如何做好教育类移动APP风险防控与管理
如何做好教育类移动APP风险防控与管理
教育行业,是国家重点行业,全民学习的时代,教育、读书、学习的移动化成为生活中必不可少的环节。截止2018年底,在线教育用户市场规模约2.76亿人,到2022年预计突破3亿人,市场规模将达到2857亿元左右。
教育类移动APP成主流模式,数量已超过7万+。据爱加密2019年教育类App风险分析数据统计,来自217个平台的1847个APP,风险漏洞情况达4万+项 。
教育类APP隐私权限风险
读取位置信息、读取短信记录、访问联系人、读取手机号码、打开摄像头、使用话筒录音、读取应用列表、读取设备信息、打开WIFI开关、打开蓝牙开关等。
教育类移动应用治理难题
监管难题如分发渠道广、审计难;数量版本多,区分难;运营单位乱,溯源难;事件传播快,处理难。技术难题有:程序恶意行为违规;个人隐私数据使用违规;信息内容违规;不安全上线违规。
监管部门高度重视教育类APP安全合规
《教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知》,开展校园APP专项调研。与网信部门开展联合行动,治理校园APP乱象。推动落实《教育部办公厅关于严禁有害APP进入中小学校园的通知》,重点加强学习类APP规范管理。
安全风险存在于移动应用全生命周期中
开发阶段:代码漏洞、开发数据统一维护、代码块暗藏后门、不能定期代码扫描、信息安全性……
测试阶段:隐私信息漏洞、安卓组件漏洞、程序被逆向、程序被篡改、程序被动态调试……
上线阶段:敏感数据泄露、业务逻辑暴露、网络通讯安全、证书安全、截屏、劫持等……
运行阶段:手机病毒、录屏软件、短信劫持、盗版应用、二次打包应用、冒名应用……
全生命周期移动安全防护体系
爱加密教育行业智能防护及监管体系,从技术、业务、合规三方面,为教育APP提供覆盖事前、事中、事后全过程的全生命周期智能化移动安全防护。
1、事前检测感知
从开发源头抓起,培训安全开发意识,提供移动端安全检测服务,赋予数据采集能力,从事前开始针对移动应用安全能力赋能。
- 漏洞检测:检测项达100+覆盖4大类应用风险漏洞检测和19项业务威胁检测。
- 恶意代码检测:提供硬件级“手机沙箱仿真系统”,实现恶意代码应用“真实”运行分析,方便追踪取证。
- 渗透测试:包括应用系统全量渗透测试服务、业务接口渗透测试服务。
- 隐私合规性检测:提供隐私合规性的安全检测。
- 内容检测:针对APP中的文本、图片、音频视频等信息提供不良信息的检测,符合净网行动的相关要求。
- 支撑服务:定期提供国家相关检测机构漏洞情报。
- 模块扩展:组件化模块设计,可灵活组合扩展。
2、事中防护响应
基于全方位的安全加固保护,防止移动应用被恶意破解注入反编译攻击,根据感知到的威胁时间,自动化响应处理威胁。
Android加固:针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险。爱加密通过领先的第六代加密技术,为用户提供全面的移动应用加固和攻击防范解决方案。
iOS加固:通过字符串随机加密、指令多样化、基本块分裂、控制流引入、跳转指令插入、控制流扁平化、控制流间接化、指令虚拟化等核心技术,保护应用免遭破解攻击,并且加密后的APP性能和稳定性不受影响。
3、事后智能监管
自下而上的建立资产监测和安全分析能力,闭环威胁管控,为监管单位提供全局管控。通过大数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源从而帮助安全管理人员掌握移动业务的整体安全。给出不同维度统计分析模型,APP风险类别汇总统计、盗版应用渠道分布、APP安全漏洞占比统计等,提供给开发人员、运维人员、运营人员,提升安全资源利用率和开发运维工作质效。
多渠道监测:600+在线渠道监测互联网百台机器运算支撑监测结果邮件通知(应用市场、下载站、论坛、贴吧……)。
钓鱼监测与预警:版本、渠道、下载源、下载量。2小时内发现、监控、预警、分析、报告、应急响应及现场支持。
取证分析:分析APP所有路径文件及代码,12小时内进行钓鱼取证、追溯分析,一键生成报告。
钓鱼应用下架:在用户配合之下,实现盗版APP的快速下架,24小时内采取通知监管机构、运营商等有效措施,尽快将钓鱼应用下架。
行业分析报告:一键生成渠道监测报告。
