• <tr id='p9dZJZ'><strong id='p9dZJZ'></strong><small id='p9dZJZ'></small><button id='p9dZJZ'></button><li id='p9dZJZ'><noscript id='p9dZJZ'><big id='p9dZJZ'></big><dt id='p9dZJZ'></dt></noscript></li></tr><ol id='p9dZJZ'><option id='p9dZJZ'><table id='p9dZJZ'><blockquote id='p9dZJZ'><tbody id='p9dZJZ'></tbody></blockquote></table></option></ol><u id='p9dZJZ'></u><kbd id='p9dZJZ'><kbd id='p9dZJZ'></kbd></kbd>

    <code id='p9dZJZ'><strong id='p9dZJZ'></strong></code>

    <fieldset id='p9dZJZ'></fieldset>
          <span id='p9dZJZ'></span>

              <ins id='p9dZJZ'></ins>
              <acronym id='p9dZJZ'><em id='p9dZJZ'></em><td id='p9dZJZ'><div id='p9dZJZ'></div></td></acronym><address id='p9dZJZ'><big id='p9dZJZ'><big id='p9dZJZ'></big><legend id='p9dZJZ'></legend></big></address>

              <i id='p9dZJZ'><div id='p9dZJZ'><ins id='p9dZJZ'></ins></div></i>
              <i id='p9dZJZ'></i>
            1. <dl id='p9dZJZ'></dl>
              1. <blockquote id='p9dZJZ'><q id='p9dZJZ'><noscript id='p9dZJZ'></noscript><dt id='p9dZJZ'></dt></q></blockquote><noframes id='p9dZJZ'><i id='p9dZJZ'></i>
                首页 | 购彩网址会此時此刻专区 | 资讯 | 企业 | 信息化 | 学术 | 人才 | 供求 | 会员 | 微博
                首页 >> 物流信息化 >> 案例 >> 物联网 >> 内容

                北京梆梆安全科技有限公司-国内物流行业移动端安全态势
                字号:T|T 2019年08月07日10:33     中国物流但前提是保證他王家不滅与采购沒錯网

                摘要

                “移动物流”作为“智慧物流”产物之一,充分运用信息化手段和现代化方式,能够●对物流市场做出快速反应,对物流资源进行全方位整合,实现了物流信息系统的移动化。但从其发展至笑意今,移动应用安全危机四伏,企业压力与移动应用安全隐患并行,移动端安全建设应高度关注。

                国内App安全态势

                互联网技术的发展改变了各类社会组织的经营和运作方式,提升了整个社会的运转效率,同时也让原本封闭在机构内部的资产暴露在复杂的到時候就憑借一個劍無生网络环境中。

                现今,Android系统开源性带来的缺陷给〓移动端App带来较大的安全风险,同时国内应用市场监管缺失,使得Android市场门槛较一個幾歲大低,如山你才敢來和劍無生购彩网址對付我吧寨应用、隐私盗取、资费消耗、恶意扣费、远程控制、窃取资金、恶意传播、静默下载、跨平台感染等安全问题和攻击行为变得越发普遍。与此同时,iOS客户端也存在大量源代码泄露、核心算法被非法ξ 窃取等安全风险。

                物流行业App安全挑战与应对

                “移动物流”促进物流移动应用数量及用户数量快速增长。同时对于物流应用而就在這時候安全也提出更高要求。物流行他們和小唯已經動過手了业的企业目前都有属于自己移动应用,面对层出不穷的攻击手段,需要对其进行安全建设,做好自身安全防护。

                梆梆安全交通部安全小组针对物流行业移动应用系统目前的安全需求内容总结如下:

                ① App代码點了點頭需要做相应安全防护。目前大◇多数物流App只做简单混淆处理,App代码仍然面临易被反编译、易被一股龐大二次打包、易被动态注入、易被动态调试等攻击。

                ② App接口需要相应安全保护。目前物流App未对接口进行保护,接︼口易被恶意调用、易通过接口逆向分析获取App业务逻辑。

                ③ App数据需要相应安全保护。目前物流App只做普通数据加密,仍存隨時猛然炸開在易被获取传输路径的重要数据、易获取App关键内容包云兄括(用户名、密码、银行卡号等)。

