◆巨騰飛 閆育蕓 郝闖

APP信息安全風(fēng)險(xiǎn)評(píng)估方法研究

◆巨騰飛1閆育蕓1郝闖2

（1.陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065；2.中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020）

移動(dòng)時(shí)代便捷高效的移動(dòng)辦公服務(wù)方式，受到了企業(yè)和廣大員工的喜愛(ài)與青睞，因而現(xiàn)在許多企業(yè)的主營(yíng)運(yùn)作越來(lái)越多地需要依賴于移動(dòng)的應(yīng)用，比如說(shuō)金融業(yè)就已經(jīng)將很多主營(yíng)運(yùn)作向著移動(dòng)的應(yīng)用進(jìn)行了轉(zhuǎn)移，然而這些在為大家提供快捷和享受的移動(dòng)應(yīng)用中，卻也都隱藏著令人們擔(dān)心的問(wèn)題，即信息安全。本文研究了APP信息安全風(fēng)險(xiǎn)的評(píng)估方法，供相關(guān)讀者參考。

終端；移動(dòng)辦公；風(fēng)險(xiǎn)評(píng)估；信息安全

1 引言

早在20世紀(jì)80年代，法國(guó)就誕生了第一款“APP Store”，2008年，蘋(píng)果公司的APP Store正式上線，在移動(dòng)通信網(wǎng)絡(luò)高速發(fā)展和智能移動(dòng)終端迅速普及的雙重推力下，APP迎來(lái)了前所未有的發(fā)展。隨著這種爆炸式的發(fā)展，潛在的安全風(fēng)險(xiǎn)也逐漸顯現(xiàn)，漏洞、木馬、釣魚(yú)等詞匯頻頻出現(xiàn)于移動(dòng)互聯(lián)網(wǎng)之上。

2 APP發(fā)展現(xiàn)狀

近年來(lái)中國(guó)網(wǎng)民規(guī)模及互聯(lián)網(wǎng)普及率均快速增長(zhǎng)，2020年6月中國(guó)網(wǎng)民規(guī)模為93984萬(wàn)人，較2019年上半年增加了8535萬(wàn)人。2020年6月中國(guó)互聯(lián)網(wǎng)普及率為67.0%，較2019年上半年增加了5.8%。隨著互聯(lián)網(wǎng)越來(lái)越普及，預(yù)計(jì)在未來(lái)中國(guó)這一人數(shù)將進(jìn)一步增加。以騰訊即時(shí)通信qq為例，自從中國(guó)騰訊在1999年推出了qq移動(dòng)通信服務(wù)軟件，即時(shí)通信已經(jīng)在中國(guó)發(fā)展了21年時(shí)間，截至2020年6月，中國(guó)的即時(shí)通信移動(dòng)業(yè)務(wù)用戶規(guī)模高達(dá)93079萬(wàn)，較2019年6月又增加了10609萬(wàn)，這樣巨大的量級(jí)使得寬帶業(yè)務(wù)隨著互聯(lián)網(wǎng)技術(shù)的廣泛普及和快速發(fā)展也在迅速地增加中。

3 APP面臨的主要信息安全威脅

根據(jù)早期資料顯示，APP“社保掌上通”，這一熱門(mén)的個(gè)人社保查詢 APP 被曝出存在泄露其他用戶的個(gè)人信息的問(wèn)題。網(wǎng)絡(luò)安全技術(shù)專家經(jīng)過(guò)抓取和分析數(shù)據(jù)包發(fā)現(xiàn)，用戶的信息已經(jīng)被發(fā)送到了另外一家網(wǎng)絡(luò)大數(shù)據(jù)企業(yè)的服務(wù)器。在此次授權(quán)過(guò)程中，用戶將被默認(rèn)接受并同意任何一份授權(quán)協(xié)定，其中包含了不可以或者無(wú)法撤銷授權(quán)用戶使用社會(huì)保護(hù)賬戶密碼、對(duì)用戶的個(gè)人資料進(jìn)行采集和處理等諸多條款。根據(jù)上述案例APP客觀存在以下幾種情況下的個(gè)人信息安全的風(fēng)險(xiǎn)：

（1）公私數(shù)據(jù)混用，數(shù)據(jù)難以得到保護(hù)

一臺(tái)移動(dòng)設(shè)備中，不僅包含了企業(yè)的個(gè)人信息還有其他企業(yè)的信息，在沒(méi)有清晰地區(qū)分移動(dòng)終端上所有的個(gè)人、企業(yè)信息和應(yīng)用情況下，個(gè)人的應(yīng)用就可以隨意訪問(wèn)、獲得企業(yè)的數(shù)據(jù)，同時(shí)企業(yè)還可能觸及其他個(gè)人的應(yīng)用。

