正   文

移动终端应用软件安全检测

  

  背景说明

  随着智能移动终端产业真正的走向移动信息时代,智能移动终端已经有了强大的处理能力,正从一个简单的通讯工具变成一个综合信息处理平台,手机网民在总体网民的比例连年提高,如此庞大的用户群体为移动支付产业奠定了发展基础和巨大的市场商机。在此背景下,以手机银行为代表的移动终端应用软件无疑将得到迅猛发展。中国手机支付市场已迎来爆发式增长,未来几年,随着NFC技术的进一步普及以及以卡组织为代表的tokenization技术的市场化应用,我国移动支付渠道将迎来一个新的时代。

  虽然如此,但移动支付也会对金融行业已有的信息安全防护体系带来巨大的挑战和风险。移动终端应用软件作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。若移动支付客户端存在安全隐患或安全漏洞,就很有可能被黑客或病毒利用,造成用户的银行账户信息泄漏和直接财产损失。如何保证移动金融支付客户端安全性就成为了重中之重。

  作为以上所有移动终端支付与身份认证技术的前段载体与展现介质,移动终端应用软件(APP)是安全的第一道防线。保护好APP,是保护支付业务与用户隐私数据的第一个阶段。依据以上安全需求,中国金融认证中心信息安全实验室面向广大金融行业用户与软件开发商,提供移动终端应用软件检测服务。

  检测依据

  移动终端应用软件安全检测依据标准

  ▶Q/CUP037.1.2——2013《中国银联移动支付技术规范-第1卷-第2部分-移动终端支付应用软件安全规范》

  移动终端应用软件安全检测依据标准

  ▶GB/T18336.1-2008《信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型》

  ▶GB/T18336.2-2008《信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求》

  ▶GB/T18336.3-2008《信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求》

  ▶JR/T0092-2012《中国金融移动支付客户端技术规范》

  ▶JR/T0098.3-2012《中国金融移动支付扌剑则规范第3部分:客户端软件》

  检测内容

  CFCA信息安全实验室依靠自身多年的技术沉淀,将移动终端应用软件安全检测进行了详细的划分,涵盖了七大检测领域、数十个检测项目以及上百个检测点。  

移动终端应用软件安全检测

  生命周期安全是常常被客户端安全检测所忽略的一个环节,一般的检测都关注于技术,而疏于检查开发流程的安全性。而合理、合规的开发流程才是保证开发出安全软件的基础。同时,CFCA信息安全实验室还发现现有标准中只有软件开发标准,而并没有软件安全开发的相关标准,而符合软件开发标准并不能开发出安全的软件,因此,CFCA信息安全实验室着眼于生命周期安全检测,力图发现软件生命周期支持中的弊端,目标使软件生命周期变为软件安全生命周期。

移动终端应用软件安全检测

  人机交互安全着眼于用户与客户端的互动,通过登录安全控制检测、支付安全控制检测、密码管理安全检测以及会话安全控制四个方面的检测,发现人机交互上存在的安全隐患,并提出整改建议封堵发现的安全漏洞。

  程序安全以客户端对自身的防护为出发点,通过程序异常检测、反编译保护测试、程序权限安全测试以及程序API/函数安全性四个方面的检测,发现客户端在自我保护上存在的缺陷。

  数据安全以保护数据作为根本,针对数据录入、数据访问、数据存储以及数据传输一条完整的数据流进行深入检测,挖掘可能存在的数据泄露、数据篡改等风险,从根本上保护用户的隐私和账户数据安全。

  通信安全以当前互联网的安全形式做为导向,通过网络通信协议安全、安全认证、抗抵赖等多项测试来发现问题,使客户端与服务器之间通信传输能够当前安全形势下提供足够的安全防护。

  检测对象

  CFCA信息安全实验室依托于当前智能移动终端的市场形势分析,对于移动终端应用软件安全检测采用以Android、iOS平台为核心,其它智能平台围绕的形式,形成环形结构。随着未来智能平台格局的改变,环形结构能够做到及时调整核心点,保证检测内容能够准确快速的覆盖检测对象。

移动终端应用软件安全检测

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888