近年来,随着互联网和移动智能终端的不断普及和应用,教育移动互联网应用为学校教学、学生学习等方面提供了便利,已经成为提高青少年本领能力的重要方式,成为我国数字产业和教育产业的重要有机组成部分。但一些学校出现了应用泛滥、平台垄断、强制使用等现象,一些教育移动应用存在有害信息传播、广告丛生等问题,给广大师生、家长带来了困扰,产生了不良的社会影响。
教育部根据现状,要求各院校按照《中华人民共和国网络安全法》和网络安全等级保护2.0的要求,完成所有自主开发教育移动应用的定级备案和测评整改。建立常态化网络安全监测预警通报机制,及时进行安全加固修复安全隐患。自主开发的教育移动应用应经过等保测评和安全评估方可上线,应完善运维制度,保障安全运行。
在此前的2020“清朗”专项行动中,国家网信办联合教育部开展涉未成年人网课平台专项整治,依法严厉打击影响青少年身心健康的违法违规信息和行为。对违法违规的移动应用程序将依法依规采取约谈警告、责令整改、暂停版块或功能、关停下架等处置措施。
APP程序数据可以被备份导出,配置文件存在信息泄露或篡改的风险,亦存在绕过限制访问未授权的界面。
主要存在代码缺乏保护,极易被反编译获取源代码。源代码未作混淆,极易被逆向为攻击者提供参考。
方案概述
• 安全检测
安全漏洞自动化检测:对于教育APP的Android及iOS安全检测,发现系统级别的安全问题,针对SDK做安全分析,成分分析,并自动化针对公众号/小程序安全检测。
渗透测试:对于教育APP的业务,及不同接口进行全量渗透测试服务、业务接口渗透测试服务,发现潜在的安全漏洞及业务逻辑缺陷。
隐私合规性检测:依照教育行业需要遵从的教育部、工信部、公安部等要求,提供隐私合规性的安全检测,明确不合规问题,帮助教育行业进行合规整改。
源码检测:在开发阶段对教育APP的程序源代码进行自动化安全检测,及时发现应用代码存在的安全问题及程序缺陷问题。
• 安全防护
Android加固:针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,为用户提供全面的移动应用加固和攻击防范解决方案。
iOS加固:通过字符串随机加密、指令多样化、基本块分裂、控制流引入、跳转指令插入、控制流扁平化、控制流间接化、指令虚拟化等技术,保护应用免遭破解攻击,并且加密后的APP性能和稳定性不受影响。
• 安全监测
通过大数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源从而帮助安全管理人员掌握移动业务的整体安全。给出不同维度统计分析模型,APP风险类别汇总统计、盗版应用渠道分布、APP安全漏洞占比统计等,提供给开发人员、运维人员、运营人员,提升安全资源利用率和开发运维工作质效。
方案优势
方案从安全检测、防护、监测等角度为客户打造了移动应用安全防护体系,能够帮助客户快速构建智慧能源移动端可视化、全方位的安全体系。
提供安全服务人员保障,在安全事件发生过程中,提供重要抓手和支撑。
针对移动应用APP/H5/小程序有完备的安全解决方案和丰富的案例经验,能够提供标准化、流程化、智能化的生命周期检测防护和监测应急响应能力。
梆梆安全是《信息安全技术 网络安全等级保护测评要求》的主要起草单位之一,基于对标准和政策理解所形成的方案能更好地满足国家、行业的标准要求。
涉及产品
• 安全检测:
渗透测试
应用安全测评
应用合规检测
源码检测
• 安全防护:
Android/iOS 加固
H5 加固
• 安全监测:
移动应用安全监测平台
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1