亚洲制服丝无码中文在线,欧美大黑BBB,女人高潮流白浆视频,亚洲国产成在人网站天堂

摘要

“移動(dòng)物流”作為“智慧物流”產(chǎn)物之一，充分運(yùn)用信息化手段和現(xiàn)代化方式，能夠?qū)ξ锪魇袌?chǎng)做出快速反應(yīng)，對(duì)物流資源進(jìn)行全方位整合，實(shí)現(xiàn)了物流信息系統(tǒng)的移動(dòng)化。但從其發(fā)展至今，移動(dòng)應(yīng)用安全危機(jī)四伏，企業(yè)壓力與移動(dòng)應(yīng)用安全隱患并行，移動(dòng)端安全建設(shè)應(yīng)高度關(guān)注。

國(guó)內(nèi)App安全態(tài)勢(shì)

互聯(lián)網(wǎng)技術(shù)的發(fā)展改變了各類社會(huì)組織的經(jīng)營(yíng)和運(yùn)作方式，提升了整個(gè)社會(huì)的運(yùn)轉(zhuǎn)效率，同時(shí)也讓原本封閉在機(jī)構(gòu)內(nèi)部的資產(chǎn)暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中。

現(xiàn)今，Android系統(tǒng)開源性帶來的缺陷給移動(dòng)端App帶來較大的安全風(fēng)險(xiǎn)，同時(shí)國(guó)內(nèi)應(yīng)用市場(chǎng)監(jiān)管缺失，使得Android市場(chǎng)門檻較低，如山寨應(yīng)用、隱私盜取、資費(fèi)消耗、惡意扣費(fèi)、遠(yuǎn)程控制、竊取資金、惡意傳播、靜默下載、跨平臺(tái)感染等安全問題和攻擊行為變得越發(fā)普遍。與此同時(shí)，iOS客戶端也存在大量源代碼泄露、核心算法被非法竊取等安全風(fēng)險(xiǎn)。

物流行業(yè)App安全挑戰(zhàn)與應(yīng)對(duì)

“移動(dòng)物流”促進(jìn)物流移動(dòng)應(yīng)用數(shù)量及用戶數(shù)量快速增長(zhǎng)。同時(shí)對(duì)于物流應(yīng)用安全也提出更高要求。物流行業(yè)的企業(yè)目前都有屬于自己移動(dòng)應(yīng)用，面對(duì)層出不窮的攻擊手段，需要對(duì)其進(jìn)行安全建設(shè)，做好自身安全防護(hù)。

梆梆安全交通部安全小組針對(duì)物流行業(yè)移動(dòng)應(yīng)用系統(tǒng)目前的安全需求內(nèi)容總結(jié)如下：

①　App代碼需要做相應(yīng)安全防護(hù)。目前大多數(shù)物流App只做簡(jiǎn)單混淆處理，App代碼仍然面臨易被反編譯、易被二次打包、易被動(dòng)態(tài)注入、易被動(dòng)態(tài)調(diào)試等攻擊。

②　App接口需要相應(yīng)安全保護(hù)。目前物流App未對(duì)接口進(jìn)行保護(hù)，接口易被惡意調(diào)用、易通過接口逆向分析獲取App業(yè)務(wù)邏輯。

③　App數(shù)據(jù)需要相應(yīng)安全保護(hù)。目前物流App只做普通數(shù)據(jù)加密，仍存在易被獲取傳輸路徑的重要數(shù)據(jù)、易獲取App關(guān)鍵內(nèi)容包括（用戶名、密碼、銀行卡號(hào)等）。

④　App密鑰需要相應(yīng)安全保護(hù)。對(duì)于物流App內(nèi)關(guān)鍵加密算法的密鑰保護(hù)困難。

梆梆安全深入構(gòu)建物流行業(yè)移動(dòng)安全建設(shè)方案

針對(duì)物流App目前的安全現(xiàn)狀及安全分析，梆梆安全科技有限公司以物流App實(shí)際需求為出發(fā)點(diǎn)，進(jìn)行以下安全需求響應(yīng)：

安全建設(shè)框架

目前梆梆安全已為國(guó)內(nèi)百分之五十以上主流物流企業(yè)提供了移動(dòng)端安全建設(shè)方案,根據(jù)安全行業(yè)經(jīng)驗(yàn)以及結(jié)合目前物流應(yīng)用安全狀況。得出為保證業(yè)務(wù)連續(xù)性，物流行業(yè)移動(dòng)應(yīng)用應(yīng)注重整體移動(dòng)應(yīng)用系統(tǒng)安全建設(shè)。

