梆梆资讯

梆梆资讯

数据时代,运营商APP应用数据安全的挑战与应对策略

2022-09-28

2022年9月2日,十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》,自2022年12月1日起施行。《反电信网络诈骗法》从反电信网络诈骗的“小切口”出发,衔接《个人信息保护法》等法规,对源头的个人信息保护问题进行规范,起到防范网络诈骗的目的。而这其中,运营商的网络信息安全十分关键。

随着国内运营商各种APP的应用普及,运营商行业的安全事件也频繁爆发,如:话费暗扣代扣、个人信息隐私数据被售卖、终端应用异常违规操作引发用户敏感数据泄露等,从而导致被监管通报、客户投诉,由此带来的损失高达千万,且严重影响运营商企业形象。

基于此背景,自2019年起,我国移动应用程序(APP)数量逐年减少,2021年我国移动应用程序(APP)数量为252万款,较2020年减少了93万款,同比减少26.96%,12月份,新增上架APP数量9万款,下架APP数量30万款。

由于运营商积累并掌握着大量的用户信息、生产数据和运营信息,在对数据进行应用时,应谨慎防范各种内外部的风险,一旦核心应用被攻击,用户个人隐私、运营商自身发展乃至国家安全都会受到巨大影响。

 

运营商APP应用数据合规安全要求

 

随着《数据安全法》和《个人信息保护法》的相继实施,工信部将严格落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《通信网络安全防护管理办法》等法律法规,切实履行保护工作部门职责,压实电信行业关键信息基础设施运营者的主体责任。

国家互联网信息办公室于2021年6月11日针对部分被指存在非法获取、超范围收集、过度索权等侵害个人信息的移动应用APP进行了检测,检测依据《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律规定,对于检测所发现的问题,国家互联网信息办公室要求相关移动应用运营商在通报发布后15个工作日内完成整改,并提交整改报告。整改活动同时被要求由各地方网信办指导督办。

运营商面临各类安全威胁的同时,还需认真应对来自监管单位的合规压力。根据《数据安全法》对于数据处理的定义,APP应用数据安全涉及到多个环节:收集、传输、存储、使用,注销等多个关键节点成为数据安全目前关注的重点。因此APP运营部门应重视APP应用的数据安全,以保障APP业务数据安全合规地运行。

 

运营商APP应用数据安全解决方案

 

梆梆安全凭借多年服务运营商行业的经验,针对运营商APP应用安全服务有着深刻的认知。因此,梆梆安全提出涵盖APP数据的收集、传输、存储、使用、注销等数据安全的关键生命周期节点,推出多种安全技术打造的应用数据安全解决方案,助力运营商构建应用数据安全的纵深防御体系。

01 APP数据采集安全

梆梆安全基于移动应用安全领域多年的技术经验积累,针对APP、小程序采集的数据,从静态和动态层面对移动应用程序进行深度分析检测,包含合规检测(具备164、191号文等合规检测规范)、行为检测、成分检测、安全漏洞检测、权限检测等核心检测功能;依据国家行业标准指南、监管政策规范等,识别APP采集的数据是否存在安全合规问题,并可提供相应的证据截图信息及整改建议,供开发者进行整改,以保障APP运行过程中采集数据的合规要求。

 

02 APP数据传输安全

梆梆安全通信传输数据保护技术适用于所有CS架构的业务系统,包含前端APP、小程序及后端服务器。在客户端与服务端通信过程中,会在原有的消息报文基础上,进行一次对称性加密并隐藏密钥,使攻击者无法通过提取密钥方式破解通信报文。同时,采用多重的校验机制对通信数据进行完整性加密保护,让攻击者无法形成中间人攻击,从而实现APP、小程序通信数据的安全保护功能。

 

03 APP应用数据缓存安全

  • APP代码安全测评

梆梆安全为保障APP的应用安全,对APP运行代码进行深度的检测服务,针对Android应用、SDK、iOS应用、小程序和Web应用等对象,通过深度静态检测技术、动态检测技术、源代码扫描等能力,全面评估应用的安全问题,准确定位问题根源,防止第三方SDK通过后门或漏洞技术,对APP运行产生的数据进行非法获取,以保障用户个人信息和敏感数据的安全。

  • APP应用加固防护

梆梆安全以动态防护为核心,对APP代码安全进行加固防护,主要由静态防护技术和动态防护技术组成,静态防护技术主要提供dex文件加固、资源文件加固、so文件加固等静态加固技术,动态防护技术主要提供防调试加固、防hook加固、防dump攻击、防日志输出加固、运行环境风险检测与阻断等动态加固技术。可有效防范攻击人员对APP进行破解,进而获取APP应用内的关键敏感数据。

 

04 APP数据交换使用

随着APP应用业务类型的丰富,移动端各种业务类型的正常运行建立在“可信应用、可信环境、可信行为”的基础上,梆梆安全通过终端设备、人机识别、APP运行环境、通信行为分析、注入调试攻击、第三方SDK管控、策略设置拦截等实时在线的监测技术,对APP/小程序/H5/SDK等全业务接入行为进行实时在线监测,及时发现并阻断外挂软件和数据爬虫,保障APP的数据使用安全合规。同时梆梆安全的应用安全监测平台,基于创新AI人工智能实时在线数据监测与响应技术,以APP应用收集的数据安全底座为支撑,提供数据风险管理、实时智能检测、威胁检测等功能。

 

05 APP应用注销数据保护

梆梆安全为保障APP应用的用户注销账户后的信息安全,梆梆安全隐私合规平台通过内置的191号文和自评估指南检查,通过对APP的隐私政策进行查看,对APP为用户提供的注销渠道、注销方式进行验证;在用户的账号注销后,应及时删除用户信息,或在实现日常业务功能所涉及的系统中去除用户个人信息,使其保持不可被检索和访问的状态;以保障用户注销后,用户的个人信息安全。

对于运营商而言,本方案基于梆梆安全APP数据关键节点的安全防护技术,能够有效抵御各类不法分子针对APP应用的自动化攻击,全面提升APP应用的数据风险防范能力,为运营商构筑起APP应用数据采集合规、数据运行防护监测及应用注销数据保护三道防线的纵深应用安全防御体系。

未来,梆梆安全将不断创新与提升技术实力,继续坚持走“行业技术领先”与“创新力领先”的可持续发展道路;坚守“保护您的软件”使命,为客户持续输出安全能力和产品,为我国网络安全发展提供坚实支撑。

 

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1