构建面向移动应用资产的安全运营服务体系.pdf

1、目 录CONTENTS移动安全运营服务建设方案方案价值及优势案例分享02.03.04.安全运营现状面临的挑战01.安全运营现状面临的挑战安全运营能力的必要性国内外网络安全形势的要求严峻的网络安全形式迫使我们需要不断推进安全工作进一步迭代，而安全运营成为当前企业做好网络安全工作的重要抓手。IDC预测显示，托管式安全服务的市场范围将继续扩大。从国内网络安全企业视角来看，信息安全运营在安全市场空间占比未来会接近一半，预计可达上千亿元规模。政策法规推动下的合规管控要求由中国信息安全测评中心负责承办的网络安全技术 网络安全运维实施指南于2024年04月15日发布征求意见稿，进一步规范了安全运营的实施要求

2、和评价标准。等保2.0提到“一个中心，三重防护”，一个中心是指安全管理中心，而基于安全运营的安全管理中心是其本质。实战化常态化对抗下的安全能力要求近年来通过红蓝对抗、高强度实战演练，暴露出运营者核心安全能力不足。人员、设备、流程、机制无法有机结合，在对抗中经常被打得七零八落，行业认识到良好的安全运营才能发挥出工具的用途、装备的价值，才能充分保障安全体系的高效运转。随着企业数字化转型及传统网络边界的逐渐消失，移动应用已逐渐成为企业业务最主要的载体，也成为了企业关键基础设施最重要的入口和不可分割的组成部分。在当前安全防护趋向实战化、体系化、常态化的形势下，在最新数据安全、个人信息合规、关基保护等监

3、管要求下，企业需要一套专业高效的移动安全运营体系来抵御复杂的、来自移动端的网络攻击。构建移动安全运营能力面临的问题经验沉淀安全监测安全评估资产梳理互联网暴露面上到底有多少APP资产？这些APP资产是什么类型？APP/公众号/小程序/H5？这些APP资产是否有做备案、变更、分级、分类？面临的困境是否能定期发现APP资产存在的安全风险？是否能保证APP资产满足监管合规要求？面对突发移动安全事件是否能快速确定影响范围并采取措施？是否能持续监测APP资产遭受的攻击和风险？是否能简便快速生成APP资产安全态势报告？发现严重的移动安全问题是否能第一时间快速修复？如何参考本行业或跨行业的移动安全经验？如何赋

4、能自有人员针对本行业的移动安全能力？如何将移动安全能力积累和固化下来？企业缺乏针对移动资产特点的管理方法和技术手段，缺乏对移动安全突发事件及多方面监管合规要求的应对措施。移动应用的特点 资产梳理困难用于向客户提供各类业务服务的移动应用。如：政务服务、手机银行、证券交易、社交应用等用于企业内部员工及外协人员在生产运行现场开展信息采集、作业处理用途的移动应用。如：信息采集、POS机、巡检等用于企业员工开展公文流转、业务审批、辅助决策、邮件收发、宣传培训用途的移动应用。如：移动OA、远程会议、邮箱、VPN等IOS APP安卓APP鸿蒙APP小程序公众号H5应用传统认知的IT资产包括业务应用、服务器、

5、中间件、数据库等，而现在应该关注的新增资产除了云端资产、容器、IOT设备外，还应该包含移动APP、小程序、SDK等移动应用资产。移动应用的特点 安全水平差异明显开发能力不尽相同安全意识参差不齐原生开发、混合开发、纯H5开发面临安全问题不同开发形态每款APP的移动开发人员能力参差不齐人员能力缺乏移动安全开发经验，安全意识薄弱安全意识所用开发框架、开源组件、第三方SDK移动应用的特点 新型攻击面终端终端应用应用业务业务数据数据恶意应用病毒木马客户数据泄露漏洞攻击物理攻击逆向分析代码篡改/注入群控/多开/外挂漏洞攻击流量劫持业务漏洞逻辑漏洞薅羊毛数据篡改数据泄漏攻防实战中，攻击面突破移动应用的特点

6、多重监管压力GB 42582-2023、TTAF078-2023、26号文等多个监管条文；监管条文跟具体检测方法有差距，不清楚如何评估，不清楚合适频率。监管手段多样：社会通报、APP下架、停止接入、行政处罚、信用关联等；技术导向越来越强，集成SDK信息看不到、违规行为看不到、数据内容看不到。监管单位多：网信办、工信部、市场监督管理局、网安等；解读分析难，各机构依据什么标准、检查什么分不清楚。监管单位及监管标准不理解 检测标准法律条文多头化 监管手段及技术要求复杂 品牌及业务影响大被通报后不知如何评估和验证，不知如何整改和提交报告；被通报后对品牌声誉和业务造成影响。标准制定投诉举报监督检查处置措