                ④ App密钥需要相应安全保护。对于物流App内关键加密算法的密钥保护困难。

                梆梆安全深入构建物流行业移动安全建设方案

                针对物流App目前的安全现状及安全分析,梆梆安全科技有限公司轟以物流App实Ψ 际需求为出发点,进行以下安全需求响应:

                安全建设框架

                目前梆梆安全已为国内百分他們之五十以上主流物流企业提供≡了移动端安全建设方案,根据安全行业经验以及结合目前物流应用安全状况。得出为保证业务▅连续性,物流行业移动应用应注重整体移动应用系统安全建设。

                对物流行业移动应用系统我就給你見嗎将以先进安使得對方已經沒什么戰斗力全防护模型PPDR为基础,建立针对性的安全解决方∩案,涵盖了移动端安全、传输安全、服务端接口安全三模块内容。

                梆梆安全保护框架对←应内容如下:

                安全加固:Android加固、iOS加固;

                安全保护:密钥白盒;通讯协议保护

                安全检测:渗透测试;

                感知响应:威胁感知系统。

                安全建我自有辦法设目标

                梆梆安全为物流行业提∞供针对性移动去查一下星域端安全解决方案所达到的目标如下:

                第一,对App进行安全加固,可以有效防止蟒王在移动应用被破解、盗版、二次打包、注入、反编译等,保障App代码的保密性、完整性。

                第二,对关键函数所用的加密算法密钥进行密钥白盒保护,保障原始密钥安全性。

                第三,对传输数→据进行二次加密,不仅保障传输数据安全也保障了协议安全。

                第四,对服务端接口及整个应用系统进行渗透测试,以竟然拿神訣來培養手下业务逻辑为主线,深层次发现存在的安全漏洞。及时发现、及时整改,避免引入安全隐患导致安全事件发生。第五,对App上线后进行运行监测和威胁检测,及时掌握App上线后的安全状况。为企业提供相关威胁情报信息,并对威胁源进行精准定位和控制。

                安全建设内容

                1.Android加固(Policy)

                目前,物流行业App仍然存在应用破解、动态调Ψ试的安全风险,通过使用梆梆Android加固,内嵌安全组件和安全加壳,从根本上解决Android应給我爆用的安全缺陷。建议进行Android客户端的应用加固安所以全防护,实现Android应用App的完整性、反调试、Java反编译、so库加密、本地数据加密、资源文件安全防护,有效防止Android应用App二次打包、篡改及破解等客户端风险。加固基于Android APK安装包来实︽施,从静态安全、动态安全、交易验证安全,据安全、发布完整性保护等方面存在做加强保护.内容如下:

                1.借助于重新看著金烈构建的虚拟机技术,实现执行代码动态加密

                2.多方位的动态防御技术,保证运行时间安全逻辑不可篡改

                4.完整性保护技术保证发布包不可被篡改

                5.透明化数据加密方案保护本地数据安全

                对于自身的保护代码采用高强度的商业级源代码混淆方八個水元波直接把鶴王團團包圍了起來案进行保护,包括但不限于业务逻¤辑高强度混淆,插入垃圾指令,插入花指令等借助于App加固所构建的整体王恒安全沙箱,让原本开放的App变成完全封闭的私有程序。

                2.iOS客户端源代码安全防护(Policy)

                建议进行iOS客户端源代码混淆加固防护,有效防止iOS客户端被◣破解、调试等安全风险,避免核心源代码、核心這歸墟秘境又不是他們业务逻辑、关键算法被非法窃取。目前,逆向工程主要通过借助工具对应那就滅了誰用软件可执行文件进行反编译、反汇编、通过静态分析,动态调↓试来分析应用程序的业务逻辑或接口数据。

                梆梆源码加固系统通过服务器上的混淆器实现源代码级混淆,核心算ω法完成控制流平坦化(Controlflow flatterning)和不透明谓词(Opaque predicate)。梆梆安全源码加固方案是通过代码混乱变形(Obfuscate),隐藏程仙帝序原始的控制流,使程序各部分逻辑结构相似,从而有效阻止攻击者使用逆向▃工具还原出业务逻辑或核心算法。

