隨著無線網(wǎng)絡(luò)和移動通信技術(shù)的發(fā)展，智能手機功能日趨強大，因此也將APP市場帶動了起來。但是隨著手機操作系統(tǒng)日益標準化，網(wǎng)絡(luò)攻擊手段不同往日，黑客已經(jīng)可以像攻擊電腦信息系統(tǒng)一樣針對手機系統(tǒng)發(fā)起攻擊，同時，APP的特點使其同時暴露在眾多的網(wǎng)絡(luò)安全風險和威脅之下，容易遭受到病毒、木馬、蠕蟲等惡意程序的攻擊。

APP通報事件不斷，引起了相關(guān)部門的重視，下令整改難免給通報企業(yè)帶來壓力，網(wǎng)絡(luò)安全警鐘再次敲響。

當今社會多數(shù)人手機不離身，我們無時不刻不在使用APP，那么它真的安全嗎?這是APP開發(fā)商應(yīng)該為自身企業(yè)和用戶考慮的問題。

[[419662]]

移動應(yīng)用和信息系統(tǒng)一樣，會存在安全隱患，只是有待APP開發(fā)商發(fā)現(xiàn)，而發(fā)現(xiàn)安全風險的最好辦法就是對目標應(yīng)用定期進行安全檢測。因此建議APP開發(fā)商在應(yīng)用開發(fā)生命周期里，對APP安全做一下檢測，及時發(fā)現(xiàn)APP的安全漏洞和程序存在的缺陷問題，從而降低安全風險和損失。

那么有關(guān)APP安全檢測的方式都有哪些?

1. 漏洞掃描

基于漏洞數(shù)據(jù)庫，通過自動化工具掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測。發(fā)現(xiàn)可利用漏洞的一種安全檢測行為。

2. 滲透測試

由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起、并模擬常見黑客所使用的攻擊手段對目標系統(tǒng)進行模擬入侵。

圖2 滲透測試流程

3. 代碼審計

由具備豐富編碼經(jīng)驗并對安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員，對系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進行全面的安全檢查。

圖3 代碼審計流程

4. 安全加固

移動應(yīng)用安全加固包括Android應(yīng)用加固、iOS應(yīng)用加固、游戲應(yīng)用加固、H5文件加固、微信小程序加固、SDK加固、so文件加固和源對源混淆加固技術(shù)，從根本上解決移動應(yīng)用的安全缺陷和風險，使加固后的移動應(yīng)用具備防逆向分析、防二次打包、防動態(tài)調(diào)試、防進程注入、防數(shù)據(jù)篡改等安全保護能力。

5. 安全配置檢查

針對IT范圍內(nèi)，漏洞掃描工具不能有效發(fā)現(xiàn)的方面(網(wǎng)絡(luò)設(shè)備的安全策略弱點和部分主機的安全配置錯誤等)進行安全輔助的一種有效評估手段。

6. App違法違規(guī)收集使用個人信息合規(guī)評估

從APP運營者和監(jiān)管部門角度出發(fā)，多方面對個人信息的收集、使用、存儲、傳輸、行為和權(quán)利保障等多個方面，嚴格按照國家標準規(guī)范和監(jiān)管發(fā)文，對移動應(yīng)用進行全面合規(guī)檢查，率先將監(jiān)管檢測要求運用到合規(guī)評估服務(wù)中，強制授權(quán)、過度索權(quán)、不給權(quán)限不讓用、私自收集使用個人信息等，為企業(yè)和機構(gòu)提供面向移動應(yīng)用程序的全方位合規(guī)評估。

圖5 App違法違規(guī)收集使用個人信息合規(guī)評估流程

APP安全檢測主要面向主流手機操作系統(tǒng)(包括但不限于：Android，IOS，Windows Phone，Symbian，Java等)上開發(fā)的移動應(yīng)用。檢測范圍覆蓋手機端應(yīng)用程序及文件，服務(wù)器端承載環(huán)境及處理邏輯及手機端與服務(wù)端的網(wǎng)絡(luò)通訊。

近期APP違法違規(guī)收集使用個人信息通報較多，APP無安全評估報告不給上架的情況也較為常見。隨著移動應(yīng)用市場應(yīng)用的增多，相關(guān)部門也因此加大監(jiān)管力度。為確保APP的安全性與合規(guī)性，有必要對其實施有效的安全評估。

諸多種安全檢測方式，企業(yè)可根據(jù)自身需求選擇合適的評估手段，以便通過上架審查。