王真:APP安全与合规实践分享(附PPT)

来源:知道创宇2020.10.09

2020疫情引爆了在线新经济。疫情流量之下,在线新经济企业如何落地自身网络安全建设?8月知道创宇“产业安全大咖说”,邀6位大咖为您共同揭晓答案。

本文是第3位大咖王真的分享

关于王真

CISA、CRISC、CDPSE、CISP、C-CCSK、TOGAF,10多年安全工作经验。4年乙方工作,9年甲方安全,ISACA/ISC/OWASP会员。具有咨询公司、运营商、制造业、互联网金融行业、房地产、电商等行业从事信息安全经验。

擅长安全体系建设、企业内部合规、漏洞挖掘、安全加固、业务安全和漏洞修复等。

常见移动APP安全合规参考

据我多年来在APP企业工作的经验来看,APP安全合规主要是以下内容:

1.基础安全:包括等保最基础的要求,以及APP的基础安全。

2.APP隐私安全(前端):国内现目前有的安全规范有GB-35273,主要涉及隐私协议保护

3.服务器端数据安全:数据从生产出来到传输再到销毁,安全其实围绕了整个数据生命周期

4.其他安全:APP风控与内容安全,以及第三方SDK。特别是内容安全,也是近期关注度很高的。

参考测评标准

具体如下:

  • GB/T 35273-2017《信息安全技术个人信息安全规范》
  • YD T 2703-2014 《电信网和互联网安全防护基线配置要求及检测》
  • GA/T 1390.3-2017 《信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》 YD/T 3228-2017 《移动应用软件安全评估方法》
  • GB/T XXXXX-XXXX《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》

以及最近工信部有提出数据安全管理的通知

大数据平台漏洞与风险

大数据平台的漏洞获取可以参考国家漏洞库,上面会定期发布各个平台的漏洞。在大数据平台上加强漏洞修复和安全基线加固,可以极大程度的减少漏洞危害。

APP安全风险——隐私安全

监管机构从2016年起陆续颁布了多条关于网络安全和个人信息安全的法律法规,在十三届全国人大二次会议新闻发布会上也提出相关部门应抓紧研究和起草个人信息保护法,通过立法进一步细化APP运营者收集使用用户个人信息的规范,明确其对收集的个人信息的保护义务及采取安全措施,对于违法违规收集使用个人信息应承担的责任等。

相关标准

  • GA/T 1390.3-2017 《信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》 GB/T 35273-2017《信息安全技术个人信息安全规范》
  • YD/T 3039-2016 《 移动智能终端应用软件安全技术要求》
  • GB/T 35282-2017 《信息安全技术 电子政务移动办公系统安全技术规范》
  • YD/T 3228-2017 《移动应用软件安全评估方法》
  • GB/T 32927-2016 《信息安全技术 移动智能终端安全架构》
  • GB/T XXXXX-XXXX《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》

企业如果有相关标准,需要仔细研读相关标准,并按照标准进行处置

根据去年发布的《移动应用(APP)数据安全与个人信息保护白皮书》来看67%的APP存在5个及以上个人信息安全问题。超过四成APP的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类。

App安全检测突出的不合规问题 

隐私政策是APP营者告知用户个人信息收集规则的主要途径,是保障用户知情权的基础。报告发现,超过半数APP在用户首次登录时向用户默示隐私政策,导致隐私政策难以起到告知作用。

默示隐私政策各场景占比

数据存储是APP运营过程中的关键环节,也是网络黑客攻击窃取数据的切入点,可靠的数据存储为用户个人信息的正常使用提供重要保障。APP运营者应在不影响用户终端和服务正常使用的情况下,优先在用户个人终端内存储所收集的个人信息,并采取加密等技术措施 确保用户数据即使泄露也难以被破解。

报告中称,超过两成的APP存在明文存储用户个人信息的问题。具体明文存储类型如下:

本地明文存储数据类型占比

私自共享是指App运营者未经用户同意与第三方共享用户个人信息的行为。运营者应在用户跳转至第三方应用前明示用户其个人信息是否被共享及共享后个人信息的传播路径,同时还应根据共享的个人信息私密程度、安全系数的不同,为用户提供是否同意信息共享及信息共享路径的选择权。

报告发现,四成APP存在跳转第三方应用时,未提醒用户关注第三方收集使用个人信息规则问题。跳转的第三方应用以金融类和网上购物类为主,占比均为31%

跳转的第三方应用类型占比

2020年5月14日,工信部通报2020年第一批侵害用户权益行为APP,涉及16款APP

侵害用户权益行为APP类型

APP企业需要及时的自评估确保自己不要有违规情况出现,如果发现问题并积极配合整改。

APP安全风险——基础安全

基础安全是在通过等保之后需要关注的要点,例如在研发阶段是不是有一些安全配置、是否有加固等,具体如下:


1.无任何代码安全防范措施:程序易被破解、逆向

2.APP运行不安全:内存注入、动态调试、截屏/劫持

3.安全配置被忽略:默认没有安全配置

4.文件可被随意篡改:插入/替换广告SDK、修改支付渠道、插入病毒/木马程序

5.app加固强度差:加固强度问题、低强度加固

6.数据存储/传输不安全:手机端(Sharedpreference、File、sqlite)、传输层(HTTP、HTTPS)

风控业务安全分析

现目前,黑产已经变得越来越专业化和流程化。从下面这张图可以看出,黑产也有具体的不同分工,包括:信息收集、收码平台、工具开发、实施欺诈以及最后的分赃等。

除此之外,内容安全也可以列入业务风控。经过我的实际经验来看,内容安全主要要注意以下几点:

  1. 不涉黄,不涉恐,不涉政;
  2. 内容应真实,不夸大;
  3. 内容的准确性,不违规 ;
  4. 其他:文本安全、图片安全、音频安全、图文安全、视频安全、文件安全…

与此同时还需要特别注意第三方SDK合规问题,今年在315晚会上也被点名提出。

隐私安全体系

最后想给大家分享一点:一个APP企业是否遵循了相关标准、规定,通过我们的自评估和研读相关条例就能把整改隐私安全做到很好

合规一定是第一层面,但是企业如果想把隐私安全做的更体系化和更有细粒度,可以参考国际发布的标准ISO27701:2019隐私信息管理体系。

这套标准于去年刚刚发布,是建立在信息安全体系下的针对隐私安全的体系,所以它会把一些信息安全的控制域和框架为基础,再形成隐私安全的要求和指南。

如果我们能在已经合规的基础上再遵循这个体系,可以循序渐进的整个隐私安全体系搭建起来。

————END————

点击此处下载完整版PPT

热门文章

  • 攻防对抗+溯源反制,创宇蜜罐实战分享实录(附PPT+直播回放)

    在经历了侦察和武器准备后,攻击者便会开始尝试发动攻击。通过对目标业务系统进行攻击武器的投递、漏洞的利用以及程序安装,对防守方的基础服务端口尝试各种getshell利用。

  • 赵威:互联网企业内容安全治理指南(附PPT)

    随着互联网的不断发展,现在的人们都是“一机在手,天下尽在掌握”。手机上丰富的APP带领人们阅尽世间风采。在近两年,连续每年增长的APP数量却出现了下滑的趋势。从2017年-2019年APP在架数量走势可以看出自2018年开始,APP在架数量开始明显下降。

  • 李晨:在线教育行业等级保护实践(附PPT)

    等级保护的基本流程包括定级备案、进场测评、整改复测、获取报告。首先由信息安全专家进行定级,备案完成后进行进场测评,由第三方检测机构进行等级保护测评,并提出需整改的问题清单。

关注知道创宇云安全

获取安全动态