◆巨腾飞 闫育芸 郝闯

APP信息安全风险评估方法研究

◆巨腾飞1闫育芸1郝闯2

（1.陕西省网络与信息安全测评中心 陕西 710065；2.中国网络安全审查技术与认证中心 北京 100020）

移动时代便捷高效的移动办公服务方式，受到了企业和广大员工的喜爱与青睐，因而现在许多企业的主营运作越来越多地需要依赖于移动的应用，比如说金融业就已经将很多主营运作向着移动的应用进行了转移，然而这些在为大家提供快捷和享受的移动应用中，却也都隐藏着令人们担心的问题，即信息安全。本文研究了APP信息安全风险的评估方法，供相关读者参考。

终端；移动办公；风险评估；信息安全

1 引言

早在20世纪80年代，法国就诞生了第一款“APP Store”，2008年，苹果公司的APP Store正式上线，在移动通信网络高速发展和智能移动终端迅速普及的双重推力下，APP迎来了前所未有的发展。随着这种爆炸式的发展，潜在的安全风险也逐渐显现，漏洞、木马、钓鱼等词汇频频出现于移动互联网之上。

2 APP发展现状

近年来中国网民规模及互联网普及率均快速增长，2020年6月中国网民规模为93984万人，较2019年上半年增加了8535万人。2020年6月中国互联网普及率为67.0%，较2019年上半年增加了5.8%。随着互联网越来越普及，预计在未来中国这一人数将进一步增加。以腾讯即时通信qq为例，自从中国腾讯在1999年推出了qq移动通信服务软件，即时通信已经在中国发展了21年时间，截至2020年6月，中国的即时通信移动业务用户规模高达93079万，较2019年6月又增加了10609万，这样巨大的量级使得宽带业务随着互联网技术的广泛普及和快速发展也在迅速地增加中。

3 APP面临的主要信息安全威胁

根据早期资料显示，APP“社保掌上通”，这一热门的个人社保查询 APP 被曝出存在泄露其他用户的个人信息的问题。网络安全技术专家经过抓取和分析数据包发现，用户的信息已经被发送到了另外一家网络大数据企业的服务器。在此次授权过程中，用户将被默认接受并同意任何一份授权协定，其中包含了不可以或者无法撤销授权用户使用社会保护账户密码、对用户的个人资料进行采集和处理等诸多条款。根据上述案例APP客观存在以下几种情况下的个人信息安全的风险：

（1）公私数据混用，数据难以得到保护

一台移动设备中，不仅包含了企业的个人信息还有其他企业的信息，在没有清晰地区分移动终端上所有的个人、企业信息和应用情况下，个人的应用就可以随意访问、获得企业的数据，同时企业还可能触及其他个人的应用。

（2）敏感信息泄露

敏感信息泄露是移动设备上应用程序最大的风险之一。在用户使用应用的过程中，大量的用户数据直接存储在设备上，这本身就存在很大的危险性。不幸的是，为了方便开发者，在系统上有很多机制可以用来存储数据，例如本地数据库Sqlite文件、系统日志文件和Webview缓存等。这些文件中可能包含大量的用户敏感信息，一旦应用程序处理不当（例如，明文存储、会话标识符、身份凭证等），就会给攻击者以可乘之机。

（3）网络钓鱼

随着微信移动端和互联网的不断普及与迅速兴起，微博、微信已经逐渐成为普通大众的“新宠”。上半年微信、阿里巴巴已经正式入驻到了新浪微博，下半年腾讯微信已经正式开启了微信支付付款服务的全新功能，越来越多的微信商品已经推出多个渠道和多种支付付款方式，这使得现在的移动微信购物、移动微信支付已经逐渐成为时下市场占有率极高的网络词语。也正因为这样，一些网络不法分子也悄悄地伸手微博、微信。

通过群发被偷窃的微信，群发手机钓鱼诈骗网站等多种方式被用来非法窃取其他手机微信平台用户的手机QQ微信账号，已经逐渐成了一些骗子们利用生活习惯经常使用的诈骗手法。骗子通常以“在吗，问你个事，这个女的你认识吗”等各种具有诱惑性的信息内容从网上传播开始，勾起了她们好友的很多兴趣和各种好奇心，紧接着就有机会给她们朋友发来一个关于一些钓鱼交友网站的链接，诱惑她们的社交朋友直接通过点击，偷走她们的QQ账号，进而对她们朋友实施网络欺诈。

