CN107766728A - 移动应用安全管理装置、方法及移动作业安全防护系统 - Google Patents
移动应用安全管理装置、方法及移动作业安全防护系统 Download PDFInfo
- Publication number
- CN107766728A CN107766728A CN201710752470.7A CN201710752470A CN107766728A CN 107766728 A CN107766728 A CN 107766728A CN 201710752470 A CN201710752470 A CN 201710752470A CN 107766728 A CN107766728 A CN 107766728A
- Authority
- CN
- China
- Prior art keywords
- mobile
- mobile solution
- security
- solution
- sdk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Abstract
本发明公开了一种移动应用安全管理装置、方法及移动作业安全防护系统。其中,该移动应用安全管理装置包括:处理器,该处理器在运行时执行用于实现以下模块所实现的功能的程序:安全软件开发工具包SDK分发模块,用于根据所接收的移动应用的特征信息向移动应用分发SDK,其中,SDK用于对所述移动应用进行安全防护;移动应用检测模块,用于对移动应用进行检测,并依据检测结果确定移动应用中的安全漏洞;移动应用安全加固模块,用于对移动应用进行安全加固;以及移动应用安全渠道检测模块,用于对移动应用的分发和下载渠道进行实时监测。本发明解决了由于移动应用的数据泄露而造成的移动作业不安全的技术问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种移动应用安全管理装置、方法及移动作业安全防护系统。
背景技术
随着移动办公的兴起,更多专用的移动应用在移动设备上安装运行,智能手机越来越多的替代电脑接入企业的内网进行日常的业务办理等,但是由于移动应用的特殊性,与传统办公在使用环境、终端类型、通信条件上有天壤之别,传统企业信息安全体系早已无法适应移动互联网环境下的移动办公需求,但同时移动终端与生俱来的用户紧耦合性决定了其上信息的敏感性,而其“移动”的特性又对于信息安全的保护提出了更高的要求。
经调查发现,目前,移动应用存在着核心代码反编译风险、敏感信息泄漏的风险、代码漏洞风险等,可能造成应用仿冒、涉密信息泄露、被黑客组织利用、攻击等严重后果。因此需要对其移动应用安全有个整体解决方案
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种移动应用安全管理装置、方法及移动作业安全防护系统,以至少解决由于移动应用的数据泄露而造成的移动作业不安全的技术问题。
根据本发明实施例的一个方面,提供了一种移动应用安全管理装置,包括:处理器,所述处理器在运行时执行用于实现以下模块所实现的功能的程序:安全软件开发工具包SDK分发模块,用于根据所接收的移动应用的特征信息向所述移动应用分发SDK,其中,SDK用于对移动应用进行安全防护;移动应用检测模块,用于对移动应用进行检测,并依据检测结果确定移动应用中的安全漏洞;移动应用安全加固模块,用于对移动应用进行安全加固;以及移动应用安全渠道检测模块,用于对移动应用的分发和下载渠道进行实时监测。
进一步地,移动应用检测模块,用于对移动应用的源代码中的预定区域进行检测,并依据对预定区域的检测结果确定源代码中存在的安全漏洞。
进一步地,移动应用检测模块,用于抓取移动应用的行为数据,并将行为数据与预设数据进行匹配,依据匹配结果确定移动应用存在的安全漏洞。
进一步地,处理器在运行时还执行用于实现以下模块所实现的功能的程序:SDK绑定模块,用于将SDK与特征信息进行绑定。
进一步地,特征信息包括移动应用的签名、移动应用的安装包名称中的至少一个,其中,SDK分发模块,用于在SDK与特征信息绑定后,向特征信息对应的移动应用发放SDK。
进一步地,对移动应用进行安全加固包括以下项中的至少一项:对移动应用中的资源文件进行保护;对移动应用中的SO文件进行保护;对移动应用中的运行数据文件进行保护;对移动应用的内存空间进行监测;收集移动应用的故障信息;以及获取移动应用的安全态势,安全态势包括以下至少之一:移动应用遭受攻击时的攻击来源、攻击形式、运行环境以及受攻击后的相关信息。
进一步地,移动应用安全渠道检测模块利用爬虫技术对移动应用的静态HTML和动态Javascript生成的页面进行实时抓取,根据抓取结果实时监测移动应用的分发和下载渠道。
根据本发明实施例的另一方面,还提供了一种移动应用安全管理方法,包括:接收移动应用的特征信息;向移动应用分发与特征信息对应的安全软件开发工具包SDK,其中,SDK用于对移动应用进行安全防护。
进一步地,在向移动应用分发与特征信息对应的安全软件开发工具包SDK之前,将SDK与特征信息绑定,其中,特征信息包括移动应用的签名、移动应用的安装包名称中的至少一个。
根据本发明实施例的另一方面,还提供了一种移动应用安全管理方法,包括:确定移动应用的安全防护规则,其中,安全防护规则包括以下至少之一:根据所接收的移动应用的特征信息向移动应用分发SDK;对移动应用进行代码检测以确定移动应用中的安全漏洞;对移动应用进行安全加固;以及对移动应用的分发和下载渠道进行实时监测;以及按照安全防护规则对所述移动应用进行安全防护处理。
