應用安全運維規(guī)范

來源: 發(fā)布時間:2023-11-11

分配推送管理,為平臺不同的管理對象提供靈活的分配推送功能,并支持分配歷史和推送狀態(tài)的查詢,管理對象包括策略、應用、文檔和通知,分配對象包括部門、用戶和設備。采用部門、用戶和設備三級分配模型,優(yōu)先級依次從低到高,優(yōu)先級從部門到設備優(yōu)先級。比如策略分配,設備會優(yōu)先查找和使用為該設備分配的策略,如果沒有為該設備分配策略,則將查找和使用為該設備所屬用戶分配的策略,如果沒有為該設備所屬用戶分配策略,則將查找和使用為該設備所屬用戶所在部門分配的策略,依次從下向上逐級查找,直至找到企業(yè)組織結構的根部門節(jié)點。通過靈活的分配模型,可以實現(xiàn)不同的應用效果,如將不同版本的移動應用分配給不同部門,即可實現(xiàn)移動應用的灰度發(fā)布。上訊信息助力企業(yè)保障移動業(yè)務安全高效開展,助力數(shù)字化轉型。應用安全運維規(guī)范

應用安全運維規(guī)范,移動安全管理平臺

移動應用安全檢測結果,可以在管理頁面上詳細直觀展示出來,便于管理人員及時查看,也可以一鍵生成DOC/PDF等多種文件格式的檢測報告,并針對檢測出來的安全漏洞和隱私問題,給出有效的修改建議和解決方案,便于開發(fā)人員進行整改。針對檢測結果,從風險漏洞級別、漏洞風險數(shù)量、漏洞類型分布以及不同版本應用程序漏洞趨勢等多個維度進行統(tǒng)計分析,充分體現(xiàn)應用程序的漏洞風險變化情況,便于應用安全風險的跟蹤管理。同時,借助于公司安全服務人員,提供更為專業(yè)的、更高級別的安全滲透測試服務,進行多維度的評估移動業(yè)務安全漏洞風險。在移動應用上線發(fā)布前,解決移動應用程序存在的安全漏洞,保障移動應用程序安全。系統(tǒng)配置模塊MSP產(chǎn)品動態(tài)授權能力助力企業(yè)基于風險進行動態(tài)授權和訪問控制。

應用安全運維規(guī)范,移動安全管理平臺

移動應用漏洞檢測,采用模擬人機交互和操作行為分析的動態(tài)檢測方式。使用移動虛擬沙箱環(huán)境,其中預置了多種行為捕獲探針,包括敏感權限操作、敏感數(shù)據(jù)訪問、通信網(wǎng)絡訪問等,通過自動化控制模擬人機交互,將需要檢測的移動應用安裝到該環(huán)境上運行,并采集應用程序運行時的多種操作行為,對操作行為進行關聯(lián)分析,檢測應用中存在的程序代碼漏洞和敏感數(shù)據(jù)泄露,該方式有效的彌補了靜態(tài)特征掃描的不足,更大程度的發(fā)現(xiàn)應用程序中的潛在漏洞,減小移動應用上線發(fā)布后的安全風險。

移動應用防調(diào)試保護,采用輕量化監(jiān)測探針和安全沙箱技術,在零信任環(huán)境下構建可信運行環(huán)境,在移動應用運行時,從設備環(huán)境、應用威脅、網(wǎng)絡劫持和敏感行為等角度,持續(xù)檢測運行環(huán)境異常及調(diào)試注入威脅,及時研判告警并觸發(fā)響應動作阻斷攻擊,確保移動應用的安全運行。移動應用數(shù)據(jù)保護,通過安全沙箱技術,構建移動應用數(shù)據(jù)泄露防護能力,實現(xiàn)敏感數(shù)據(jù)從存儲、使用、輸入、輸出到銷毀的全周期保護。所有加固功能,均以策略形式體現(xiàn),企業(yè)可根據(jù)實際需要,進行靈活自定義選擇配置。移動應用安全加固對應用性能影響較小,基本可以忽略不計,并兼容新版本操作系統(tǒng)版本及主流廠商主流機型,在保障移動應用安全性的同時,具備良好的用戶體驗。通過移動安全管理平臺,可以實現(xiàn)事前安全檢測、事中及時響應和事后審計溯源的全周期防護。

應用安全運維規(guī)范,移動安全管理平臺

結合上訊信息的移動安全管理平臺,在移動化辦公,數(shù)字化轉型等有諸多共通點,上訊信息的移動安全管理平臺,提供設備管理、應用管理、應用檢測、應用加固等多項安全能力,為上海聯(lián)通在提供企業(yè)數(shù)字化轉型中,提供了針對設備和應用在安全管理等多方面的有力支撐。為政企新、老入網(wǎng)客戶提供0元服務包,提供MDM基礎功能,提升政企移網(wǎng)產(chǎn)品服務提升粘性及業(yè)務活躍度,根據(jù)用戶開通量情況逐漸向付費轉化。向需求與活躍度較高客戶推廣付費產(chǎn)品;企業(yè)有特殊定制需求,支持個性化模板開發(fā)。進行私有化部署,云產(chǎn)品組合銷售等。移動設備安全解決方案提供靈活的策略配置、細粒度的管控措施和多種遠程控制命令。設備活躍趨勢

上訊信息幫助企業(yè)實現(xiàn)移動業(yè)務敏感數(shù)據(jù)從存儲、使用、分享、傳輸?shù)戒N毀的全生命周期保護。應用安全運維規(guī)范

應用安全檢測,移動應用上線發(fā)布前,進行統(tǒng)一安全檢測,從軟件容錯、組件安全、輸入輸出安全和程序代碼漏洞等角度進行安全檢測。對用戶輸入數(shù)據(jù)進行有效性、合法性校驗,防止非法數(shù)據(jù)輸入導致系統(tǒng)異常響應,如腳本注入攻擊。對組件權限進行限制和安全配置,避免第三方移動應用隨意調(diào)用組件內(nèi)容和劫持組件的安全問題。不調(diào)用存在已知漏洞的第三方庫,確保在進行調(diào)用過程中,不存在可被惡意利用的漏洞。采用安全鍵盤,屏蔽或隱藏輸入的隱私數(shù)據(jù),禁止明文顯示。移動應用安全檢測,通過對移動應用APP進行逆向分析和源代碼還原,采用靜態(tài)特征匹配、動態(tài)行為分析、人機交互模擬和數(shù)據(jù)流關聯(lián)分析等多種自動化檢測方式,從隱私敏感權限、程序源碼漏洞、框架組件漏洞、數(shù)據(jù)泄露風險和敏感行為風險等上百種漏洞風險類型中,發(fā)現(xiàn)移動應用程序中存在的安全漏洞和數(shù)據(jù)泄露風險。檢測結果可以在頁面上詳細直觀展示出來,可以一鍵生成多種文件格式的檢測報告,并針對檢測出來的安全漏洞,給出有效的修改建議和解決方案,在移動應用上線發(fā)布前,解決移動應用程序存在的安全漏洞,保障移動應用安全。應用安全運維規(guī)范