《第一批移动应用安全加固产品认证》由会员分享,可在线阅读,更多相关《第一批移动应用安全加固产品认证(22页珍藏版)》请在金锄头文库上搜索。
1、第一批移动应用安全加固产品认证 结果综述 石霖石霖 中国信息通信研究院中国信息通信研究院 移动互联网与大数据部移动互联网与大数据部 20162016年年1010月月 1 认证背景介绍 2 认证方法介绍 3 认证情况综述 移动信息化发展 安全与管控 MDM EMM 行业专项工具 制造业务 金融业务 生产加速型工具 内容管理 交流与通讯 通用型工具 销售及客户服务 行政及办公管理 运营及生产管理 数据来源:移动信息化研究中心 2016年7月 综合解决方案 安全管控方案 应用解决方案 . 考勤 管理 中小型企业 中大型企业 70% 50% 60% 近近50% 近近40% 近近40% 从具体应用切入
2、全面渗透发展 CRM 类 OA类 IM 工具 移动 信息化 解决 方案 移动应 用管理 移动信息化可信选型认证 2014 2015 2016 移动信息化 产业研究。 标准体系进一步 丰富。 移动信息化 可信选型标准 体系确立。 第一批标准立 项、起草。 透明透明 可信可信 坚 持 原 则 服务用户服务用户 移动信息化可信选型认证 作为一种规范市场的手段,是适合所有从事于移动信息化企业参与认证, 主要用于移动信息产品、服务的评估、验收等。 信息通信行业标准 (目前已在TC11 WG2 立项了EMM、 PUSH、MEAP等标准) 数据中心联盟移动办公工作组 移动信息化可信选型认证 医疗健康行业领域
3、 金融行业领域 电力行业领域 国采中心的移动办公产品目录调整 与行业标准、政府采购及重点行业市场对接 移动信息化可信选型认证 数据中心联盟移动办公工作组形成15项联盟报批稿,6项CCSA协会标准立项,发布2份 行业发展报告,3次行业论坛、5次工作组会议,并且有众多企业参与到工作组中 移动信息化可信选型认证标准体系: 移动信息化可信选型认证评估方法 第一部分:企业移动化管理平台 移动信息化可信选型认证评估方法 第二部分:移动消息推送平台 移动信息化可信选型认证评估方法 第三部分:移动企业应用平台 移动信息化可信选型认证评估方法 第四部分:移动办公终端 移动信息化可信选型认证评估方法 第五部分:云
4、桌面瘦终端 移动信息化可信选型认证评估方法 第六部分:移动巡检终端 移动信息化可信选型认证评估方法 第七部分:统一身份认证服务系统 移动信息化可信选型认证评估方法 第八部分:即时通讯服务平台 移动信息化可信选型认证评估方法 第九部分:云客服系统 移动信息化可信选型认证评估方法 第十部分:移动应用安全加固服务系统 移动信息化可信选型认证评估方法 第十一部分:移动安全接入服务系统 移动信息化可信选型认证评估方法 第十二部分:政企移动应用软件通用评估框架 移动信息化可信选型认证评估方法 第十三部分:移动办公自动化(OA)服务系统 移动信息化可信选型认证评估方法 第十四部分:移动客户关系管理(CRM)
5、服务系统 移动信息化可信选型认证评估方法 第十五部分:企业移动安全邮箱系统 移动应用安全加固服务系统标准起草过程 移动办公工作组会上正式立项,开始起草编写。 标准立项 与爱加密、梆梆安全、腾讯等国内安全加固提供商沟通。 市场调研 8家单位,10余名专家,经多3次集中编写、4次邮件沟通等。 标准编写 7月底,标准在移动办公工作组会上报批。并开展首批测试认证招募工作。 标准报批 2016年年1月月-3月月 2016年年3月月 2016年年3月至月至7月月 2016年年7月底月底 标准编写单位 中国信息通信研究院 江苏通付盾科技有限公司 北京智游网安科技有限公司(爱加密) 北京洋浦伟业科技发展有限公
6、司(梆梆安全) 阿里巴巴(中国)有限公司 腾讯科技有限公司 北京尔创科技有限公司 北京娜迦信息科技发展有限公司 标准内容简介 基本信息 披露 系统成熟 度评估 服务质量 评估 移动应用安全加固服务系统是帮助开发者 对其移动应用产品进行安全保护的系统,能 够保证移动应用的完整性、保密性、可用性, 降低被逆向、被篡改、被仿冒等风险,且不 影响原移动应用的功能。 定义 评估体系 具体指标 一、基本信息披露 1.企业基本信息披露 2.服务系统基本信息披露 二、系统成熟度评估 3.功能完备性 4.性能指标 5.开放性 6.可靠性 7.易用性 8.可维护性 三、服务质量评估 9.服务可用性 10.资源调配