进一步地,对移动应用进行代码检测以确定移动应用中的安全漏洞包括:对移动应用的源代码中的预定区域进行检测,并依据对预定区域的检测结果确定源代码中存在的安全漏洞。
进一步地,对移动应用进行安全加固包括以下项中的至少一项:对移动应用中的资源文件进行保护;对移动应用中的SO文件进行保护;对移动应用中的数据文件进行保护;对移动应用的内存空间进行监测;收集移动应用的故障信息;以及获取移动应用的安全态势,其中,安全态势至少包括移动应用遭受攻击时的攻击来源、攻击形式、运行环境以及受攻击后的相关信息。
根据本发明实施例的另一方面,还提供了一种移动作业安全防护系统,包括:上述根据本发明实施例的一个方面的移动应用安全管理装置;以及移动终端安全管理装置。
进一步地,移动终端安全管理装置包括:资产管理模块,用于获取移动终端的基本信息;准入管控模块,用于对移动终端进行身份认证,以判断移动终端是否具备访问预定数据的资格;权限管理模块,用于对移动终端的权限进行配置和管理;配置策略下发模块,用于将预定配置信息直接推送到移动终端;以及设备丢失管控模块,用于在移动终端丢失的情况下对移动终端所保存的数据进行安全管控。
在本发明实施例中,采用对移动应用和/或移动终端进行安全防护的方式,通过从移动应用的代码检测、渗透测试、安全加固与渠道检测整个生命周期来进行全方位保护,并对移动终端资产管理、接入管理、权限管理、配置策略下发与丢失管控,达到了防止数据泄漏的目的,从而实现了移动作业安全的技术效果,进而解决了由于移动应用的数据泄露而造成的移动作业不安全的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1根据本发明实施例的移动应用安全管理装置的示意图;
图2是根据本发明实施例的移动应用安全管理方法的示意图;
图3是根据本发明实施例的另一移动应用安全管理方法的示意图;以及
图4是根据本发明实施例的移动作业安全防护系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例1
根据本发明实施例,提供了一种移动应用安全管理装置。
图1是根据本发明实施例的移动应用安全管理装置的示意图。如图1所示,该移动应用安全管理装置包括,处理器,所述处理器在运行时执行用于实现以下模块所实现的功能的程序:
安全软件开发工具包SDK分发模块102,用于根据所接收的移动应用的特征信息向所述移动应用分发SDK,其中,SDK用于对移动应用进行安全防护。
作为一个实例,特征信息包括移动应用的签名、移动应用的安装包名称中的至少一个。
作为一个实例,移动应用安全SDK可以为移动应用添加安全加密、通讯加签、安全存储等功能,同时能实时监测各类安全攻击,还能提供反病毒、反劫持、反截屏,安全键盘安全等插入式组件。安全SDK可以提高移动应用的安全等级,针对风险点进行安全防护。
安全SDK包括但不限于防劫持SDK、防截屏SDK、安全键盘SDK等。
对于防劫持SDK,通过判断当前在前台显示的进程是否是自己的应用,并且判断是不是设置防劫持的界面。如果是设置防劫持的界面,一旦进入后台就弹出警告提示,否则无提示。防劫持SDK还可以记录页面被劫持时的信息,并将此信息回传到安全数据收集终端上。
对于防截屏SDK,在截屏时会提示“无法保存截图”的字样,还可以记录关键页面中的尝试截屏操作,并将此信息回传到安全数据收集终端上。
安全键盘SDK可以有效防止数据监听键盘劫持,键盘截屏等攻击行为。
移动应用检测模块104,用于对移动应用进行检测,并依据检测结果确定移动应用中的安全漏洞。
作为一个实例,安全检测利用代码逆向分析,模拟真机,模拟用户交互行为等静态扫描与动态扫描相结合手段定位应用中潜在的恶意行为和安全隐患。用户提交涉及到检测的任务后,应用会被自动传输到应用检测模块进行安全检测,安全检测结束后生成检测报告。
具体地,通过内置的数据库、引擎和插件化的语言分析引擎,从数据流、语义、结构、控制流、配置流等对应用软件的源码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源码中存在的安全漏洞扫描出来,并给予整理报告。
安全检测的方式可分为多种方式,第一种,可以由用户手工进行源代码安全检测目标设定,移动应用检测模块完成检测任务后可以对检测结果和开始设定的安全目标进行差距分析。第二种则可以通过上传源代码的多个版本进行检测,通过结果对比,分析代码的安全趋势。第三种则是移动应用检测模块根据源代码开发语言语法特征,通过追溯代码块和上下文环境,跟踪方法的调用栈等技术手段,分析源代码中存在的语法错误,不规范使用API,弱密码加密,自身安全缺陷,引用第三方存在漏洞的开源框架等让源代码存在的安全风险。
通过缺陷检测,合规检测,溯源检测三个方面来增强源代码安全检测的准确性和全面性。
移动应用安全加固模块106,用于对移动应用进行安全加固。
作为一个实例,对移动应用进行安全加固能够但不限于:
防止应用被破解后,产生山寨应用,损害终端用户利益;
防止应用被静态分析,防止应用被植入木马或病毒等恶意代码;
防止应用中关键数据因被破解而出现泄漏;
防止交易用户信息资料因应用被破解而泄露;
防止关键数据及用户私密信息的泄露,而损害用户利益;
防止因被动态调试而产生的移动应用程序被篡改的风险。