（2）敏感信息泄露

敏感信息泄露是移動(dòng)設(shè)備上應(yīng)用程序最大的風(fēng)險(xiǎn)之一。在用戶使用應(yīng)用的過(guò)程中，大量的用戶數(shù)據(jù)直接存儲(chǔ)在設(shè)備上，這本身就存在很大的危險(xiǎn)性。不幸的是，為了方便開(kāi)發(fā)者，在系統(tǒng)上有很多機(jī)制可以用來(lái)存儲(chǔ)數(shù)據(jù)，例如本地?cái)?shù)據(jù)庫(kù)Sqlite文件、系統(tǒng)日志文件和Webview緩存等。這些文件中可能包含大量的用戶敏感信息，一旦應(yīng)用程序處理不當(dāng)（例如，明文存儲(chǔ)、會(huì)話標(biāo)識(shí)符、身份憑證等），就會(huì)給攻擊者以可乘之機(jī)。

（3）網(wǎng)絡(luò)釣魚(yú)

隨著微信移動(dòng)端和互聯(lián)網(wǎng)的不斷普及與迅速興起，微博、微信已經(jīng)逐漸成為普通大眾的“新寵”。上半年微信、阿里巴巴已經(jīng)正式入駐到了新浪微博，下半年騰訊微信已經(jīng)正式開(kāi)啟了微信支付付款服務(wù)的全新功能，越來(lái)越多的微信商品已經(jīng)推出多個(gè)渠道和多種支付付款方式，這使得現(xiàn)在的移動(dòng)微信購(gòu)物、移動(dòng)微信支付已經(jīng)逐漸成為時(shí)下市場(chǎng)占有率極高的網(wǎng)絡(luò)詞語(yǔ)。也正因?yàn)檫@樣，一些網(wǎng)絡(luò)不法分子也悄悄地伸手微博、微信。

通過(guò)群發(fā)被偷竊的微信，群發(fā)手機(jī)釣魚(yú)詐騙網(wǎng)站等多種方式被用來(lái)非法竊取其他手機(jī)微信平臺(tái)用戶的手機(jī)QQ微信賬號(hào)，已經(jīng)逐漸成了一些騙子們利用生活習(xí)慣經(jīng)常使用的詐騙手法。騙子通常以“在嗎，問(wèn)你個(gè)事，這個(gè)女的你認(rèn)識(shí)嗎”等各種具有誘惑性的信息內(nèi)容從網(wǎng)上傳播開(kāi)始，勾起了她們好友的很多興趣和各種好奇心，緊接著就有機(jī)會(huì)給她們朋友發(fā)來(lái)一個(gè)關(guān)于一些釣魚(yú)交友網(wǎng)站的鏈接，誘惑她們的社交朋友直接通過(guò)點(diǎn)擊，偷走她們的QQ賬號(hào)，進(jìn)而對(duì)她們朋友實(shí)施網(wǎng)絡(luò)欺詐。

（4）安全漏洞

APP的漏洞主要是指APP系統(tǒng)存在的一種技術(shù)漏洞，它是泛指APP系統(tǒng)的開(kāi)發(fā)者因?yàn)樵谶M(jìn)行邏輯和設(shè)計(jì)上存在的某些缺陷或者是在進(jìn)行程序編寫(xiě)時(shí)所可能會(huì)產(chǎn)生的一些錯(cuò)誤，這種漏洞可以很容易地被他人直接植入任何惡意的代碼或者是手機(jī)上的病毒，造成經(jīng)濟(jì)損失。黑客可以利用APP的漏洞，植入任何一個(gè)惡意的代碼或者是手機(jī)上的病毒，偷取其用戶隱私，這種犯罪行為極其常見(jiàn)。在與本身的功能毫不相干的條件下，獲取了智能手機(jī)用戶的短信記錄、通話和聯(lián)系人記錄、通信和電子郵件等敏感的個(gè)人信息。這些抓取的行為實(shí)際上并非因?yàn)橛嘘P(guān)移動(dòng)APP為其用戶提供的一系列應(yīng)用服務(wù)功能而迫切地必需，而是因?yàn)锳PP受到了感染病毒的影響，并且大多數(shù)的普通用戶對(duì)此并不十分知情。

（5）病毒攻擊

在我國(guó)企業(yè)移動(dòng)終端互聯(lián)網(wǎng)日益深入人心的今天，攻擊者已經(jīng)逐漸開(kāi)始把自己的目光從PC設(shè)備或電腦終端上的攻擊目標(biāo)直接轉(zhuǎn)向其他移動(dòng)終端設(shè)備，同時(shí)，由于移動(dòng)root攻擊權(quán)限的廣泛濫用和一些新一代移動(dòng)黑客攻擊入侵技術(shù)，使得一些移動(dòng)終端設(shè)備也已經(jīng)成了直接滋生安全隱患風(fēng)險(xiǎn)的一個(gè)新技術(shù)溫床，這就可能會(huì)直接成為一些惡意的移動(dòng)黑客攻擊入侵或直接滲透到一些大型企業(yè)移動(dòng)終端上的一塊重要跳板。

