王飛

摘要：本文真對移動應用APP面臨的安全問題進行分析，并且提出全生命周期安全管理的對策，促進移動應用APP穩(wěn)定發(fā)展，滿足人們的使用需求。由于移動互聯(lián)網(wǎng)的迅速普及和發(fā)展，移動終端的方便性，移動應用APP逐漸融入日常辦公和業(yè)務(wù)系統(tǒng)中，其數(shù)量不斷增加。移動應用APP和移動辦公在提高辦公效率、改善辦公流動性、加強與人的溝通等方面都取得了巨大的進步。

關(guān)鍵詞：移動應用APP;全生命周期;安全管理

一、移動應用APP面臨的安全問題

《“十三五”國家政務(wù)信息化工程建設(shè)規(guī)劃》中明確規(guī)定，“十三五”期間，基本實現(xiàn)對各類專用網(wǎng)絡(luò)的整合和遷移，與移動信息安全保障能力得到加強，協(xié)調(diào)各級部門共同治理。隨著移動互聯(lián)網(wǎng)的快速發(fā)展，智能手機不斷普及，5G技術(shù)商用的推進，移動應用APP已經(jīng)成為一種普遍趨勢。由于網(wǎng)絡(luò)環(huán)境的進一步開放，傳統(tǒng)的網(wǎng)絡(luò)邊界逐漸消失，不同類型的終端和網(wǎng)絡(luò)相互連接，移動接入問題帶來了更多的安全風險，成為制約移動應用APP發(fā)展的主要因素，比如信息泄露、惡意篡改、惡意攻擊、安全事件追蹤等重大安全問題，給移動應用APP管理帶來全新挑戰(zhàn)。

二、移動應用APP全生命周期安全防護解決方案

針對移動應用APP業(yè)務(wù)發(fā)展面臨的安全挑戰(zhàn)，分析了眾多客戶對電子移動應用的安全需求，提出了一套完整的生命周期安全保護解決方案。以PPDR安全框架為基礎(chǔ)，從預測、保護、發(fā)現(xiàn)、響應等方面覆蓋了移動應用APP的整個生命周期，全面提升了移動應用APP的安全防護功能。

（一）移動應用APP安全開發(fā)管控

移動應用APP通過開放網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，大量信息通過互聯(lián)網(wǎng)傳輸，因此，APP的安全是首要問題。通過對目前主流APP安全問題的統(tǒng)計分析，發(fā)現(xiàn)90%以上的APP安全問題發(fā)生在APP開發(fā)過程中。如何有效地防止APP開發(fā)過程中出現(xiàn)的安全問題，并盡快解決安全問題就成了移動應用APP的當務(wù)之急。基于STRIDE威脅建模方法，根據(jù)豐富的APP安全經(jīng)驗，構(gòu)建了針對移動應用APP的安全基線知識庫，在開發(fā)過程的不同階段，根據(jù)APP軟件開發(fā)的一系列安全措施，確保生命周期（SDLC）中不同角色的人員平穩(wěn)工作協(xié)作，并將安全工具有序集成到開發(fā)過程的不同階段，實現(xiàn)流程指導自動化和工作協(xié)作制度化，透明度將有效提高移動應用APP的研發(fā)效率和安全質(zhì)量。

（二）盜版應用監(jiān)測及下架

隨著APP的發(fā)展，越來越多的部門通過移動應用APP提供公共服務(wù)，猖獗的盜版、偽造APP嚴重影響了用戶體驗和安全。知識產(chǎn)權(quán)和部門的誠信問題也會受到影響。但由于國內(nèi)APP市場的分割，很難有效地實施APP的監(jiān)控，使得APP的盜版、偽造等行為難以清除，給運營商帶來了極大的麻煩。提供APP增強服務(wù)，可以有效地防止APP的版權(quán)侵權(quán)。移動應用APP開發(fā)完成后需要進行嚴格的測試，對APP客戶端、信息傳輸層和服務(wù)器端進行全方位的安全能力檢測，檢測內(nèi)容包括客戶端安全檢測、業(yè)務(wù)流程檢測、敏感數(shù)據(jù)泄露檢測、數(shù)據(jù)通信安全檢測、服務(wù)端滲透安全檢測。如圖1所示：

（三）公共服務(wù)類外發(fā)SDK安全管控

在SDK外包服務(wù)安全管理和控制的背景下，公共服務(wù)電子政務(wù)（如社會保障、稅收、公積金基金）已經(jīng)從SDK外包的商業(yè)模式中發(fā)展出來。雖然這一模式促進了電子政務(wù)的商業(yè)發(fā)展，但也存在著諸如SDK反向分析、動態(tài)調(diào)試或注入攻擊、SDK業(yè)務(wù)邏輯漏洞等安全風險。SDK發(fā)布前，必須對其本身進行安全保護和測試。

（四）應用發(fā)布前的安全檢查

APP發(fā)布前的安全檢查是我國當前移動應用APP全生命周期管理中的一個重要環(huán)節(jié)，相關(guān)部門必須十分重視移動應用APP面臨的安全威脅。在推出移動電子APP之前，必須進行有效的安全檢查。提供安全檢測服務(wù)，包括個人隱私檢測、等級保護2.0合規(guī)檢測、移動應用APP安全漏洞檢測、移動應用APP移動安全檢測等。

（五）運營維護階段的安全檢查

移動應用APP正式發(fā)布后，將持續(xù)監(jiān)控各個APP市場，全面了解移動應用APP的安全狀態(tài)和運營狀態(tài)，有效應對各種潛在風險。圖2顯示了通道監(jiān)控的流程。

移動應用APP應用的智能更新采用了最新的安全提取技術(shù)。有效地防止了APP二次封裝現(xiàn)象，充分保障了APP發(fā)布的安全性。用于更新包的預加載技術(shù)用于繞過更新流量，實現(xiàn)了APP客戶端的分布式下載。對于較小的迭代、較少資源文件更新的大版本迭代以及較大的迭代，支持增量更新、完整更新和安裝更新方法，對用戶是完全透明的，不需要彈出窗口和提示，因此改善了用戶體驗。

結(jié)束語：

通過對移動應用APP生命周期中如何進行安全管理的研究，詳細分析了移動應用APP設(shè)計、開發(fā)、測試、啟動、運行和維護等階段所采取的安全措施。這種方法有效地避免了傳統(tǒng)更新中的不及時更新、更新時間不可控以及軟件包大規(guī)模更新等問題，有效地降低了成本。經(jīng)實際APP驗證，可有效保護移動應用APP應用程序，為移動APP全生命周期的安全管理提供了有價值的參考。

參考文獻：

[1]孫侃.?移動應用APP全生命周期安全管理[J].?現(xiàn)代電視技術(shù)，?2018，?207（09）：139-142.

[2]殷銘，李琳.?移動應用全生命周期管理平臺的研究與實踐[J].?電信科學，?2020，?v.36（12）：151-158.