移动应用安全渠道检测模块108,用于对移动应用的分发和下载渠道进行实时监测。
作为一个实例,渠道监测通过对国内主流300多个应用分发、下载渠道进行实时监测,实时掌握应用在各渠道上的新版本上线情况、历史版本留存情况、钓鱼及盗版,产品上线舆情,并采集包括应用在所有渠道上的发行包,发布时间、发布人、版本、下载量、正版盗版鉴别、盗版内容描述、下载来源、运营公司等内容。
监控渠道采用多任务,多工作节点分布式架构抓取方式。由多台服务器组成爬虫集群对渠道数据进行采集,任何一台工作节点的宕机,都不会影响其它的工作节点的正常运行。由多台服务器组成存储集群对抓取数据进行存储并备份,以便进行离线的大数据分析,保证数据安全。
通过上述移动应用安全管理装置,可以通过移动应用的代码检测、渗透测试、安全加固与渠道检测,防止数泄漏,实现移动作业安全。
可选地,移动应用检测模块104,用于对移动应用的源代码中的预定区域进行检测,并依据对预定区域的检测结果确定源代码中存在的安全漏洞。
作为一个实例,该预定区域是指源代码中指定区域内的代码,该指定区域可以为源代码中预先定义或按照预设规则确定的关键区域。
作为一个实例,对移动应用的检测包括静态检测。通过代码逆向分析技术分析APP源代码。按照规则分析库中的分析规则对APP源代码中的关键区域进行检索,检测出绝大部分组件问题和编码漏洞。
静态检测覆盖但不限于以下检测项目:文件全局读写、数据库全局读写、应用数据可备份检测、反编译检测、应用可调试检测、日志敏感信息泄露、内网测试地址检测、通信协议检测、中间人攻击检测。
可选地,移动应用检测模块104,用于抓取所述移动应用的行为数据,并将行为数据与预设数据进行匹配,依据匹配结果确定移动应用存在的安全漏洞。
作为一个实例,对移动应用的检测包括动态检测。动态检测自动化分析移动应用通话行为,文件行为,网络行为等一系列敏感行为。通过模拟真机技术运行应用,然后按照规则分析库中的操作进行模拟行为交互。同时对应用的行为和数据进行全面抓包分析,检测出应用在运行环境中可能存在的风险。
可选地,处理器在运行时还执行用于实现以下模块所实现的功能的程序:SDK绑定模块,用于将SDK与特征信息进行绑定。
可选地,特征信息包括移动应用的签名、移动应用的安装包名称中的至少一个,其中,SDK分发模块,用于在SDK与特征信息绑定后,向特征信息对应的移动应用发放SDK。
作为一个实例,SDK分发模块分析所接收的移动应用的包括但不限于签名、安装包名称的特征信息,在分发SDK之前,SDK绑定模块将SDK与上述特征信息绑定,然后绑定的SDK与特征信息由SDK分发模块发放给特征信息对应的移动应用。
作为一个实例,每个SDK只用于一个固定的移动应用系列,避免SDK被滥用的风险。
可选地,对移动应用进行安全加固包括以下项中的至少一项:对移动应用中的资源文件进行保护;对移动应用中的SO文件进行保护;对移动应用中的运行数据文件进行保护;对移动应用的内存空间进行监测;收集移动应用的故障信息;以及获取移动应用的安全态势,安全态势包括以下至少之一:移动应用遭受攻击时的攻击来源、攻击形式、运行环境以及受攻击后的相关信息。
作为一个实例,对资源文件进行保护主要是对移动应用中的敏感资源文件进行加密保护,防止被提取、查看、篡改等操作,敏感资源文件主要包含:网页、脚本程序、证书、配置等。主要通过DEX加固引擎模块来实现,保护应用资源不被恶意篡改或数据泄露,并且让加密关键信息保存在Native层保护壳中,提高加密资源的安全性。
可以采用SO文件畸形保护方式及与壳代码进行融合的双重加密保护对原应用中的SO文件进行保护,保护SO文件code段,导出函数表,加密字符串表,防止被第三方识别、盗用。
对移动应用中的运行数据文件进行保护可以防止黑客使用动态调试工具和其他动态攻击工具对需要保护的文件进行恶意攻击,防止篡改运行时的代码逻辑。
对移动应用的内存空间进行监测可以防止内存程序代码和敏感信息泄露。
故障信息包括崩溃信息。收集移动应用的故障信息包括根据用户网络状况获取应用运行崩溃的详细日志信息,对生成崩溃的设备信息进行处理和统计,并对崩溃出现的原因进行排查处理。
获取移动应用的安全态势包括在移动应用运行时对遭受的攻击来源、攻击形式、以及当时运行的环境进行记录、跟踪,当移动应用被攻击后发生崩溃或关闭时,会及时将收集的相关信息上传至服务器。
可选地,移动应用安全渠道检测模块108利用爬虫技术对移动应用的静态HTML和动态Javascript生成的页面进行实时抓取,根据抓取结果实时监测移动应用的分发和下载渠道。
作为一个实例,渠道监控采用特有的移动应用分析引擎对抓取的移动应用进行代码抽样与正版移动应用进行对比分析,确定移动应用所在渠道。实现了只需要提供一个正版包,就可以定位所有发行版本所在渠道,简化了操作的复杂度。
实施例2
根据本发明实施例,提供了一种移动应用安全管理方法。
图2是根据本发明实施例的移动应用安全管理方法的示意图。如图2所示,该方法包括以下步骤:
步骤S202,接收移动应用的特征信息。
作为一个实例,特征信息包括移动应用的签名、移动应用的安装包名称中的至少一个。
步骤S204,向移动应用分发与特征信息对应的安全软件开发工具包SDK,其中,SDK用于对移动应用进行安全防护。
作为一个实例,移动应用安全SDK可以为移动应用添加安全加密、通讯加签、安全存储等功能,同时能实时监测各类安全攻击,还能提供反病毒、反劫持、反截屏,安全键盘安全等插入式组件。安全SDK可以提高移动应用的安全等级,针对风险点进行安全防护。