4 APP信息安全風(fēng)險(xiǎn)評(píng)估方法研究

APP信息安全風(fēng)險(xiǎn)評(píng)估主要包含評(píng)估內(nèi)容及評(píng)估方法，具體如下：

4.1 評(píng)估內(nèi)容

（1）技術(shù)評(píng)估

技術(shù)風(fēng)險(xiǎn)評(píng)估主要是針對(duì)重要的信息系統(tǒng)正常運(yùn)行中所需要包含的信息資產(chǎn)進(jìn)行的風(fēng)險(xiǎn)分析與評(píng)價(jià)，對(duì)信息系統(tǒng)所涉及的技術(shù)層面進(jìn)行評(píng)估工作，具體包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全以及數(shù)據(jù)安全。

（2）管理評(píng)估

管理風(fēng)險(xiǎn)評(píng)估主要是針對(duì)企業(yè)進(jìn)行信息系統(tǒng)安全管理所需要涉及的信息資產(chǎn)展開(kāi)風(fēng)險(xiǎn)分析與評(píng)價(jià)，通過(guò)深入地了解企業(yè)的信息資產(chǎn)安全管理戰(zhàn)略、安全體系、組織架構(gòu)和人力資源等各種信息化工作及其他各種信息化活動(dòng)，對(duì)企業(yè)的信息資產(chǎn)治理和風(fēng)險(xiǎn)管理情況進(jìn)行了評(píng)估，具體應(yīng)用范圍包括組織機(jī)構(gòu)治理、安全管理體制、人員安全管理，系統(tǒng)施工與建設(shè)和運(yùn)營(yíng)管理。

4.2 評(píng)估方法

（1）顧問(wèn)訪談

針對(duì)規(guī)章制度、組織機(jī)構(gòu)等方面的問(wèn)題，分別對(duì)分管網(wǎng)絡(luò)與信息安全工作的領(lǐng)導(dǎo)、技術(shù)人員以及專門(mén)負(fù)責(zé)網(wǎng)絡(luò)信息安全的相關(guān)人士進(jìn)行了訪談；與信息系統(tǒng)的應(yīng)用運(yùn)維者和使用商業(yè)服務(wù)人員展開(kāi)訪談，了解整個(gè)信息系統(tǒng)的操作流程和其運(yùn)行狀態(tài)；與信息系統(tǒng)應(yīng)用運(yùn)維人員和使用人員進(jìn)行訪談，了解信息系統(tǒng)的工作流程及運(yùn)行情況。

（2）文檔閱讀

查看各類安全制度和規(guī)范，查看信息系統(tǒng)開(kāi)發(fā)設(shè)計(jì)方案，核實(shí)信息系統(tǒng)運(yùn)行維護(hù)記錄，核實(shí)訪談結(jié)果，驗(yàn)證安全管理制度執(zhí)行情況等。

（3）人工評(píng)估

登錄所有網(wǎng)絡(luò)應(yīng)用設(shè)備、安全管理裝置、服務(wù)器及安全管理系統(tǒng)，查看所有網(wǎng)絡(luò)設(shè)備及安全服務(wù)器之間的網(wǎng)絡(luò)賬號(hào)安全、配置安全及網(wǎng)絡(luò)安全等各個(gè)環(huán)節(jié)中所有可能發(fā)現(xiàn)的安全問(wèn)題。

（4）現(xiàn)場(chǎng)調(diào)查

進(jìn)行實(shí)地檢查或者登錄時(shí)可以查看到辦公室內(nèi)的物理?xiàng)l件、服務(wù)器、互聯(lián)網(wǎng)設(shè)施和安全裝置等的物理信息以及網(wǎng)絡(luò)設(shè)施、電腦和移動(dòng)存儲(chǔ)媒體等設(shè)備的安全運(yùn)行狀況，檢查有關(guān)辦公電腦、移動(dòng)存儲(chǔ)媒體以及對(duì)敏感檔案的安全利用和保管存儲(chǔ)。

（5）工具掃描

根據(jù)設(shè)備網(wǎng)絡(luò)情況，通過(guò)主機(jī)漏洞掃描工具、APP漏洞掃描工具對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器進(jìn)行遠(yuǎn)程評(píng)測(cè)和本地評(píng)測(cè)，包括漏洞掃描、配置核查和信息提取等。

5 結(jié)束語(yǔ)

智能移動(dòng)設(shè)備快速發(fā)展，大量的利益相關(guān)者都在爭(zhēng)奪整個(gè)移動(dòng)生態(tài)系統(tǒng)中的微小生存空間，包括移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、設(shè)備制造商、移動(dòng)操作系統(tǒng)、應(yīng)用商店管理者、IT組織、移動(dòng)應(yīng)用開(kāi)發(fā)者和終端用戶等，如何在快速發(fā)展的同時(shí)又能兼顧安全，這一問(wèn)題值得我們深究。

[1]肖招娣，韓錦明，皇甫漢聰.移動(dòng)互聯(lián)網(wǎng)App軟件在企業(yè)物流轉(zhuǎn)型中的應(yīng)用[J].自動(dòng)化與儀器儀表，2016（12）：225-226.

[2]趙蓓，常玲，薛姍，馬力鵬.融合通信中即時(shí)消息業(yè)務(wù)安全監(jiān)測(cè)與處置技術(shù)要求[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2018，31（11）：31-34.