就已布局物联网领域,开始物联网安全及相关保护技术的研究。

随着各类功能丰富的智能设备逐渐融入大众的生活中,人与设备的联系更加紧密。IoT设备承载了越来越多的生产生活数据和个人隐私信息,其安全问题也逐渐得到重视。

当前,物联网目前主要面临的安全威胁可以概括为“云、管、端”安全三个方面:

物联网终端安全:现有物联网终端设备侧重于功能实现,而传统设备厂商安全能力不足,或考虑时间和成本等因素,在终端设计上普遍忽略安全问题。

物联网管道安全:物联网“管”则是连接“云”和“端”之间的管道,物联网“管”安全为大容量智能化的信息管道安全。

物联网云服务安全:物联网云服务多在信息与其他方资源共享时使用,保护好云服务安全也是保护好物联网安全的关键环节。

面对物联网安全风险,梆梆安全建议企业在身份认证、访问控制、数据加密等方面做好安全防护。

基于在移动应用安全领域的积累与丰富实践,梆梆安全逐步建立起物联网安全防护体系,为物联网开发者和企业提供安全可靠、全面兼容、服务便捷和响应迅速的安全服务能力。

与此同时,梆梆安全还参与了物联网相关标准编写,例如《CNCERT车载APP安全标准》《汽车信息安全通用技术要求》等,推动物联网安全发展。

随着百年变局和世纪疫情交织叠加,国际环境将日趋复杂,网络霸权主义对世界和平与发展构成新的威胁,全球产业链供应链冲击持续加大,网络空间安全面临的形势日益复杂多变。

面对日益复杂严峻的网络安全形势,国家将继续强化网络安全在国家安全中的重要战略地位,不断完善网络安全战略布局,持续优化网络安全政策战略,建立健全网络安全体制机制,加大网络安全投入,重点加强供应链安全、关键信息基础设施保护、数据安全、个人信息保护等领域工作,梆梆安全将持续深度关注和高度重视。

  • 渠道商申请

    立即申请+

  • 服务热线

    4008-881-881

  • 在线反馈

    我要反馈+

  • 帮助中心

    点击前往+

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1