安全SDK包括但不限于防劫持SDK、防截屏SDK、安全键盘SDK等。
对于防劫持SDK,通过判断当前在前台显示的进程是否是自己的应用,并且判断是不是设置防劫持的界面。如果是设置防劫持的界面,一旦进入后台就弹出警告提示,否则无提示。防劫持SDK还可以记录页面被劫持时的信息,并将此信息回传到安全数据收集终端上。
对于防截屏SDK,在截屏时会提示“无法保存截图”的字样,还可以记录关键页面中的尝试截屏操作,并将此信息回传到安全数据收集终端上。
安全键盘SDK可以有效防止数据监听键盘劫持,键盘截屏等攻击行为。
通过上述移动应用安全管理方法,可以为移动应用添加安全加密、通讯加签、安全存储等功能,同时能实时监测各类安全攻击,还能提供反病毒、反劫持、反截屏,安全键盘安全等插入式组件。可以提高移动应用的安全等级,针对风险点进行安全防护。
可选地,在向移动应用分发与所述特征信息对应的安全软件开发工具包SDK之前,将SDK与特征信息绑定,其中,特征信息包括移动应用的签名、移动应用的安装包名称中的至少一个。
作为一个实例,由SDK分发模块分析所接收的移动应用的包括但不限于签名、安装包名称的特征信息,在分发SDK之前,由SDK绑定模块将SDK与上述特征信息绑定,然后绑定的SDK与特征信息由SDK分发模块发放给特征信息对应的移动应用。
作为一个实例,每个SDK只用于一个固定的移动应用系列,避免SDK被滥用的风险。
实施例3
根据本发明实施例,提供了一种移动应用安全管理方法。
图3是根据本发明实施例的另一移动应用安全管理方法的示意图。如图3所示,该方法包括以下步骤:
步骤S302:确定移动应用的安全防护规则,其中,所述安全防护规则包括以下至少之一:根据所接收的移动应用的特征信息向移动应用分发SDK;对移动应用进行代码检测以确定移动应用中的安全漏洞;对移动应用进行安全加固;以及对移动应用的分发和下载渠道进行实时监测。
作为一个实例,移动应用安全SDK可以为移动应用添加安全加密、通讯加签、安全存储等功能,同时能实时监测各类安全攻击,还能提供反病毒、反劫持、反截屏,安全键盘安全等插入式组件。安全SDK可以提高移动应用的安全等级,针对风险点进行安全防护。
作为一个实例,安全检测利用代码逆向分析,模拟真机,模拟用户交互行为等静态扫描与动态扫描相结合手段定位应用中潜在的恶意行为和安全隐患。用户提交涉及到检测的任务后,应用会被自动传输到应用检测模块进行安全检测,安全检测结束后生成检测报告。
具体地,通过内置的数据库、引擎和插件化的语言分析引擎,从数据流、语义、结构、控制流、配置流等对应用软件的源码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源码中存在的安全漏洞扫描出来,并给予整理报告。
安全检测的方式可分为多种方式,第一种,可以由用户手工进行源代码安全检测目标设定,移动应用检测模块完成检测任务后可以对检测结果和开始设定的安全目标进行差距分析。第二种则可以通过上传源代码的多个版本进行检测,通过结果对比,分析代码的安全趋势。第三种则是移动应用检测模块根据源代码开发语言语法特征,通过追溯代码块和上下文环境,跟踪方法的调用栈等技术手段,分析源代码中存在的语法错误,不规范使用API,弱密码加密,自身安全缺陷,引用第三方存在漏洞的开源框架等让源代码存在的安全风险。
通过缺陷检测,合规检测,溯源检测三个方面来增强源代码安全检测的准确性和全面性。
步骤S304,按照安全防护规则对移动应用进行安全防护处理。
通过移动应用的SDK分发、安全漏洞检测、安全加固、安全渠道监测,可保障移动应用的代码安全不可逆向、进程安全不可调试、程序安全不可仿冒等。加固后的应用由移动应用安全分发终端进行统一分发,同时对上线应用进行渠道检测,防止互联网上出现仿冒、盗版应用。从而对于应用的上线和运维提供安全保障。
可选地,对所述移动应用进行代码检测以确定所述移动应用中的安全漏洞包括:
对所述移动应用的源代码中的预定区域进行检测,并依据对所述预定区域的检测结果确定所述源代码中存在的安全漏洞。
作为一个实例,对移动应用的源代码中的预定区域进行检测包括静态检测。通过代码逆向分析技术分析APP源代码。按照规则分析库中的分析规则对APP源代码中的关键区域进行检索,检测出绝大部分组件问题和编码漏洞。
静态检测覆盖但不限于以下检测项目:文件全局读写、数据库全局读写、应用数据可备份检测、反编译检测、应用可调试检测、日志敏感信息泄露、内网测试地址检测、通信协议检测、中间人攻击检测。
实施例4
根据本发明实施例,提供了一种移动作业安全防护系统。
图4是根据本发明实施例的移动作业安全防护系统的示意图。如图4所示,该系统包括:
移动应用安全管理装置402。
作为一个实例,移动应用安全管理装置402可以为根据本发明实施例1中的移动应用安全管理装置,并可执行根据本发明实施例2和/或3中的移动应用安全管理方法。
移动终端安全管理装置404。
通过上述移动作业安全防护系统,移动应用安全管理装置从移动应用的代码检测、渗透测试、安全加固与渠道检测的整个生命周期来进行全方位保护。移动终端安全管理装置对终端的资产管理、接入管理、权限管理、配置策略下发与丢失管控来对设备的安全使用,数据防泄漏提供了保护。
