400-060-0485
解决方案 当前位置:首页-解决方案 - 安全 - 终端应用安全防护
营业厅终端应用安全防护解决方案
 
【背景】
目前,国内累计发现的移动互联网恶意程序呈加速增长趋势。恶意应用不仅窃听用户电话、窃取用户信息、擅自使用付费业务,消耗用户流量,甚至已经危害到互联网的网络安全。

事实上,受恶意应用困扰的不仅仅是用户,电信运营企业也受到波及。由于检测手段的缺乏,部分恶意应用通过不同渠道混入预售手机、营业厅的安装推广平台中,借助电信运营企业流入市场,造成企业投诉增多,影响企业品牌形象,甚至影响到相关业务的正常开展。

为了更好的遏制恶意应用蔓延势头,为用户提供更安全、更放心的手机以及应用推广业务,中创信测应用服务测评部针对中国移动应用安全防护,推出全新解决方案。该方案遵循工信部应用安全检测相关标准,依托先进的全方位、立体式应用安全检测技术,帮助电信企业建立移动互联应用安全管理、测试手段,审核业务涉及应用安全性问题,杜绝恶意应用流入市场,全面提升企业品牌形象。

【方案内容】
1、该方案为电信企业提供专业的应用安全接口设备”移动应用安全防护终端”。打通营业厅与专业测试机构直接的测试通道,借助终端后台专业测试机构的专业化深度应用安全测试能力,完成电信企业营业厅手机应用安全检测,从而构建营业厅店应用安全检测手段。

2、为电信营业厅店部署的”移动应用安全防护终端”提供应用安全检测数据支撑服务,满足电信企业应用安全检测需求。


【方案拓扑架构】

【检测能力】
和传统的病毒扫描检测模式不同,本套解决方案所提供的安全测试技术不仅包含了传统的病毒体征码扫描技术,还融合了目前最为先进的“动态行为监控技术、网络监听分析技术、数据嗅探分析技术”全面提供恶意应用检测能力。

1、测试原则:
据工信部针对应用安全所提出的“全面监控、重点关注”原则,对应用涉及的以下内容进行检测:

2、检测范围
在恶意应用行为的定义标准上,检测遵循工信部颁布《移动互联网恶意程序监测与处置机制》、《电信和互联网用户个人信息保护规定》、《关于加强移动智能终端进网管理的通知》等相关文件,全面检测应用中可能存在的“恶意扣费”、“资费消耗“、“诱骗欺诈”、“系统破坏“等诸多传统恶意行为,同时还遵循工信部最新要求,着重关注目前较为敏感的应用泄露个人信息的行为,对于存在“隐私窃取”的问题应用,进行重点关注。
       具体检查范围如下:
        a.收集/使用提供服务所必需外的用户个人信息,或未经用户同意,收集/使用用户个人信息的问题
        b.在用户不知情的情况下,在终端私自定制付费业务,消耗用户话费资源的问题
        c.在用户不知情的情况下,在终端下载其他无关应用软件,消耗用户流量资源的问题
        d. 以欺骗、误导等方式向用户推广其他无关应用软件的问题

3、具体测试项
    1) 应用权限监测:监测应用中过度申请、使用与应用自身功能无关权限的行为。具体监控包括:敏
        感权限过度申请、敏感权限过度使用。
    2) 广告插件监测:监测应用中包含的广告行为。具体监控包括:应用内嵌广告统计、恶意广告、恶
        意积分墙。
    3) 应用后台静默动作监测:监测应用中包含的各种后台静默动作。具体监控包括:设备信息后台读
        取(IMEI、IMSI、手机号码、定位信息);隐私信息后台读取(通信录、通话记录、短信记录)
    4) 应用未经授权的发送动作监测:监测应用中包含的各种后台发送动作。具体监控包括:未经授权
        网络发送敏感信息(IMEI、IMSI、手机号码、定位信息、通信录、通话记录、短信记录、)未经
        授权短信发送(发送号码、发送内容)。
    5) 应用未经授权读取文件信息:监控应用中包含的各种后台静默读取动作。具体监控包括:读取应
        用安装列表、读取浏览器书签、读取音视频/图片信息、第三方应用账号信息。
    6) 网络动作监控:监控应用后台网络动作,具体监控包括:应用联网时间、上行流量、下行流量、
        后台下载应用、后台静默安装应用。

4、测试技术
方案采用了目前最为先进的应用安全测试技术。系统采用内嵌真实手机的专用测试终端作为检测基础环境,所有应用测试过程均在真实环境中完成(真实手机、真实网络),可确保应用测试结果的真实性、准确性。