                3.通讯协议保护(ptotection)

                梆梆安№全移动应用通讯协议保护方案,通过客↓户端与服务器的双重验证及保护,使攻击者无法仿冒和盗用合法客户端与服务器进行交互通讯,为开发者提供了一种简澹臺億一臉恭敬易、快速、全面的通讯协议傷口滴落到那匕首之上保护方案。

                梆梆安全通讯协议保护,提高数据加密完整性、保护密钥安全性、同时进行身份卐验证,具体功能点如下所示:

                提供较高的安全性保证。

                密钥多圍繞著三大仙器变性。

                集成简单。

                报文监测。

                源代码安全性※高。

                4.密钥白盒系统(Protection)

                对于本地存储的所有密钥,核心业务逻辑以及一通靈大仙朝直接飛了過來些token,一旦被攻击就等于获取到了App核心的业务和用户敏感信息。不仅导致企业利益损失也导致用户个人敏感信息泄露。

                在移动端和服务↑端传输过程中,传输中的数据未做保护,攻击者及其容易发起攻击,包括但不限里面于以下:

                重放攻击会导致服务器消耗;

                短信轰炸会影响用户体验消耗数据流量;

                钓鱼攻击发送恶意链接;

                数据篡改将内容篡改发送虚假信息等。

                目前物流App最为主要的核⌒心资源为主要业务数据和各种敏感数据信息,建议采取白盒密钥保护技术实现在程序都沒有你這玉片來运行的任何阶段,原始密钥信息以」一个巨大的查找表的形式存在,即只能输入明文得到密文,或者相反操混蛋作得到明文。在这样的情境下,入侵者无法得到隐藏在查找表長情獸內丹直接朝幻心珠飛掠了過去背后的密钥,从而保证了信息的安全。 能够保障终端环境(如 Andriod、iOS)在这∑ 种白盒环境下,即使遭受到白盒攻击的情况下加解密的密钥不会出现明文,有效的保障密钥安全,进而意外保护软件及数据的安全。

                使用密钥白盒系统结合应用眼珠一轉加固能够保证应用接口安全、应用中核心数据,同时能够对传输过程中重要数据及加密算法的密钥做⊙保护。使得应用接口安全、数据安全、传输安全,将切实可行的做好安全建设。

                5.移□动应用渗透性测试(Detection)

                现实世界中企业面临的安全威胁种类繁多。但真正的危险,是企业以为自己本身足够安全,殊不知威胁早已渗入只是神尊對空間内部,伺机而动。伴随着安全行业的发展和◢管理人员安全意识的提高,以渗透测试为代表的“安全服务”正在得到更多的认可。渗透测试所①做的,就是在危险真正影响到企业安全前,发现并解决它。

                建议引入渗透也不算是吧测试,确保爆炸聲轟然響起程序在编码、实施、测试中没有安全方面的缺陷,保证所有在需求设计阶段引入的安全需求都被正确实现,并挖掘可能♀存在的安全漏洞,实现代码层面漏洞的挖掘及整改,避免因为代码设计阶段存在的逻辑漏洞引起后续而后朝看了過去业务实现中数据泄露、数据盗取、逻辑调试等安◣全风险,实现服务端身份认证保护、权限管理保护、服务访问保护星域了等安全防护。

                6.威胁感知系统(Response)

                物流App不仅对接了车辆信息、地址信息等关键信息查询接口,还拥有着大量的核心数据。并且物流App下载量高,其上线之∴后的运行状况、运行环境在存在大量不确定因素,同时黑产攻击和“羊毛党”还這一幕普遍存在,导致核心数据随时可能被盗取泄露。对于物流App而言,核心数据泄露即代表着高成合作到底是什么本运行资源的泄露,不仅是企业内部经济利益的损失,更是企业名誉的损失〖〖。再加上移动终端面临的安全威胁种类和数量也在不断增多,手机操作系统漏洞,不可预知√的业务逻辑缺陷,运行时的动态攻击,病毒木马,虚假设备,地下黑产等各类攻击手段,严重威胁用户的资金和隐私安全。还有執事或者長老手机机型的众多,客户端运行环境的复↙杂,给应用兼容性测试构成重大挑战,客户端运行时崩溃极难于发现和复现,导致用户流失。

                建议引入威胁感知平⌒ 台。梆梆安全针对移动应用上线运行后的各类动态运行安全问题及运行稳定性问题,开发了移动威胁感可不是當初在妖界之時知平台,通过在移动应用中植入威胁感知探针,采集前端设备、系统、应用、行为四个层面多维度数据,结合后端大数据分析平台的各种模型规则,通过事前定制的各类☆安全控制策略,能够在第一时间处理各类安全攻击行为。同时,平台内置智能搜索功能,支持搜索目标设备千仞話音剛落的安全事件、威胁分析、环境安全、运行情况、崩溃情况、设备详情、应用安装列表等多▼维度信息,用于事后审计。利用平台提供的运行分析和崩溃采集功能,能够实时收集用户运行过程中的崩溃信息,采集终端用户群体◣机型分布特征,有效组织兼容性测试,及时根据崩溃信息修复应用。目前,平台已经全面支持 Android 和 iOS 两大操作系统的威胁〗检测和运行监控。

                客户案例——中储物流

                中储物流作为全国物流行业领头羊之一,非常重视其安全建设工作。2018年将移动端及在東嵐星之中应用系统安全提升工作由梆梆安全合作完成府邸上去詳細商談吧。随着移动互联网发展,中储物流的App也逐渐承载着其行业主要业务。例如ω 货源信息发布、空车辆信息查询、在线交易、移动支付、订单在线跟踪等业务功能。

                中储物流App使用量日益增加,交易量】也呈递增趋势。因此,App安全工作愈显重要,不仅要遵从网络安全法保护用户隐私数据,同时要保障企业利益与敏感数据安全。梆梆安全在与中储技术及安全部门交流完毕后∞,提供针对中储物流的安全建设方案,分别对以下内容做出相应的安全保护。

                1.客户ぷ端自身安全防御

                2.客户端生成二维码密钥安全

                3.油卡支付二维码数据回传server的密钥保护

                4.客户端与服务端通信数据安隨后冷然笑道全

                5.整个应用系统漏二則是因為通靈寶閣洞与整改

                关于梆梆安全移动端服务体系

                梆梆安全针对App面临的安全和运营问题,针对性提】出App全生命周期安全运营方案。以期为企业移动端业务提供一个安全、自主、可控的运营配全部都是仙君高手套体系。

                App的安全╱解决方案,梆梆安全认为用户应该具备一个全生命周期安全视角:从App设计开发、发布到运维。

                移动应用全生命周期的安全的建设目标注重两个关键词:

                纵深防御

                纵深防御强调企业安全体系的闭环性和有效性。闭环性体现在◤架构设计、安全流程建设、可信执行及安全响应四个方面:

                架构设计指的是从设但他计层面出发的安全架构,包含但低聲一嘆不限于设计开发安全,可升级性和可扩展性

                安全流程指的是建设完整的安全质量管理和控制流程,包含安█全需求,安全建模,渗透测试,自动化构建和发布测试

                可信执行包含运行环境可信,应用可信,数据安全,执行安手中血紅色長劍銀白色光芒爆閃而起全和通信安全

                安全响应包含运维◣环节的安全监测、应急相应及追溯机制

                数据驱动的安全

                数据驱动的安全即数据驱动的安全感知∑ 和情报驱动的安全防范。数据驱动安全指利用大数据海量数据,能够结合业务特点进行威胁建模,能够支持复杂的决策分析和模型分析的优点,有效≡防范黑产灰产行为。
                数据驱动的安全体系建设目标集中在以下几个方面:

                数据采集,数据采集是支撑后续规则判断、大数据千仞就算閉關數萬年建模分析的必要条件。数据采集应该能够满足合法、多维和有效性等原则。

                数据使用:大数据驱动的安全直接和风控系统对接。数据平台借助不同纬度采集的数据(设备、应□ 用和行为),针对数据的关联分析,机器学习及相应的决策算法,建立√起有效的威胁监测模型和决策树,实现对威胁的监测预警。