移動(dòng)終端應(yīng)用安全設(shè)計(jì)方案

移動(dòng)終端應(yīng)用安全設(shè)計(jì)方案?jìng)鹘y(tǒng)互聯(lián)網(wǎng)相比，移動(dòng)互聯(lián)網(wǎng)具有隨身性、可鑒權(quán)、可身份識(shí)別等獨(dú)特優(yōu)勢(shì)。但同時(shí)也存在移動(dòng)終端處理能力弱、網(wǎng)絡(luò)帶寬相對(duì)較小的局限性移動(dòng)應(yīng)用的幾種模式原生應(yīng)用、Web應(yīng)用、混合應(yīng)用原生應(yīng)用：簡(jiǎn)單的來(lái)說(shuō)是特別為某種操作系統(tǒng)開(kāi)發(fā)的，比如iOS、Android、黑莓等等，它們是在各自的移動(dòng)設(shè)備上運(yùn)行的Web應(yīng)用：本質(zhì)上是為移動(dòng)瀏覽器設(shè)計(jì)的基于Web的應(yīng)用，它們是用普通Web開(kāi)發(fā)語(yǔ)言開(kāi)發(fā)的，可以在各種智能手機(jī)瀏覽器上運(yùn)行?；旌蠎?yīng)用：是原生應(yīng)用和Web應(yīng)用的結(jié)合體，采用了原生應(yīng)用的一部分、Web應(yīng)用的一部分，所以必須在部分在設(shè)備上運(yùn)行、部分在Web上運(yùn)行，這是主流模式移動(dòng)應(yīng)用模式的優(yōu)缺點(diǎn)模式優(yōu)點(diǎn)缺點(diǎn)原生可訪(fǎng)問(wèn)手機(jī)所有功能（GPS、攝像頭）；速度更快、性能高、整體用戶(hù)體驗(yàn)不錯(cuò)；可線(xiàn)下使用；支持大量圖形和動(dòng)畫(huà)開(kāi)發(fā)成本高支持設(shè)備非常有限上線(xiàn)時(shí)間不確定內(nèi)容限制（AppStore限制）Web應(yīng)用支持設(shè)備廣泛；較低的開(kāi)發(fā)成本可即時(shí)上線(xiàn)；無(wú)內(nèi)容限制；對(duì)聯(lián)網(wǎng)的要求比較大用戶(hù)體驗(yàn)比較差圖片和動(dòng)畫(huà)支持性不高對(duì)手機(jī)特點(diǎn)有限制（攝像頭、GPS混合應(yīng)用兼容多平臺(tái)；順利訪(fǎng)問(wèn)手機(jī)的多種功能；可離線(xiàn)使用不確定上線(xiàn)時(shí)間；用戶(hù)體驗(yàn)不如本地應(yīng)用；性能稍慢（需要連接網(wǎng)絡(luò)）；移動(dòng)應(yīng)用的安全一般用戶(hù)都認(rèn)為只要是手機(jī)安裝客戶(hù)端模式會(huì)比較安全，客戶(hù)端模式相對(duì)于wap網(wǎng)頁(yè)模式安全些，但是，打開(kāi)手機(jī)就是應(yīng)用，應(yīng)用背后卻還是一片黑，好像還不是很安全呢。可以從移動(dòng)終端安全機(jī)制、網(wǎng)絡(luò)安全機(jī)制兩個(gè)方面考慮：安全機(jī)制內(nèi)容移動(dòng)終端安全機(jī)制互聯(lián)網(wǎng)的最終用戶(hù)設(shè)備，包括手機(jī)、PDA、便攜式電腦終端操作系統(tǒng)安全機(jī)制、防病毒、系統(tǒng)漏洞攻擊等，數(shù)據(jù)安全及隱私保護(hù)機(jī)制、數(shù)據(jù)授權(quán)訪(fǎng)問(wèn)、加密等Activity安全、劫持入、文件上傳、中間件/server漏洞等，但是由于部分app不是直接嵌入網(wǎng)頁(yè)在app中，而是使用的api接口返回josn數(shù)據(jù)，導(dǎo)致掃描器爬蟲(chóng)無(wú)法爬取鏈接。Web類(lèi)應(yīng)用系統(tǒng)所面臨的主要風(fēng)險(xiǎn)包括：網(wǎng)絡(luò)層面的攻擊：利用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行攻擊和入侵，包括DDOS攻擊、漏洞探測(cè)、嗅探（帳號(hào)、口令、敏感數(shù)據(jù)等）等。Web應(yīng)用程序攻擊：利用web系統(tǒng)的漏洞對(duì)應(yīng)用程序本身進(jìn)行的攻擊，如針對(duì)應(yīng)用程序本身的DOS攻擊、SQL注入、跨站攻擊、網(wǎng)站掛馬以及獲取對(duì)web服務(wù)的控制權(quán)限等。內(nèi)容篡改：利用應(yīng)用層漏洞等進(jìn)行的網(wǎng)頁(yè)篡改攻擊行為，網(wǎng)頁(yè)內(nèi)容被非法篡改為其它甚至是產(chǎn)生嚴(yán)重社會(huì)影響的不合規(guī)內(nèi)容。數(shù)據(jù)通信安全軟件與軟件、軟件與網(wǎng)絡(luò)服務(wù)器之間進(jìn)項(xiàng)數(shù)據(jù)通信時(shí)的安全問(wèn)題。軟件與軟件的通信：Android系統(tǒng)4大組件的通信主要手段通信過(guò)程中數(shù)據(jù)傳遞依靠intent來(lái)完成；在intent中應(yīng)該明確指定目的組件的名稱(chēng)，防止第三方程序“偷竊”軟件與網(wǎng)絡(luò)的數(shù)據(jù)通信：軟件登陸驗(yàn)證、網(wǎng)絡(luò)賬號(hào)密碼的明文傳輸、數(shù)據(jù)上傳未加密移動(dòng)應(yīng)用的功能測(cè)試基本功能（同pc端測(cè)試）軟件版本檢測(cè)：檢測(cè)版本號(hào)是否正確？至少要比上一個(gè)版本多一個(gè)版本，例：當(dāng)前版本1.0，那么下一個(gè)版本至少是1.0.1。程序啟動(dòng)后，是否正常檢測(cè)版本更新提示離線(xiàn)使用：有離線(xiàn)功能的應(yīng)用，在離線(xiàn)狀態(tài)下，應(yīng)用的功能使用是否正常，離線(xiàn)狀態(tài)下相應(yīng)的操作提示是否合理。離線(xiàn)后連接網(wǎng)絡(luò)：離線(xiàn)后連接wifi或者2G，3G網(wǎng)絡(luò)，基本功能能否正常使用。交互性測(cè)試1)數(shù)據(jù)同步功能：需要同步數(shù)據(jù)的應(yīng)用，測(cè)試數(shù)據(jù)同步是否正常,下載、上傳。應(yīng)用網(wǎng)絡(luò)測(cè)試1）應(yīng)用的流量使用情況安全企業(yè)用戶(hù)的身份，被別別人冒名頂替物理安全，網(wǎng)絡(luò)安全，系統(tǒng)安全，安全管理，應(yīng)用安全五個(gè)層面進(jìn)行評(píng)測(cè)第一部分是智能終端通過(guò)短信網(wǎng)關(guān)進(jìn)入后臺(tái)服務(wù)器。（說(shuō)移動(dòng)設(shè)備從物理安全上來(lái)講，就是說(shuō)移動(dòng)設(shè)備丟失帶來(lái)了物理安全隱患）第二個(gè)鏈路是說(shuō)我的移動(dòng)終端通過(guò)移動(dòng)網(wǎng)絡(luò)進(jìn)入互聯(lián)網(wǎng)，最后進(jìn)入我們的服務(wù)器。（無(wú)