可选地,移动终端安全管理装置包括:资产管理模块,用于获取移动终端的基本信息;准入管控模块,用于对移动终端进行身份认证,以判断移动终端是否具备访问预定数据的资格;权限管理模块,用于对移动终端的权限进行配置和管理;配置策略下发模块,用于将预定配置信息直接推送到移动终端;以及设备丢失管控模块,用于在移动终端丢失的情况下对移动终端所保存的数据进行安全管控。
作为一个实例,资产管理模块获取移动终端的基本信息,如设备的系统版本、设备标识、设备型号、设备MAC地址、运营商、持有人、操作系统等信息。
作为一个实例,准入管控模块针对初登的移动终端进行初始合规性检测,并将移动终端登记加入移动终端安全管理装置,管理装置会给用户颁发其专属证书,该证书保证了用户和移动终端安全管理装置的服务器之间的身份认证,并且该证书具有可设置的生命周期,可以设定用户的权限期限。从登记完成开始,移动终端即开始接受移动终端安全管理装置的全面管理,移动终端安全管理装置对用户设备接入企业环境的整个生命周期中所有的状态信息、操作行为进行严密的监控和统一的配置管理。
作为一个实例,权限管理模块至少对所述移动终端的功能权限、应用程序权限、安全性和隐私权限进行配置和管理,从而实现对特定工作区域和用户角色的行为管控,保障数据安全。
作为一个实例,配置策略下发模块通过无线推送方式将所述预定配置信息直接实时下发至所述移动终端,并在所述移动终端上自动安装所述配置信息。
作为一个实例,在移动终端丢失或无法联网的状态下,自动执行相应的移动终端失联策略,如对移动终端进行擦除指定数据,清除终端信息,锁定终端等操作,恢复设备出厂设置等保证终端失联后断网状态下终端的安全。
作为一个实例,在移动终端丢失或无法联网的状态下,对移动终端进行远程定位,定位技术不仅局限于GPS定位,还可通过GPRS、3G、4G、WiFi等网络设施进行精准定位,支持对移动终端的行动轨迹进行智能绘制,完整的掌握移动终端及移动终端使用人员的行动轨迹。可以收集定位信息,从而对移动终端进行位置定位。若终端丢失,用户可以通过GPS定位找回移动终端。
作为一个实例,当移动终端丢失或者失联时,可对移动终端进行远程GPS定位、记录行动轨迹,与此同时可对移动终端进行远程密码设定、锁定移动设备、擦除企业应用、擦除企业应用数据、擦除个人隐私数据(照片、通讯录、短信、通话记录等)。保障数据安全,在设备丢失的第一时间对移动设备所保存的数据进行安全管控。
通过移动设备管理可以避免用户在移动终端上操作可能带来的安全隐患,防止移动终端不慎丢失后造成数据泄露。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种移动应用安全管理装置,其特征在于,包括:处理器,所述处理器在运行时执行用于实现以下模块所实现的功能的程序:
安全软件开发工具包SDK分发模块,用于根据所接收的移动应用的特征信息向所述移动应用分发SDK,其中,所述SDK用于对所述移动应用进行安全防护;
移动应用检测模块,用于对所述移动应用进行检测,并依据检测结果确定所述移动应用中的安全漏洞;
移动应用安全加固模块,用于对所述移动应用进行安全加固;以及
移动应用安全渠道检测模块,用于对所述移动应用的分发和下载渠道进行实时监测。
2.根据权利要求1所述的移动应用安全管理装置,其特征在于,
所述移动应用检测模块,用于对所述移动应用的源代码中的预定区域进行检测,并依据对所述预定区域的检测结果确定所述源代码中存在的安全漏洞。
3.根据权利要求1所述的移动应用安全管理装置,其特征在于,
所述移动应用检测模块,用于抓取所述移动应用的行为数据,并将所述行为数据与预设数据进行匹配,依据匹配结果确定所述移动应用存在的安全漏洞。
4.根据权利要求1所述的移动应用安全管理装置,其特征在于,所述处理器在运行时还执行用于实现以下模块所实现的功能的程序:
SDK绑定模块,用于将所述SDK与所述特征信息进行绑定。
5.根据权利要求4所述的移动应用安全管理装置,其特征在于,
所述特征信息包括所述移动应用的签名、所述移动应用的安装包名称中的至少一个,
其中,所述SDK分发模块,用于在所述SDK与所述特征信息绑定后,向所述特征信息对应的移动应用发放所述SDK。
6.根据权利要求1所述的移动应用安全管理装置,其特征在于,
对所述移动应用进行安全加固包括以下项中的至少一项:
对所述移动应用中的资源文件进行保护;
对所述移动应用中的SO文件进行保护;
对所述移动应用中的运行数据文件进行保护;
对所述移动应用的内存空间进行监测;
收集所述移动应用的故障信息;以及
获取所述移动应用的安全态势,所述安全态势包括以下至少之一:所述移动应用遭受攻击时的攻击来源、攻击形式、运行环境以及受攻击后的相关信息。
7.根据权利要求1所述的移动应用安全管理装置,其特征在于,
所述移动应用安全渠道检测模块利用爬虫技术对所述移动应用的静态HTML和动态Javascript生成的页面进行实时抓取,根据抓取结果实时监测所述移动应用的分发和下载渠道。
8.一种移动应用安全管理方法,其特征在于,包括:
接收移动应用的特征信息;
向移动应用分发与所述特征信息对应的安全软件开发工具包SDK,其中,所述SDK用于对所述移动应用进行安全防护。
9.根据权利要求8所述的移动应用安全管理方法,其特征在于,
在向移动应用分发与所述特征信息对应的安全软件开发工具包SDK之前,将所述SDK与所述特征信息绑定,
其中,所述特征信息包括所述移动应用的签名、所述移动应用的安装包名称中的至少一个。
10.一种移动应用安全管理方法,其特征在于,包括:
确定移动应用的安全防护规则,其中,所述安全防护规则包括以下至少之一:根据所接收的移动应用的特征信息向所述移动应用分发SDK;对所述移动应用进行代码检测以确定所述移动应用中的安全漏洞;对所述移动应用进行安全加固;以及对所述移动应用的分发和下载渠道进行实时监测;以及
按照所述安全防护规则对所述移动应用进行安全防护处理。
11.根据权利要求10所述的移动应用安全管理方法,其特征在于,
对所述移动应用进行代码检测以确定所述移动应用中的安全漏洞包括:
对所述移动应用的源代码中的预定区域进行检测,并依据对所述预定区域的检测结果确定所述源代码中存在的安全漏洞。
12.根据权利要求10所述的移动应用安全管理方法,其特征在于,
对所述移动应用进行安全加固包括以下项中的至少一项:
对所述移动应用中的资源文件进行保护;
对所述移动应用中的SO文件进行保护;
对所述移动应用中的运行数据文件进行保护;
对所述移动应用的内存空间进行监测;
收集所述移动应用的故障信息;以及
获取所述移动应用的安全态势,其中,所述安全态势至少包括所述移动应用遭受攻击时的攻击来源、攻击形式、运行环境以及受攻击后的相关信息。
13.一种移动作业安全防护系统,其特征在于,包括:
根据权利要求1-7中任一项所述的移动应用安全管理装置;以及
移动终端安全管理装置。
14.根据权利要求13所述的移动作业安全防护系统,其特征在于,
所述移动终端安全管理装置包括:
资产管理模块,用于获取移动终端的基本信息;
准入管控模块,用于对所述移动终端进行身份认证,以判断所述移动终端是否具备访问预定数据的资格;
权限管理模块,用于对所述移动终端的权限进行配置和管理;
配置策略下发模块,用于将预定配置信息直接推送到所述移动终端;以及
设备丢失管控模块,用于在所述移动终端丢失的情况下对所述移动终端所保存的数据进行安全管控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710752470.7A CN107766728A (zh) | 2017-08-28 | 2017-08-28 | 移动应用安全管理装置、方法及移动作业安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710752470.7A CN107766728A (zh) | 2017-08-28 | 2017-08-28 | 移动应用安全管理装置、方法及移动作业安全防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107766728A true CN107766728A (zh) | 2018-03-06 |
Family
ID=61265047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710752470.7A Pending CN107766728A (zh) | 2017-08-28 | 2017-08-28 | 移动应用安全管理装置、方法及移动作业安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107766728A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632807A (zh) * | 2018-05-03 | 2018-10-09 | 平安科技(深圳)有限公司 | 移动终端访问控制的方法及装置 |
| CN108629184A (zh) * | 2018-05-18 | 2018-10-09 | 北京智游网安科技有限公司 | 一种ios用的sdk安全检测方法 |
| CN109214192A (zh) * | 2018-10-24 | 2019-01-15 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
| CN109754149A (zh) * | 2018-11-19 | 2019-05-14 | 北京国电通网络技术有限公司 | 电力通信可信后台管理系统、终端和电力通信可信系统 |
| CN109960509A (zh) * | 2019-03-06 | 2019-07-02 | 江苏通付盾信息安全技术有限公司 | 应用加固的方法、装置、计算设备及计算机存储介质 |
| CN110297776A (zh) * | 2019-07-03 | 2019-10-01 | 深圳市腾讯网域计算机网络有限公司 | 检测报告生成、接收方法、装置、设备及存储介质 |
| CN110990833A (zh) * | 2019-10-31 | 2020-04-10 | 重庆小雨点小额贷款有限公司 | 一种sdk安全检测方法及相关设备 |
| CN111046316A (zh) * | 2019-12-16 | 2020-04-21 | 北京智游网安科技有限公司 | 一种应用上架状态监控方法、智能终端及存储介质 |
| CN111078270A (zh) * | 2019-11-20 | 2020-04-28 | 北京国舜科技股份有限公司 | 应用安全管控方法、装置、电子设备及存储介质 |
| CN112468446A (zh) * | 2020-11-02 | 2021-03-09 | 上海绊糖信息科技有限公司 | 一种保护用户隐私的移动运行环境安全检测系统 |