系统结合静态扫描技术、动态监控技术、网络监听技术,可对移动终端应用的应用代码层、手机系统层、网络传输层进行隐私泄露、恶意扣费、恶意下载等行为的全方位监控。

    1) 静态扫描技术
静态特征扫描技术和传统的病毒扫描模式相同,只针对应用代码层进行检查,通过特征码快速过滤技术,逆向分析敏感行为动作API的调用情况,快速检测应用中隐藏的恶意风险。同时通过对应用权限申请代码的分析,可以发现应用存在的权限过度申请、权限过度使用问题。

    2) 动态监控技术
动态行为监控技术,侧重于应用产生行为监控。系统可全面监控应用涉及到的所有动作行为,包括静默动作的监控。静默动作在用户端无法察觉,具有很强的隐蔽性,而大多恶意行为均采用静默方式,带来的危害极大。而传统的应用商城安全测试手段中,无法有效监控静默动作,容易形成误报。

该套方案所采用的动态监控技术则可有效对手机系统进行全面的监控和实时拦截。系统实时监听手机系统中所有节点,当应用产生任何动作行为时,系统均可展现,任何静默动作都会被监控、被记录,恶意行为也就无所遁形。

     3) 网络监听技术
网络监听技术结合了手机数据传输层网络抓包技术、敏感词过滤技术。由于采用了真实手机作为应用测试的标准测试环境,可对应用在手机中所产生的所有网络数据进行实时捕获。结合敏感词过滤技术的应用,系统会快速判别敏感信息的泄露,发现应用隐含的个人信息窃取行为。

目前应用商城安全测试手段中,通常无法检测个人信息泄露问题。但随着工信部对个人信息保护相关规定的逐步出台,个人信息泄露问题急需引起各应用审核者的关注。传统代码扫描模式,只侧重于代码分析应用行为,对于判定与是否与功能相关的信息传送行为无法实现,因此会产生大量的漏报现象。而中创应用服务测评部的测试技术依托于真实的测试环境,可准确发现应用未经用户许可产生的隐私泄露问题。

【方案特点】
方案采用的独家检测技术,该技术经过工信部专业机构论证,不仅能够有效的解决传统病毒扫描模式存在的误报、漏报等问题;还可有效发现新兴病毒、变种病毒。同时,方案依据工信部最新应用安全测试标准,将检测范围进一步扩大,更好的实现了移动互联应用个人信息的防护。

通过实施该项电信营业厅店终端应用安全防护解决方案,可为电信运营企业打造一套完善的“应用安全检测体系”,在该体系保障下,引入绿色安全的应用,解决厅店推广应用的安全检测、审核难题,实现优质推广业务,提升运营商业务收益、实现实体渠道流量的拉升和树立品牌形象。

中创诚聘 |法律声明 |公司位置图 | 网站地图 | VPN登录
版权所有 北京中创信测科技股份有限公司。未经协议授权,禁止下载使用或建立镜像 Copyright © 2017 by ZCTT,
All rights reserved Reproduction in whole or in part without permission is prohibited 京ICP备15026937号
用户登录
用户名:
密码:
忘记密码
帐号:
邮箱: 获取验证码
验证码:
忘记密码
新密码:
确认新密码:
中创信测用户服务条款
中创信测技术支持网站服务条款:
©2003-2014 北京中创信测科技股份有限公司 版权所有

1、访问规则及条件

以下规则适用于所有访问本网站的用户或浏览者,北京中创信测科技股份有限公司("中创信测")保留随时修改这些规则的权利。访问本网站的权利由中创信测根据下列条款授予。如果您不同意下列任何条款,请停止使用本网址。对于违反这些规则的行为,中创信测有权采取法律和公平的补救措施。

2、不承诺责任声明

本网站所载的材料和信息,包括但不限于文本、图片、数据、观点、建议、网页,虽然中创信测致力于在网站上提供准确的材料和信息,但中创信测并不保证这些材料和内容的准确、完整、充分和可靠性,并且明确声明不对这些材料和内容的错误或遗漏承担责任,也不对这些材料和内容作出任何明示或默示的、包括但不限于有关所有权担保、没有侵犯第三方权利、质量和没有计算机病毒的保证。

