移動終端應用安全設計方案

移動終端應用安全設計方案傳統(tǒng)互聯(lián)網相比，移動互聯(lián)網具有隨身性、可鑒權、可身份識別等獨特優(yōu)勢。但同時也存在移動終端處理能力弱、網絡帶寬相對較小的局限性移動應用的幾種模式原生應用、Web應用、混合應用原生應用：簡單的來說是特別為某種操作系統(tǒng)開發(fā)的，比如iOS、Android、黑莓等等，它們是在各自的移動設備上運行的Web應用：本質上是為移動瀏覽器設計的基于Web的應用，它們是用普通Web開發(fā)語言開發(fā)的，可以在各種智能手機瀏覽器上運行?；旌蠎茫菏窃鷳煤蚖eb應用的結合體，采用了原生應用的一部分、Web應用的一部分，所以必須在部分在設備上運行、部分在Web上運行，這是主流模式移動應用模式的優(yōu)缺點模式優(yōu)點缺點原生可訪問手機所有功能（GPS、攝像頭）；速度更快、性能高、整體用戶體驗不錯；可線下使用；支持大量圖形和動畫開發(fā)成本高支持設備非常有限上線時間不確定內容限制（AppStore限制）Web應用支持設備廣泛；較低的開發(fā)成本可即時上線；無內容限制；對聯(lián)網的要求比較大用戶體驗比較差圖片和動畫支持性不高對手機特點有限制（攝像頭、GPS混合應用兼容多平臺；順利訪問手機的多種功能；可離線使用不確定上線時間；用戶體驗不如本地應用；性能稍慢（需要連接網絡）；移動應用的安全一般用戶都認為只要是手機安裝客戶端模式會比較安全，客戶端模式相對于wap網頁模式安全些，但是，打開手機就是應用，應用背后卻還是一片黑，好像還不是很安全呢。可以從移動終端安全機制、網絡安全機制兩個方面考慮：安全機制內容移動終端安全機制互聯(lián)網的最終用戶設備，包括手機、PDA、便攜式電腦終端操作系統(tǒng)安全機制、防病毒、系統(tǒng)漏洞攻擊等，數(shù)據(jù)安全及隱私保護機制、數(shù)據(jù)授權訪問、加密等Activity安全、劫持入、文件上傳、中間件/server漏洞等，但是由于部分app不是直接嵌入網頁在app中，而是使用的api接口返回josn數(shù)據(jù)，導致掃描器爬蟲無法爬取鏈接。Web類應用系統(tǒng)所面臨的主要風險包括：網絡層面的攻擊：利用工具和技術通過網絡對系統(tǒng)進行攻擊和入侵，包括DDOS攻擊、漏洞探測、嗅探（帳號、口令、敏感數(shù)據(jù)等）等。Web應用程序攻擊：利用web系統(tǒng)的漏洞對應用程序本身進行的攻擊，如針對應用程序本身的DOS攻擊、SQL注入、跨站攻擊、網站掛馬以及獲取對web服務的控制權限等。內容篡改：利用應用層漏洞等進行的網頁篡改攻擊行為，網頁內容被非法篡改為其它甚至是產生嚴重社會影響的不合規(guī)內容。數(shù)據(jù)通信安全軟件與軟件、軟件與網絡服務器之間進項數(shù)據(jù)通信時的安全問題。軟件與軟件的通信：Android系統(tǒng)4大組件的通信主要手段通信過程中數(shù)據(jù)傳遞依靠intent來完成；在intent中應該明確指定目的組件的名稱，防止第三方程序“偷竊”軟件與網絡的數(shù)據(jù)通信：軟件登陸驗證、網絡賬號密碼的明文傳輸、數(shù)據(jù)上傳未加密移動應用的功能測試基本功能（同pc端測試）軟件版本檢測：檢測版本號是否正確？至少要比上一個版本多一個版本，例：當前版本1.0，那么下一個版本至少是1.0.1。程序啟動后，是否正常檢測版本更新提示離線使用：有離線功能的應用，在離線狀態(tài)下，應用的功能使用是否正常，離線狀態(tài)下相應的操作提示是否合理。離線后連接網絡：離線后連接wifi或者2G，3G網絡，基本功能能否正常使用。交互性測試1)數(shù)據(jù)同步功能：需要同步數(shù)據(jù)的應用，測試數(shù)據(jù)同步是否正常,下載、上傳。應用網絡測試1）應用的流量使用情況安全企業(yè)用戶的身份，被別別人冒名頂替物理安全，網絡安全，系統(tǒng)安全，安全管理，應用安全五個層面進行評測第一部分是智能終端通過短信網關進入后臺服務器。（說移動設備從物理安全上來講，就是說移動設備丟失帶來了物理安全隱患）第二個鏈路是說我的移動終端通過移動網絡進入互聯(lián)網，最后進入我們的服務器。（無