| CN112671715A (zh) * | 2020-12-03 | 2021-04-16 | 上海连尚网络科技有限公司 | 一种用于保障应用的数据安全通信的方法与装置 |
| CN113157576A (zh) * | 2021-04-26 | 2021-07-23 | 云账户技术(天津)有限公司 | 应用程序的安全检测方法、装置和电子设备 |
| CN113591079A (zh) * | 2020-04-30 | 2021-11-02 | 中移互联网有限公司 | 获取异常应用安装包的方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101017458A (zh) * | 2007-03-02 | 2007-08-15 | 北京邮电大学 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
| CN103716785A (zh) * | 2013-12-26 | 2014-04-09 | 中国科学院信息工程研究所 | 一种移动互联网安全服务系统 |
| CN104392181A (zh) * | 2014-11-18 | 2015-03-04 | 北京奇虎科技有限公司 | So文件的保护方法、装置及安卓安装包的加固方法和系统 |
| CN104778413A (zh) * | 2015-04-15 | 2015-07-15 | 南京大学 | 一种基于模拟攻击的软件漏洞检测方法 |
| CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
| US20160197950A1 (en) * | 2015-01-05 | 2016-07-07 | Rangecloud Information Technology Co., Ltd. | Detection system and method for statically detecting applications |
-
2017
- 2017-08-28 CN CN201710752470.7A patent/CN107766728A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101017458A (zh) * | 2007-03-02 | 2007-08-15 | 北京邮电大学 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
| CN103716785A (zh) * | 2013-12-26 | 2014-04-09 | 中国科学院信息工程研究所 | 一种移动互联网安全服务系统 |
| CN104392181A (zh) * | 2014-11-18 | 2015-03-04 | 北京奇虎科技有限公司 | So文件的保护方法、装置及安卓安装包的加固方法和系统 |
| US20160197950A1 (en) * | 2015-01-05 | 2016-07-07 | Rangecloud Information Technology Co., Ltd. | Detection system and method for statically detecting applications |
| CN104778413A (zh) * | 2015-04-15 | 2015-07-15 | 南京大学 | 一种基于模拟攻击的软件漏洞检测方法 |
| CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 梆梆安全企业网站: "金融行业解决方案", 《HTTPS://WWW.BANGCLE.COM/SOLUTIONS/INDEX.HTML》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632807B (zh) * | 2018-05-03 | 2021-08-17 | 平安科技(深圳)有限公司 | 移动终端访问控制的方法及装置 |
| CN108632807A (zh) * | 2018-05-03 | 2018-10-09 | 平安科技(深圳)有限公司 | 移动终端访问控制的方法及装置 |
| CN108629184A (zh) * | 2018-05-18 | 2018-10-09 | 北京智游网安科技有限公司 | 一种ios用的sdk安全检测方法 |
| CN109214192A (zh) * | 2018-10-24 | 2019-01-15 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
| CN109214192B (zh) * | 2018-10-24 | 2021-01-29 | 吉林亿联银行股份有限公司 | 一种面向应用系统的风险处理方法及装置 |
| CN109754149A (zh) * | 2018-11-19 | 2019-05-14 | 北京国电通网络技术有限公司 | 电力通信可信后台管理系统、终端和电力通信可信系统 |
| CN109960509A (zh) * | 2019-03-06 | 2019-07-02 | 江苏通付盾信息安全技术有限公司 | 应用加固的方法、装置、计算设备及计算机存储介质 |