7、能力 11.故障恢复能力 12.服务可审查性 13.服务计量准确性 14.协议条款 1 认证背景介绍 2 认证方法介绍 3 认证情况综述 认证依据和方法 认证依据 移动信息化可信选型认证评估方法 第十部分:移动应用安全加固服务系统 材料 审查 专家评审 技术 测试 技术测试通过 材料审查结果符合要求 YES 发布 结果 认证流程 NO 整改 重测 认证流程 材料审查 在线提交 人工审核 认证流程 技术测试 测试指标测试指标 支持dex文件的反编译保护功能。 支持dex文件的反篡改保护功能 支持dex文件的反调试保护功能。 支持so文件的反编译保护功能。 支持so文件的反篡改保护功能。 支持so
8、文件的反调试保护功能。 支持so库与应用绑定功能。 支持资源文件的反篡改保护功能。 支持资源文件的加密保护功能。 支持本地数据的加密保护功能。 支持防注入保护功能。 支持防内存coredump保护功能。 支持Android系统SDK源码混淆提高安全性。黑盒测试 手工测试 工具辅助 认证流程 专家评审 相关行业 第三方企业 行业协会 专家组成 材料审查确认 技术测试报告 确认 企业自述、 现场答疑 评审内容 公正公正 负责负责 保密保密 1 认证背景介绍 2 认证方法介绍 3 认证情况综述 首批测试认证总体情况 深圳市腾讯计算机有限公司 腾讯云乐固2.3.0 北京洋浦伟业科技发展有限公司 移动应
9、用安全加固服务系统V5.0 北京奇虎科技有限公司 360加固保1.3.0.0 北京智游网安科技有限公司 爱加密本地自动化加密系统V2.0.1 认证报名 测试认证 专家评审 2016年8月初 2016年9月初 10月中旬 技术测试情况 测 试 环 境 硬件条件:Windows系统电脑、Android4.0以上手机一部(已ROOT)、安卓适配 数据线。 软件工具:Apktool、dex2jar、签名工具、IDA Pro、JD-GUI、Gdb等。 测试对象 技术测试情况 序号 测试项目 测试结论 1 dex文件反编译保护 通过 部分通过 不通过 2 dex文件的反篡改保护 通过 部分通过 不通过 3
10、 dex文件反调试保护 通过 部分通过 不通过 4 so库加壳保护 通过 部分通过 不通过 5 so库代码混淆 通过 部分通过 不通过 6 so字符串加密 通过 部分通过 不通过 7 so库防篡改 通过 部分通过 不通过 8 so文件反调试 通过 部分通过 不通过 9 so库与应用绑定 通过 部分通过 不通过 10 assets资源防篡改 通过 部分通过 不通过 11 res资源防篡改 通过 部分通过 不通过 12 assets资源加密保护 通过 部分通过 不通过 13 res资源加密保护 通过 部分通过 不通过 14 本地数据保护 通过 部分通过 不通过 15 防代码注入攻击 通过 部分通过
11、 不通过 16 防内存coredump保护 通过 部分通过 不通过 17 SDK源码混淆 通过 部分通过 不通过 测 试 例 编 写 部分测试例说明 测试编号 usecase101 测试项目 dex文件反编译保护 测试目的 验证是否支持dex文件的反编译保护功能。 前置条件 apk文件已被加固 测试步骤 1、使用apktool等对加固前后的orignal_1.1.apk和sec_1.1.apk进行反编译; 2、使用dex2jar等对加固前后的orignal_1.1.apk和sec_1.1.apk进行反编译。 预期结果 对已加固的apk文件进行反编译操作时,apktool、dex2jar等反编译出的函 数不可见、不可分析。 实际效果 效果1: 反编译出文件隐藏、函数混淆 效果2: 反编译工具报错,无法工作 专家评审情况 参评企业代表 远程电话接入 评审专家 参评产品情况介绍 服务体系情况介绍 回答专家疑问 首批测试认证结果 4家参评企业的移动应用安全加固服务系统均通过移动信息化可信选型认证。 测试结果 石霖 中国信息通信研究院 电话:13581563677 邮箱: 共同努力,也期待您的参与! 谢谢聆听, 敬请指正!