對(duì)物流行業(yè)移動(dòng)應(yīng)用系統(tǒng)將以先進(jìn)安全防護(hù)模型PPDR為基礎(chǔ)，建立針對(duì)性的安全解決方案，涵蓋了移動(dòng)端安全、傳輸安全、服務(wù)端接口安全三模塊內(nèi)容。

梆梆安全保護(hù)框架對(duì)應(yīng)內(nèi)容如下：

安全加固：Android加固、iOS加固；

安全保護(hù)：密鑰白盒；通訊協(xié)議保護(hù)

安全檢測(cè)：滲透測(cè)試；

感知響應(yīng)：威脅感知系統(tǒng)。

安全建設(shè)目標(biāo)

梆梆安全為物流行業(yè)提供針對(duì)性移動(dòng)端安全解決方案所達(dá)到的目標(biāo)如下：

第一，對(duì)App進(jìn)行安全加固，可以有效防止移動(dòng)應(yīng)用被破解、盜版、二次打包、注入、反編譯等，保障App代碼的保密性、完整性。

第二，對(duì)關(guān)鍵函數(shù)所用的加密算法密鑰進(jìn)行密鑰白盒保護(hù)，保障原始密鑰安全性。

第三，對(duì)傳輸數(shù)據(jù)進(jìn)行二次加密，不僅保障傳輸數(shù)據(jù)安全也保障了協(xié)議安全。

第四，對(duì)服務(wù)端接口及整個(gè)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，以業(yè)務(wù)邏輯為主線，深層次發(fā)現(xiàn)存在的安全漏洞。及時(shí)發(fā)現(xiàn)、及時(shí)整改，避免引入安全隱患導(dǎo)致安全事件發(fā)生。第五，對(duì)App上線后進(jìn)行運(yùn)行監(jiān)測(cè)和威脅檢測(cè)，及時(shí)掌握App上線后的安全狀況。為企業(yè)提供相關(guān)威脅情報(bào)信息，并對(duì)威脅源進(jìn)行精準(zhǔn)定位和控制。

安全建設(shè)內(nèi)容

1.Android加固（Policy）

目前，物流行業(yè)App仍然存在應(yīng)用破解、動(dòng)態(tài)調(diào)試的安全風(fēng)險(xiǎn)，通過使用梆梆Android加固，內(nèi)嵌安全組件和安全加殼，從根本上解決Android應(yīng)用的安全缺陷。建議進(jìn)行Android客戶端的應(yīng)用加固安全防護(hù)，實(shí)現(xiàn)Android應(yīng)用App的完整性、反調(diào)試、Java反編譯、so庫加密、本地?cái)?shù)據(jù)加密、資源文件安全防護(hù)，有效防止Android應(yīng)用App二次打包、篡改及破解等客戶端風(fēng)險(xiǎn)。加固基于Android APK安裝包來實(shí)施，從靜態(tài)安全、動(dòng)態(tài)安全、交易驗(yàn)證安全，據(jù)安全、發(fā)布完整性保護(hù)等方面做加強(qiáng)保護(hù).內(nèi)容如下：

1.借助于重新構(gòu)建的虛擬機(jī)技術(shù)，實(shí)現(xiàn)執(zhí)行代碼動(dòng)態(tài)加密

2.多方位的動(dòng)態(tài)防御技術(shù)，保證運(yùn)行時(shí)間安全邏輯不可篡改

4.完整性保護(hù)技術(shù)保證發(fā)布包不可被篡改

5.透明化數(shù)據(jù)加密方案保護(hù)本地?cái)?shù)據(jù)安全

對(duì)于自身的保護(hù)代碼采用高強(qiáng)度的商業(yè)級(jí)源代碼混淆方案進(jìn)行保護(hù)，包括但不限于業(yè)務(wù)邏輯高強(qiáng)度混淆，插入垃圾指令，插入花指令等借助于App加固所構(gòu)建的整體安全沙箱，讓原本開放的App變成完全封閉的私有程序。

2.iOS客戶端源代碼安全防護(hù)（Policy）

建議進(jìn)行iOS客戶端源代碼混淆加固防護(hù)，有效防止iOS客戶端被破解、調(diào)試等安全風(fēng)險(xiǎn)，避免核心源代碼、核心業(yè)務(wù)邏輯、關(guān)鍵算法被非法竊取。目前，逆向工程主要通過借助工具對(duì)應(yīng)用軟件可執(zhí)行文件進(jìn)行反編譯、反匯編、通過靜態(tài)分析，動(dòng)態(tài)調(diào)試來分析應(yīng)用程序的業(yè)務(wù)邏輯或接口數(shù)據(jù)。