| CN110297776A (zh) * | 2019-07-03 | 2019-10-01 | 深圳市腾讯网域计算机网络有限公司 | 检测报告生成、接收方法、装置、设备及存储介质 |
| CN110297776B (zh) * | 2019-07-03 | 2023-10-20 | 深圳市腾讯网域计算机网络有限公司 | 检测报告生成、接收方法、装置、设备及存储介质 |
| CN110990833A (zh) * | 2019-10-31 | 2020-04-10 | 重庆小雨点小额贷款有限公司 | 一种sdk安全检测方法及相关设备 |
| CN111078270A (zh) * | 2019-11-20 | 2020-04-28 | 北京国舜科技股份有限公司 | 应用安全管控方法、装置、电子设备及存储介质 |
| CN111046316B (zh) * | 2019-12-16 | 2023-03-21 | 北京智游网安科技有限公司 | 一种应用上架状态监控方法、智能终端及存储介质 |
| CN111046316A (zh) * | 2019-12-16 | 2020-04-21 | 北京智游网安科技有限公司 | 一种应用上架状态监控方法、智能终端及存储介质 |
| CN113591079A (zh) * | 2020-04-30 | 2021-11-02 | 中移互联网有限公司 | 获取异常应用安装包的方法、装置及电子设备 |
| CN113591079B (zh) * | 2020-04-30 | 2023-08-15 | 中移互联网有限公司 | 获取异常应用安装包的方法、装置及电子设备 |
| CN112468446A (zh) * | 2020-11-02 | 2021-03-09 | 上海绊糖信息科技有限公司 | 一种保护用户隐私的移动运行环境安全检测系统 |
| CN112468446B (zh) * | 2020-11-02 | 2023-04-07 | 上海绊糖信息科技有限公司 | 一种保护用户隐私的移动运行环境安全检测系统 |
| CN112671715A (zh) * | 2020-12-03 | 2021-04-16 | 上海连尚网络科技有限公司 | 一种用于保障应用的数据安全通信的方法与装置 |
| CN113157576A (zh) * | 2021-04-26 | 2021-07-23 | 云账户技术(天津)有限公司 | 应用程序的安全检测方法、装置和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护系统 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
| US20150256556A1 (en) | Method and system for web integrity validator | |
| CN106341282A (zh) | 一种恶意代码行为分析装置 | |
| CN107092830A (zh) | 基于流量分析的ios恶意软件预警和检测系统及其方法 | |
| CN106357689A (zh) | 威胁数据的处理方法及系统 | |
| CN106650436A (zh) | 一种基于局域网的安全检测方法和装置 | |
| CN103780450B (zh) | 浏览器访问网址的检测方法和系统 | |
| CN108965251B (zh) | 一种云端结合的安全手机防护系统 | |
| CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN107644165A (zh) | 安全防护平台以及安全防护方法和装置 | |
| Zhou et al. | Research and implementation of mobile application security detection combining static and dynamic | |
| CN104486292B (zh) | 一种企业资源安全访问的控制方法、装置及系统 | |
| CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| CN103001937B (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN106953874B (zh) | 网站防篡改方法及装置 | |
| CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
| CN115150137B (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| CN103942494B (zh) | 恶意软件审核方法和系统 | |
| Niu et al. | Clone analysis and detection in android applications | |
| CN104866761B (zh) | 一种高安全性安卓智能终端 | |
| Aarya et al. | Web scanning: existing techniques and future |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |