12月22日,由中国通信企业协会和中国信息通信研究院共同举办的“2020年(第十届)电信和互联网行业网络安全年会”在广州召开。工业和信息化部网络安全管理局一级巡视员周少清、广东省通信管理局局长苏少林、中国通信企业协会会长苗建华、中国信息通信研究院副院长王志勤、中国国防邮电工会全国委员会副主席李树国出席会议并致辞。年会以“创新 协同 推动——共筑新基建网络安全”为主题,来自全国31个省、自治区、直辖市通信管理局、省通信行业协会、基础电信运营企业、互联网企业、网络安全企业和科研机构等相关单位的领导和代表近600人参加了会议。会上,爱加密技术副总裁程智力发表了《新基建下应用双生态治理体系》主题演讲。
数字时代的变革引起了人们生活方式的的颠覆,同时伴随着需求的变化,需求又继续推进着数字时代的推进。数字技术的应用催生了一个全新的数字时代,数字新基建则是新基建的核心,而应用已然成为数字时代的主要入口。从基础设施的建设,到应用的建设,都离不开安全风险体系的构建和防护。
新基建包括5G、工业互联网、大数据、人工智能等七大领域。爱加密专注于移动应用安全,使命是持续不断的引领技术创新,构建数据驱动的移动互联网、物联网和工业互联网的泛在应用安全防护生态体系。针对泛在应用存在的主要问题,爱加密首次提出应用安全双生态治理体系,从认证备案、安全合规、持续监督、安全开发、安全管理、安全运维等方面,充分利用先进技术进行安全建设,为泛在应用安全精准赋能。
泛在应用存在的主要问题
1、存在恶意代码,发生恶意扣费、隐私窃取、资源消耗等行为
2、违反个人信息保护规定,侵犯用户合法权益
3、存在安全漏洞,可能被非法利用导致数据泄露或安全事件
4、内容违法违规和低俗庸俗,危害社会和国家安全
泛在应用监管的痛点和挑战
全网监测难:由于APP数量庞大、种类繁杂且分散各应用商店,缺乏技术手段则难以做到全盘监测、分门别类、理清重点、找准目标,更难以实现整体态势感知和宏观管理。
溯源定位难:由于APP的程序代码与网络结构比较复杂,存在较大的技术隐蔽性,缺乏手段则难以迅速而准确地检索出APP的问题部位、分发渠道、接入网络节点等精准溯源和证据留存工作。
闭环处置难:由于运营主体、分发渠道、网络服务节点众多且分散,缺乏手段则难以高效地实施责令运营主体整改、通知应用商店下架、通知接入商和域名机构断接入、停域名等处置,及处置结果反馈和复测验证等监管措施。
监管生态建
应用安全合规持续监督管理平台
爱加密可帮助监管机构对移动应用的开发企业、运营企业、分发企业进行管理,实现对移动应用的备案申请、备案审核、合规性验证、执法检查、备案公示,并结合爱加密移动应用大数据中心提供持续性监督能力,为监管机构对管辖范围内备案应用的全生命周期进行管理和防护。
泛应用认证备案平台
结合爱加密移动应用安全大数据中心,实时对备案应用的渠道有效性、合规性、备案信息一致性进行持续性监督,对备案应用的全生命周期管理。重点帮助监管机构对移动应用的开发企业、运营企业、分发企业进行管理,实现对移动应用的备案申请、备案审核、合规性验证、执法检查、备案公示。
应用资产发现与梳理
以大数据为中心,多渠道、多维度,按区域、行业、渠道、对移动应用进行摸排、分析,高效为监管机构提供技术支撑服务。主动识别系统内部资产情况、资产自动化风险识别、服务端数据采集、移动端数据采集等。提供移动应用资产排查、移动应用安全分析、移动应用资产监测服务。
高效合规检测能力
提供完整的 本地化、专业化、系统化、定制化的信息安全合规差距测评、差距整改、合规咨询和合规建设服务,帮助快速满足国家、监管机构及企业自身的合规政策和标准要求。
企业泛应用安全生态体系建设
SDLC安全开发管控平台
SDLC为基础,以安全开发制度、规范为准绳,以安全大数据为驱动,构建覆盖应用开发各环节、工具统一运行调度的平台型管理系统。把安全工作左移,从立项开始安全管理全程介入,力争及早发现和解决安全问题,增强软件自身的健壮性。
应用安全设计咨询
提供应用安全设计咨询服务,通过与安全需求分析结果相对应的安全设计知识库,快速生成安全设计文档,为开发人员提供安全设计帮助。
源代码审计
通过爱加密自研的源代码审计引擎结合专业的人工审计服务,全面挖掘出应用系统源代码中存在的安全漏洞、性能缺陷、编码规范缺陷等问题,有效避免因软件代码存在安全漏洞导致的安全事故及风险。
移动应用安全检测系统
采用静态检测、动态检测、内容检测等技术,全面检测移动应用中存在的安全漏洞、编码缺陷等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险。平台出具专业的安全检测报告,对发现的问题给予详细的解决建议。移动应用安全检测包括Android应用检测、iOS应用检测、SDK检测、微信公众号检测、微信小程序检测、内容检测等。
个人信息安全合规检测
针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,个人信息安全合规检测,可对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全检测报告。
移动应用安全加固
通过领先的第八代All-In VMP加固技术,为用户提供全面的移动应用加固和攻击防范解决方案。包括Android应用加固、iOS应用加固、SO加固、SDK加固、H5加固、微信小程序加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒SDK等。
移动应用盗版仿冒监测
开发者通过使用渠道监测服务可以方便的管理APP的推广渠道,掌握有关渠道信息;渠道监测平台还可以帮助开发者第一时间发现盗版APP,保护公司的合法权益。针对盗版APP提供定制化的人工分析服务正版盗版精准对比分析。
移动应用威胁态势感知
建立客户端的风险感知系统,使客户端具备识别安全风险、处置安全风险的安全能力。平台具备移动应用产品安全持续监控能力,能够及时发现各种攻击威胁、行为异常、环境风险等。具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,并进行有效的安全决策和响应。
来源:freebuf.com 2020-12-23 15:57:12 by: 爱加密123
请登录后发表评论
注册