梆梆源碼加固系統(tǒng)通過服務(wù)器上的混淆器實(shí)現(xiàn)源代碼級(jí)混淆，核心算法完成控制流平坦化（Controlflow flatterning）和不透明謂詞（Opaque predicate）。梆梆安全源碼加固方案是通過代碼混亂變形（Obfuscate），隱藏程序原始的控制流，使程序各部分邏輯結(jié)構(gòu)相似，從而有效阻止攻擊者使用逆向工具還原出業(yè)務(wù)邏輯或核心算法。

3.通訊協(xié)議保護(hù)（ptotection）

梆梆安全移動(dòng)應(yīng)用通訊協(xié)議保護(hù)方案，通過客戶端與服務(wù)器的雙重驗(yàn)證及保護(hù)，使攻擊者無法仿冒和盜用合法客戶端與服務(wù)器進(jìn)行交互通訊，為開發(fā)者提供了一種簡(jiǎn)易、快速、全面的通訊協(xié)議保護(hù)方案。

梆梆安全通訊協(xié)議保護(hù)，提高數(shù)據(jù)加密完整性、保護(hù)密鑰安全性、同時(shí)進(jìn)行身份驗(yàn)證，具體功能點(diǎn)如下所示：

提供較高的安全性保證。

密鑰多變性。

集成簡(jiǎn)單。

報(bào)文監(jiān)測(cè)。

源代碼安全性高。

4.密鑰白盒系統(tǒng)（Protection）

對(duì)于本地存儲(chǔ)的所有密鑰，核心業(yè)務(wù)邏輯以及一些token，一旦被攻擊就等于獲取到了App核心的業(yè)務(wù)和用戶敏感信息。不僅導(dǎo)致企業(yè)利益損失也導(dǎo)致用戶個(gè)人敏感信息泄露。

在移動(dòng)端和服務(wù)端傳輸過程中，傳輸中的數(shù)據(jù)未做保護(hù)，攻擊者及其容易發(fā)起攻擊，包括但不限于以下：

重放攻擊會(huì)導(dǎo)致服務(wù)器消耗；

短信轟炸會(huì)影響用戶體驗(yàn)消耗數(shù)據(jù)流量；

釣魚攻擊發(fā)送惡意鏈接；

數(shù)據(jù)篡改將內(nèi)容篡改發(fā)送虛假信息等。

目前物流App最為主要的核心資源為主要業(yè)務(wù)數(shù)據(jù)和各種敏感數(shù)據(jù)信息，建議采取白盒密鑰保護(hù)技術(shù)實(shí)現(xiàn)在程序運(yùn)行的任何階段，原始密鑰信息以一個(gè)巨大的查找表的形式存在，即只能輸入明文得到密文，或者相反操作得到明文。在這樣的情境下，入侵者無法得到隱藏在查找表背后的密鑰，從而保證了信息的安全。 能夠保障終端環(huán)境（如 Andriod、iOS）在這種白盒環(huán)境下，即使遭受到白盒攻擊的情況下加解密的密鑰不會(huì)出現(xiàn)明文，有效的保障密鑰安全，進(jìn)而保護(hù)軟件及數(shù)據(jù)的安全。

使用密鑰白盒系統(tǒng)結(jié)合應(yīng)用加固能夠保證應(yīng)用接口安全、應(yīng)用中核心數(shù)據(jù)，同時(shí)能夠?qū)鬏斶^程中重要數(shù)據(jù)及加密算法的密鑰做保護(hù)。使得應(yīng)用接口安全、數(shù)據(jù)安全、傳輸安全，將切實(shí)可行的做好安全建設(shè)。

5.移動(dòng)應(yīng)用滲透性測(cè)試(Detection)

現(xiàn)實(shí)世界中企業(yè)面臨的安全威脅種類繁多。但真正的危險(xiǎn)，是企業(yè)以為自己本身足夠安全，殊不知威脅早已滲入內(nèi)部，伺機(jī)而動(dòng)。伴隨著安全行業(yè)的發(fā)展和管理人員安全意識(shí)的提高，以滲透測(cè)試為代表的“安全服務(wù)”正在得到更多的認(rèn)可。滲透測(cè)試所做的，就是在危險(xiǎn)真正影響到企業(yè)安全前，發(fā)現(xiàn)并解決它。

建議引入滲透測(cè)試，確保程序在編碼、實(shí)施、測(cè)試中沒有安全方面的缺陷，保證所有在需求設(shè)計(jì)階段引入的安全需求都被正確實(shí)現(xiàn)，并挖掘可能存在的安全漏洞，實(shí)現(xiàn)代碼層面漏洞的挖掘及整改，避免因?yàn)榇a設(shè)計(jì)階段存在的邏輯漏洞引起后續(xù)業(yè)務(wù)實(shí)現(xiàn)中數(shù)據(jù)泄露、數(shù)據(jù)盜取、邏輯調(diào)試等安全風(fēng)險(xiǎn)，實(shí)現(xiàn)服務(wù)端身份認(rèn)證保護(hù)、權(quán)限管理保護(hù)、服務(wù)訪問保護(hù)等安全防護(hù)。

6.威脅感知系統(tǒng)（Response)

物流App不僅對(duì)接了車輛信息、地址信息等關(guān)鍵信息查詢接口，還擁有著大量的核心數(shù)據(jù)。并且物流App下載量高，其上線之后的運(yùn)行狀況、運(yùn)行環(huán)境在存在大量不確定因素，同時(shí)黑產(chǎn)攻擊和“羊毛黨”還普遍存在，導(dǎo)致核心數(shù)據(jù)隨時(shí)可能被盜取泄露。對(duì)于物流App而言，核心數(shù)據(jù)泄露即代表著高成本運(yùn)行資源的泄露，不僅是企業(yè)內(nèi)部經(jīng)濟(jì)利益的損失，更是企業(yè)名譽(yù)的損失。再加上移動(dòng)終端面臨的安全威脅種類和數(shù)量也在不斷增多，手機(jī)操作系統(tǒng)漏洞，不可預(yù)知的業(yè)務(wù)邏輯缺陷，運(yùn)行時(shí)的動(dòng)態(tài)攻擊，病毒木馬，虛假設(shè)備，地下黑產(chǎn)等各類攻擊手段，嚴(yán)重威脅用戶的資金和隱私安全。還有手機(jī)機(jī)型的眾多，客戶端運(yùn)行環(huán)境的復(fù)雜，給應(yīng)用兼容性測(cè)試構(gòu)成重大挑戰(zhàn)，客戶端運(yùn)行時(shí)崩潰極難于發(fā)現(xiàn)和復(fù)現(xiàn)，導(dǎo)致用戶流失。

建議引入威脅感知平臺(tái)。梆梆安全針對(duì)移動(dòng)應(yīng)用上線運(yùn)行后的各類動(dòng)態(tài)運(yùn)行安全問題及運(yùn)行穩(wěn)定性問題，開發(fā)了移動(dòng)威脅感知平臺(tái)，通過在移動(dòng)應(yīng)用中植入威脅感知探針，采集前端設(shè)備、系統(tǒng)、應(yīng)用、行為四個(gè)層面多維度數(shù)據(jù)，結(jié)合后端大數(shù)據(jù)分析平臺(tái)的各種模型規(guī)則，通過事前定制的各類安全控制策略，能夠在第一時(shí)間處理各類安全攻擊行為。同時(shí)，平臺(tái)內(nèi)置智能搜索功能，支持搜索目標(biāo)設(shè)備的安全事件、威脅分析、環(huán)境安全、運(yùn)行情況、崩潰情況、設(shè)備詳情、應(yīng)用安裝列表等多維度信息，用于事后審計(jì)。利用平臺(tái)提供的運(yùn)行分析和崩潰采集功能，能夠?qū)崟r(shí)收集用戶運(yùn)行過程中的崩潰信息，采集終端用戶群體機(jī)型分布特征，有效組織兼容性測(cè)試，及時(shí)根據(jù)崩潰信息修復(fù)應(yīng)用。目前，平臺(tái)已經(jīng)全面支持 Android 和 iOS 兩大操作系統(tǒng)的威脅檢測(cè)和運(yùn)行監(jiān)控。

客戶案例——中儲(chǔ)物流

中儲(chǔ)物流作為全國(guó)物流行業(yè)領(lǐng)頭羊之一，非常重視其安全建設(shè)工作。2018年將移動(dòng)端及應(yīng)用系統(tǒng)安全提升工作由梆梆安全合作完成。隨著移動(dòng)互聯(lián)網(wǎng)發(fā)展，中儲(chǔ)物流的App也逐漸承載著其行業(yè)主要業(yè)務(wù)。例如貨源信息發(fā)布、空車輛信息查詢、在線交易、移動(dòng)支付、訂單在線跟蹤等業(yè)務(wù)功能。

中儲(chǔ)物流App使用量日益增加，交易量也呈遞增趨勢(shì)。因此，App安全工作愈顯重要，不僅要遵從網(wǎng)絡(luò)安全法保護(hù)用戶隱私數(shù)據(jù)，同時(shí)要保障企業(yè)利益與敏感數(shù)據(jù)安全。梆梆安全在與中儲(chǔ)技術(shù)及安全部門交流完畢后，提供針對(duì)中儲(chǔ)物流的安全建設(shè)方案，分別對(duì)以下內(nèi)容做出相應(yīng)的安全保護(hù)。

1.客戶端自身安全防御

2.客戶端生成二維碼密鑰安全

3.油卡支付二維碼數(shù)據(jù)回傳server的密鑰保護(hù)

4.客戶端與服務(wù)端通信數(shù)據(jù)安全

5.整個(gè)應(yīng)用系統(tǒng)漏洞與整改

關(guān)于梆梆安全移動(dòng)端服務(wù)體系

梆梆安全針對(duì)App面臨的安全和運(yùn)營(yíng)問題，針對(duì)性提出App全生命周期安全運(yùn)營(yíng)方案。以期為企業(yè)移動(dòng)端業(yè)務(wù)提供一個(gè)安全、自主、可控的運(yùn)營(yíng)配套體系。

App的安全解決方案，梆梆安全認(rèn)為用戶應(yīng)該具備一個(gè)全生命周期安全視角：從App設(shè)計(jì)開發(fā)、發(fā)布到運(yùn)維。

移動(dòng)應(yīng)用全生命周期的安全的建設(shè)目標(biāo)注重兩個(gè)關(guān)鍵詞：

縱深防御

縱深防御強(qiáng)調(diào)企業(yè)安全體系的閉環(huán)性和有效性。閉環(huán)性體現(xiàn)在架構(gòu)設(shè)計(jì)、安全流程建設(shè)、可信執(zhí)行及安全響應(yīng)四個(gè)方面：

架構(gòu)設(shè)計(jì)指的是從設(shè)計(jì)層面出發(fā)的安全架構(gòu)，包含但不限于設(shè)計(jì)開發(fā)安全，可升級(jí)性和可擴(kuò)展性

安全流程指的是建設(shè)完整的安全質(zhì)量管理和控制流程，包含安全需求，安全建模，滲透測(cè)試，自動(dòng)化構(gòu)建和發(fā)布測(cè)試

可信執(zhí)行包含運(yùn)行環(huán)境可信，應(yīng)用可信，數(shù)據(jù)安全，執(zhí)行安全和通信安全

安全響應(yīng)包含運(yùn)維環(huán)節(jié)的安全監(jiān)測(cè)、應(yīng)急相應(yīng)及追溯機(jī)制

數(shù)據(jù)驅(qū)動(dòng)的安全

數(shù)據(jù)驅(qū)動(dòng)的安全即數(shù)據(jù)驅(qū)動(dòng)的安全感知和情報(bào)驅(qū)動(dòng)的安全防范。數(shù)據(jù)驅(qū)動(dòng)安全指利用大數(shù)據(jù)海量數(shù)據(jù)，能夠結(jié)合業(yè)務(wù)特點(diǎn)進(jìn)行威脅建模，能夠支持復(fù)雜的決策分析和模型分析的優(yōu)點(diǎn)，有效防范黑產(chǎn)灰產(chǎn)行為。
數(shù)據(jù)驅(qū)動(dòng)的安全體系建設(shè)目標(biāo)集中在以下幾個(gè)方面：

數(shù)據(jù)采集，數(shù)據(jù)采集是支撐后續(xù)規(guī)則判斷、大數(shù)據(jù)建模分析的必要條件。數(shù)據(jù)采集應(yīng)該能夠滿足合法、多維和有效性等原則。

數(shù)據(jù)使用：大數(shù)據(jù)驅(qū)動(dòng)的安全直接和風(fēng)控系統(tǒng)對(duì)接。數(shù)據(jù)平臺(tái)借助不同緯度采集的數(shù)據(jù)（設(shè)備、應(yīng)用和行為），針對(duì)數(shù)據(jù)的關(guān)聯(lián)分析，機(jī)器學(xué)習(xí)及相應(yīng)的決策算法，建立起有效的威脅監(jiān)測(cè)模型和決策樹，實(shí)現(xiàn)對(duì)威脅的監(jiān)測(cè)預(yù)警。