（4）安全漏洞

APP的漏洞主要是指APP系统存在的一种技术漏洞，它是泛指APP系统的开发者因为在进行逻辑和设计上存在的某些缺陷或者是在进行程序编写时所可能会产生的一些错误，这种漏洞可以很容易地被他人直接植入任何恶意的代码或者是手机上的病毒，造成经济损失。黑客可以利用APP的漏洞，植入任何一个恶意的代码或者是手机上的病毒，偷取其用户隐私，这种犯罪行为极其常见。在与本身的功能毫不相干的条件下，获取了智能手机用户的短信记录、通话和联系人记录、通信和电子邮件等敏感的个人信息。这些抓取的行为实际上并非因为有关移动APP为其用户提供的一系列应用服务功能而迫切地必需，而是因为APP受到了感染病毒的影响，并且大多数的普通用户对此并不十分知情。

（5）病毒攻击

在我国企业移动终端互联网日益深入人心的今天，攻击者已经逐渐开始把自己的目光从PC设备或电脑终端上的攻击目标直接转向其他移动终端设备，同时，由于移动root攻击权限的广泛滥用和一些新一代移动黑客攻击入侵技术，使得一些移动终端设备也已经成了直接滋生安全隐患风险的一个新技术温床，这就可能会直接成为一些恶意的移动黑客攻击入侵或直接渗透到一些大型企业移动终端上的一块重要跳板。

4 APP信息安全风险评估方法研究

APP信息安全风险评估主要包含评估内容及评估方法，具体如下：

4.1 评估内容

（1）技术评估

技术风险评估主要是针对重要的信息系统正常运行中所需要包含的信息资产进行的风险分析与评价，对信息系统所涉及的技术层面进行评估工作，具体包括物理安全、网络安全、主机安全、应用安全以及数据安全。

（2）管理评估

管理风险评估主要是针对企业进行信息系统安全管理所需要涉及的信息资产展开风险分析与评价，通过深入地了解企业的信息资产安全管理战略、安全体系、组织架构和人力资源等各种信息化工作及其他各种信息化活动，对企业的信息资产治理和风险管理情况进行了评估，具体应用范围包括组织机构治理、安全管理体制、人员安全管理，系统施工与建设和运营管理。

4.2 评估方法

（1）顾问访谈

针对规章制度、组织机构等方面的问题，分别对分管网络与信息安全工作的领导、技术人员以及专门负责网络信息安全的相关人士进行了访谈；与信息系统的应用运维者和使用商业服务人员展开访谈，了解整个信息系统的操作流程和其运行状态；与信息系统应用运维人员和使用人员进行访谈，了解信息系统的工作流程及运行情况。

（2）文档阅读

查看各类安全制度和规范，查看信息系统开发设计方案，核实信息系统运行维护记录，核实访谈结果，验证安全管理制度执行情况等。

（3）人工评估

登录所有网络应用设备、安全管理装置、服务器及安全管理系统，查看所有网络设备及安全服务器之间的网络账号安全、配置安全及网络安全等各个环节中所有可能发现的安全问题。

（4）现场调查

进行实地检查或者登录时可以查看到办公室内的物理条件、服务器、互联网设施和安全装置等的物理信息以及网络设施、电脑和移动存储媒体等设备的安全运行状况，检查有关办公电脑、移动存储媒体以及对敏感档案的安全利用和保管存储。

（5）工具扫描

根据设备网络情况，通过主机漏洞扫描工具、APP漏洞扫描工具对网络设备、安全设备和服务器进行远程评测和本地评测，包括漏洞扫描、配置核查和信息提取等。

5 结束语

智能移动设备快速发展，大量的利益相关者都在争夺整个移动生态系统中的微小生存空间，包括移动网络运营商、设备制造商、移动操作系统、应用商店管理者、IT组织、移动应用开发者和终端用户等，如何在快速发展的同时又能兼顾安全，这一问题值得我们深究。

[1]肖招娣，韩锦明，皇甫汉聪.移动互联网App软件在企业物流转型中的应用[J].自动化与仪器仪表，2016（12）：225-226.

[2]赵蓓，常玲，薛姗，马力鹏.融合通信中即时消息业务安全监测与处置技术要求[J].电信工程技术与标准化，2018，31（11）：31-34.