中创信测可以在没有任何通知或提示的情况下随时对本网站上的内容进行修改,为了得到最新版本的信息,请定时访问本网站。

中创信测在本网站上所提及的非中创信测产品或服务仅仅是为了提供相关信息,并不构成对这些产品、服务的认可或推荐。

中创信测并不就网址上提供的任何产品、服务或信息作出任何声明、保证或认可,所有销售的产品和服务应受本公司的销售合同和条款的约束。

3、著作权说明

本网站所载的所有材料或内容受版权法的保护,所有版权由中创信测拥有,但注明引用其他方的内容除外。未经中创信测或其他方事先书面许可,任何人不得将本网站上的任何内容以任何方式进行复制、经销、翻印、播放、以超级链路连接或传送、以"镜像法"载入其他服务器上、存储于信息检索系统或者其他任何商业目的的使用,但对于非商业目的的、个人使用的下载或打印(条件是不得修改,且须保留该材料中的版权说明或其他所有权的说明)除外。

如果您以电子邮件或其它形式发送通讯或材料给本网站,除非已做注明,所有这些通讯内容将被视为非保密及非著作权性质。中创信测可在不征求您本人已经的情况下且不支付任何费用,以任何目的随意使用您发给本网站通讯中所含的任何内容、意见、专业知识或技术。同时,您同意并理解中创信测没有义务采用任何此类想法或材料,且您无权强迫采用。

如果您在本网站发布信息或加入评论,即赋予本网站对其内容进行编辑、复制、传播、建立派生品,以及采用任何本网站所选形式或媒体发表的权利。此外,您须对您在本网站中的所有行为承担全部责任。以下是部分,但并非全部会导致您丧失本网站访问权的违规行为:
1)发表非法、淫秽或诽谤性内容
2)以任何不良方式骚扰、恐吓、妨碍或干涉其他用户
3)传播或帮助发布诽谤、有害、恐吓、骚扰、侮辱、种族歧视或侵犯、庸俗、色情淫秽、诋毁或令人反感的内容
4)使用庸俗或侮辱性语言
5)假冒他人名义
6)试图获取其他用户密码
7)发布任何广告或促销内容
8)上传病毒或其他有害内容
9)妨碍或企图妨碍本网站运作
中创信测保留随时清除内容的权利,包括但不局限于违反这些标准的内容。对于您在使用本网站时可能遇到任何令人反感的内容,本公司不承担责任。

4、商标

中创信测网站上使用和显示的所有商标、标志皆属中创信测所有,但注明属于其他方拥有的商标、标志、商号除外。中创信测网站所载的任何内容不应被视作未经中创信测或其他方书面许可,以暗示、不反对或其他形式授予使用前述任何商标、标志的许可或权利。未经事先书面许可,任何人不得以任何方式使用中创信测名称及其商标、标记。

5、提供的产品或服务

由于互联网的国际性或无国界性,因此通过本网站所提供信息的亦具有国际性,所以不是所有在本网站上所提到的产品或服务在您的国家或地区都提供,请联系当地的销售代表或代理商了解在您的国家或地区所提供的产品或服务。

6、第三方链接

本网站可能保留有与第三方网站或网址的链接,访问这些链接将由用户自己作出决定,中创信测并不保证这些链接上所提供的任何信息、数据、观点、图片、陈述或建议的准确性、完整性、充分性和可靠性。中创信测提供这些链接仅仅在于提供方便,并不表示中创信测对这些信息的认可和推荐,也不是用于宣传或广告目的。

7、个人信息的保护

中创信测充分尊重您的隐私权,并且不遗余力保护您的个人信息。通常情况下,您不需要提供任何个人信息就可以浏览中创信测的网站。为特定的目的,如果您以自愿填写的方式提供注册或订阅电子信息所需的姓名、性别、证件种类及证件号、出生年月日、国家、电子邮件信箱、电话、联系地址和邮政编码、所希望提供的服务或喜好信息、客户代码以及其他类似的个人信息,则表示您已经了解并接受您个人信息的用途,同意中创信测为实现该特定目的使用您的个人信息。

中创信测承诺在任何时候、任何情况下都不会出售您的个人信息,中创信测只会在法律允许的范围内使用根据本条款获得的信息。但中创信测可能会根据法律、政府部门的要求向这些部门提供您某些个人信息;或在中创信测有理由认为有必要这样做来保护中创信测、客户或公众时,也可能在尽可能小的范围内公开某些个人信息,在您提供个人信息的时候应该已经预见并同意这种情况的发生。

8、适用法律和管辖权

通过访问本网站及使用通过本网站网址提供的设施和(或)服务,即表示您同意该访问及该实施和(或)服务的提供受中华人民共和国法律的约束,且您同意受中华人民共和国法院的管辖。
留言板
姓名:
   
     
电话:
   
     
邮箱:
   
     
标题:
   
     
分类:
请选择咨询意向
产品咨询 售后服务 合作交流
     
正文: