2020疫情引爆了在线新经济。疫情流量之下,在线新经济企业如何落地自身网络安全建设?8月知道创宇“产业安全大咖说”,邀6位大咖为您共同揭晓答案。
本文是第3位大咖王真的分享
CISA、CRISC、CDPSE、CISP、C-CCSK、TOGAF,10多年安全工作经验。4年乙方工作,9年甲方安全,ISACA/ISC/OWASP会员。具有咨询公司、运营商、制造业、互联网金融行业、房地产、电商等行业从事信息安全经验。
擅长安全体系建设、企业内部合规、漏洞挖掘、安全加固、业务安全和漏洞修复等。
![【演讲实录】王真:APP安全与合规实践分享(附PPT)]( "【演讲实录】王真:APP安全与合规实践分享(附PPT)")
据我多年来在APP企业工作的经验来看,APP安全合规主要是以下内容:
1.基础安全:包括等保最基础的要求,以及APP的基础安全。
2.APP隐私安全(前端):国内现目前有的安全规范有GB-35273,主要涉及隐私协议保护。
3.服务器端数据安全:数据从生产出来到传输再到销毁,安全其实围绕了整个数据生命周期。
4.其他安全:APP风控与内容安全,以及第三方SDK。特别是内容安全,也是近期关注度很高的。
-
GB/T 35273-2017《信息安全技术个人信息安全规范》
-
YD T 2703-2014 《电信网和互联网安全防护基线配置要求及检测》
-
GA/T 1390.3-2017 《信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》 YD/T 3228-2017 《移动应用软件安全评估方法》
-
GB/T XXXXX-XXXX《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》
大数据平台的漏洞获取可以参考国家漏洞库,上面会定期发布各个平台的漏洞。在大数据平台上加强漏洞修复和安全基线加固,可以极大程度的减少漏洞危害。
监管机构从2016年起陆续颁布了多条关于网络安全和个人信息安全的法律法规,在十三届全国人大二次会议新闻发布会上也提出相关部门应抓紧研究和起草个人信息保护法,通过立法进一步细化APP运营者收集使用用户个人信息的规范,明确其对收集的个人信息的保护义务及采取安全措施,对于违法违规收集使用个人信息应承担的责任等。
-
GA/T 1390.3-2017 《信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》 GB/T 35273-2017《信息安全技术个人信息安全规范》
-
YD/T 3039-2016 《 移动智能终端应用软件安全技术要求》
-
GB/T 35282-2017 《信息安全技术 电子政务移动办公系统安全技术规范》
-
YD/T 3228-2017 《移动应用软件安全评估方法》
-
GB/T 32927-2016 《信息安全技术 移动智能终端安全架构》
-
GB/T XXXXX-XXXX《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》
企业如果有相关标准,需要仔细研读相关标准,并按照标准进行处置。
根据去年发布的《移动应用(APP)数据安全与个人信息保护白皮书》来看67%的APP存在5个及以上个人信息安全问题。超过四成APP的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类。
隐私政策是APP营者告知用户个人信息收集规则的主要途径,是保障用户知情权的基础。
报告发现,超过半数APP在用户首次登录时向用户默示隐私政策,导致隐私政策难以起到告知作用。
数据存储是APP运营过程中的关键环节,也是网络黑客攻击窃取数据的切入点,可靠的数据存储为用户个人信息的正常使用提供重要保障。APP运营者应在不影响用户终端和服务正常使用的情况下,优先在用户个人终端内存储所收集的个人信息,并采取加密等技术措施 确保用户数据即使泄露也难以被破解。
报告中称,超过两成的APP存在明文存储用户个人信息的问题。具体明文存储类型如下:
私自共享是指App运营者未经用户同意与第三方共享用户个人信息的行为。运营者应在用户跳转至第三方应用前明示用户其个人信息是否被共享及共享后个人信息的传播路径,同时还应根据共享的个人信息私密程度、安全系数的不同,为用户提供是否同意信息共享及信息共享路径的选择权。
报告发现,四成APP存在跳转第三方应用时,未提醒用户关注第三方收集使用个人信息规则问题。跳转的第三方应用以金融类和网上购物类为主,占比均为31%。
2020年5月14日,工信部通报2020年第一批侵害用户权益行为APP,涉及16款APP。
APP企业需要及时的自评估确保自己不要有违规情况出现,如果发现问题并积极配合整改。
基础安全是在通过等保之后需要关注的要点,例如在研发阶段是不是有一些安全配置、是否有加固等,具体如下:
1.无任何代码安全防范措施:程序易被破解、逆向;
2.APP运行不安全:内存注入、动态调试、截屏/劫持;
3.安全配置被忽略:默认没有安全配置;
4.文件可被随意篡改:插入/替换广告SDK、修改支付渠道、插入病毒/木马程序;
5.app加固强度差:加固强度问题、低强度加固;
6.数据存储/传输不安全:手机端(Sharedpreference、File、sqlite)、传输层(HTTP、HTTPS)
现目前,黑产已经变得越来越专业化和流程化。从下面这张图可以看出,黑产也有具体的不同分工,包括:信息收集、收码平台、工具开发、实施欺诈以及最后的分赃等。
除此之外,内容安全也可以列入业务风控。经过我的实际经验来看,内容安全主要要注意以下几点:
-
-
-
-
其他:文本安全、图片安全、音频安全、图文安全、视频安全、文件安全…
与此同时还需要特别注意第三方SDK合规问题,今年在315晚会上也被点名提出。
最后想给大家分享一点:一个APP企业是否遵循了相关标准、规定,通过我们的自评估和研读相关条例就能把整改隐私安全做到很好?
合规一定是第一层面,但是企业如果想把隐私安全做的更体系化和更有细粒度,可以参考国际发布的标准ISO27701:2019隐私信息管理体系。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/101074.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论