据权威机构调查显示,超97%的移动应用软件遭受渗透攻击、恶意劫持,个人隐私窃取,安装包逆向反编译、恶意代码注入、应用盗版、界面劫持、短信劫持等安全攻击。移动应用软件的安全问题,已经成为新兴的亟待解决的重要问题,也是国家、社会、企事业单位和个人都十分关注的问题。
移动互联网的边界模糊性、操作系统开放性、移动终端的不可信等特点导致移动应用发布到互联网进行运行时面临了多方面的安全挑战与威胁:静态破解、动态攻击、数据窃取、业务威胁,性能下降、运行崩溃等。App监管问题,主要的难点在于以下几点:
1:各地监管机构无法分辨非法应用是否属于自己所监管的范畴
2:缺少系统建立备案与监管的机制
3:缺乏App备案审核的依据与标准
4:如何及时发现App违规及恶意风险问题
5:备案后的应用如何实现持续监测
6:应用市场繁多,如何规范管控移动应用
对于监管机构来说,如何扩大监测范围、统一检测标准,建立针对移动应用监管周期中每个阶段完善的应对方案体系才是解决移动应用监管问题的关键。加强备案管理并通过全量应用爬取与安全检测,在最短时间内帮助机构掌握移动应用市场安全态势,并持续监测增量应用安全情况是平台解决的主要问题。
爱加密移动应用备案管理平台,依据可靠性、可拓展性、灵活性为原则,以移动应用备案业务流程为核心,建立面向企业进行申请、面向公众提供查询、面向监管方审核存档的移动应用备案管理平台,利用动静态检测、大数据抓取、机器清洗聚合等多种技术手段,赋能备案监管的各个流程节点,保障移动应用监管业务的高质量建设,为人民群众的财产安全以及社会的长治久安保驾护航。
PART.
01
核心功能
备案查询
备案查询属于公共区域功能,此处可查询到的是已成功备案的App,可在输入框内输入App关键字进行检索查询。企业或个人开发者注册账号后,选择企业或个人开发者类型,录入对应的信息。然后进入“我的备案”和“提交备案”页面,点击上传申请备案的App,支持.apk和.ipa文件格式。最后在我的备案页面查看已提交申请备案的App、审核进度和问题类型。
监测分析
监测分析看板可对辖区内移动应用漏洞趋势、恶意应用趋势、盗版应用趋势、实时监测数据、权限风险数据、辖区下级单位/区域备案情况进行统计,方便掌握整个辖区范围内App风险问题及备案情况。
备案管理
包括漏报资产和备案审核。通过爱加密动静态检测引擎和渠道监测技术,获取App基础信息、所属区域、所属主体、开发者、有效渠道信息、风险漏洞、权限风险、恶意风险等信息;通过数据清洗比对技术,平台自动化摸排出辖区范围内漏报的资产,提供资产详情查看和平台检测报告下载功能。企业用户和个人开发者用户在前台页面中报备的资产信息和业务信息在“备案审核”页面列表中展示,监管人员可对报备的App做人工审核。监管人员根据前台提交备案的主体信息、资产信息和后台监测信息、其他评估信息做备案审核。
持续监督
依据已备案的App,利用大数据抓取比对技术,获取对应移动应用在各应用市场上架的版本,并与平台内已备案的App版本做关联比对,对于已备案的版本展示在“备案详情”页面信息下方,列出备案的时间以及版本号,发现未备案的版本则给出预警提示,将详情信息展示在“监测详情”内,显示未备案的版本号、MD5值、发布渠道、监测问题、更新时间等信息,点击可查看未备案版本的详情。此外还包括恶意行为监测、权限风险监测、风险漏洞监测、敏感内容监测、数据出境监测等。
系统管理
用户在企业前台注册的账号,在后台进行统一管理,可分别对已录入主体信息的备案账号进行编辑、修改、停用、新增等操作。
PART.
02
核心价值
- 通过企业自主申请备案,能够对监管区域内移动应用开发、运营主体动态准确的掌握,为后续的监管处置提供准确的企业信息依据。
- 通过审核机制,提前对预发布、更新的App进行风险评估、合规检测等技术手段,督促各企业提高自身App的安全强度,规范上线应用、统一安全管理要求,逐步形成移动应用合规管理流程。
- 网民可以通过备案网站查询核实已备案的移动应用,提升公众对移动应用安全的重视,有利于整个移动互联网的安全防范。
- 通过备案系统的持续监测能力,能够通过发布前后的应用备案信息比对,如版本、权限、风险漏洞、违规内容等,起到对备案应用的持续监测和问题预警作用。
- 通过备案平台的大数据抓取及清洗比对技术,自动化摸排出监管区域内漏报的资产,提高监管工作效率,及时发现重点问题。
- 针对国家相关法律法规的信息备案管理要求,提供了从申请备案、自动化检测、评估审核、持续监测、漏报资产摸排到监管处置等流程于一体的备案全周期管理解决方案。
来源:freebuf.com 2021-01-27 15:11:19 by: 爱加密123
请登录后发表评论
注册