梆梆资讯

梆梆资讯

重磅发布移动应用安全防护体系建设架构

2021-05-17

2021年5月12日-14日,梆梆安全参加了由中国石油学会、中国石油天然气集团有限公司信息管理部、中国石油化工集团有限公司信息和数字化管理部、中国海洋石油集团有限公司科技信息部等单位联合举办的“2021年中国石油石化企业信息交流大会暨油气产业数字化转型高峰论坛”。本次座谈会议在北京召开,来自全国各地的油气行业企业领导及厂商代表4000余人出席会议。


本次大会主要围绕石油石化企业数字化转型、智能化发展需求,结合信息技术发展趋势和“十四五”信息化战略规划,特邀行业知名专家和教授开展总结交流,贯彻新发展理念、融入新发展格局、增强信息化创新引领作用。

梆梆安全受邀参加本次交流大会,作为国内领先的移动应用安全防护供应商,我司携“移动应用安全防护方案”亮相大会,得到了现场行业专家的认可和进一步咨询,并在展台为各位来访嘉宾进行详细介绍。梆梆安全咨询顾问王增燕在网络安全专场做了《构建移动应用安全防护体系框架,助力油气行业数字化转型》的主题演讲。从国内和国际的网络安全发展现状出发,分享了移动APP和物联网智能终端的安全风险以及应对方案。

l  对内的移动办公类APP风险分析

Ø  病毒渗透到内网:设备沦陷后成为黑客入侵渗透企业内网的跳板。

Ø  数据泄密:设备一旦丢失则可能沦为黑客攻击企业网络的利器。

Ø  合规性较差:APP存在大量窃听、偷录、偷传设备信息等问题。

l  防护手段

Ø  全面考虑安全事件:越狱ROOT、设备丢失、员工离职等事件。

Ø  提前设置预案:事件发生时,系统就会按照预案自动进行处理。

Ø  数据隔离:通过安全沙箱隔离个人和企业数据。

l  对客的营销类APP风险分析

Ø  营销资金损失:优惠券、积分恶意领取会增大营销成本。

Ø  业务逻辑漏洞:木马植入等安全风险会造成经济损失和企业名誉。

Ø  用户隐私泄露:信息泄露会造成客户账号被冒用,撞库攻击。

l  防护手段

Ø  开发阶段:通过安全基线进行安全设计和安全开发。

Ø  上线阶段:分析业务逻辑、安全漏洞和权限使用情况,针对不能整改的问题,通过代码混淆、安全加壳进行风险规避。

Ø  运营阶段:实时分析APP运行阶段的安全威胁。

l  物联网智能终端的风险分析

Ø  终端本体漏洞:硬件层、操作系统层、固件层存在重大漏洞。

Ø  在线终端易受攻击:病毒/木马攻击,程序适配和更新困难。

Ø  终端失控风险:丢失或淘汰的设备易被恢复数据。

l  防护手段

Ø  资产探查:IoT资产进行探测和管理,实时监控资产变更情况;

Ø  安全检测:IoT硬件和内嵌程序做漏洞测试,并给出修复建议;

Ø  安全加固:固件程序深度混淆,防止逆向和破解;

Ø  安全监测:智能终端实时监控、威胁发现和阻断。

目前各个行业均已建设大量移动应用和物联网终端,并在持续扩大建设,与此同时,移动安全的标准制度,移动应用技术、安全攻防技术都出现了新的变化,为了更好的满足合规性要求,对抗更加复杂的安全风险,应构建适应当前安全形势和要求的防护系统。

因此,我们梆梆安全建议企业在数字化建设之初,就关注移动安全、物联网安全到防护体系建设,根据Gartner提出的安全体系框架(ASA),从PPDR四个维度来构建企业自身的安全防护体系。

l  安全防护-强化系统,降低攻击面,提高攻击成本;

l  安全检测-发现已经安全问题,提升安全防御能力;

l  安全响应-针对高危设备、账号进行及时阻断、溯源和追踪;

l  安全预测-发现威胁、风险行为,进行主动防御。

借助这套自适应安全体系建设,目前,梆梆安全已经成功在能源、金融、智能车联网等领域广泛应用。

本次会议除了石油石化企业和安全厂商之外,还有工信部、公安部、国资委、中央网信办等有关部委领导和专家也参与了会议,本次会议意义重大,影响深远。

公安部郭局长在《网络安全从防御迈向对抗》讲话中提到:“网络安全目前最大的敌人是敌对势力”。近年网络安全攻击频发,攻击手段不断出新,网络安全已经从之前的模拟演练变为大国之间博弈的手段,“网络战争”随时都在发生。重视网络安全,致力于底层程序代码研究,梆梆安全为国家网络安全保驾护航。

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1