首页 > 传媒 > 关键词 > 几维安全最新资讯 > 正文

几维安全等保2.0要点解析及落地实施技术攻略

2019-02-20 09:38 · 稿源:站长之家用户投稿

2018 年 6 月 27 日,公安部正式发布《网络安全等级保护条例(征求意见稿)》,标志着《网络安全法》所确立的网络安全等级保护制度有了具体的实施依据与有力抓手,标志着等级保护正式迈入2. 0 时代。 2018 年 12 月 28 日,全国信息安全标准化技术委员会归口的《信息安全技术 网络安全等级保护测评过程指南》等 27 项国家标准正式发布,为等保对象进行网络安全等级保护的落地实施进行了细化指引。

为助力等保2. 0 落地实施,几维安全以等保安全要求及国家相关标准文件为指导,结合公司对行业安全需求和相关安全加固技术产品的研究,进行安全加固实施策略设计,旨在助推国家安全要求落地、助力行业企业安全环境构建。

等保2. 0 要点解析

等保2. 0 针对共性安全保护需求提出安全通用要求,并针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求。

2018 年 1 月 19 日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“指南”),为等保的具体适用提供了指引,并细化明确网络安全等级保护制度定级对象范围具体包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。

等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

在确定定级对象时,基础信息网络、工业控制系统、云计算平台、物联网、 采用移动互联技术的网络和大数据需满足三个基本特征:

(1)具有确定的主要安全责任主体;

(2)承载相对独立的业务应用;

(3)包含相互关联的多个资源。且在此基本特征的基础上,还要遵循各自不同要求,如:

物联网:物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。

移动互联网:采用移动互联技术的网络主要包括移动终端、 移动应用、无线网络等特征要素,应与相关有线网络业务系统作为一个整体对象定级。

根据要求和指南内容分析,等保2. 0 安全要求涵盖了多行业多系统和多个关键节点,是以整体安全保障为目标,以“纵深防御、分层防护”为总体策略贯穿始终的体系,细化到具体行业有定级指导意见的可结合参考相关行业定级指南,如金融行业可参考《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)。

几维安全助力等保2. 0 落地实施整体思路

等级保护2. 0 沿用了等保1. 0 的五个规定动作:定级、备案、建设整改、等级测评和监督检查,并扩展到风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等方面,将其纳入到等级保护的范围之内。而等级保护的实施是一个体系化工作,以“纵深防御、分层防护”为总体策略贯穿始终。

通过对等保要求具体内容进行细化分析可发现,移动互联、云计算、物联网和工业控制等新技术、新应用领域均涉及基于移动终端的移动安全,并对其访问控制、身份鉴别、入侵防范、恶意代码防范等有明确的安全要求,本文以移动互联网安全为例进行等保安全要求分析及移动安全加固方案设计。

基于等保要求要点解析和行业应用共性、个性特征分析,几维安全从评测、加固、监测、响应全流程进行整体解决方案设计,以公司特有的安全加密技术和产品体系为落地,通过云端、web端、API接口、本地部署、离线工具和Xcode插件等多样化交付/部署模式,和多渠道技术服务实现线上线下联动全方位支撑。旨在助力企业实现等保落地和全方位安全保障。

通过闭环体系构建,将实现协助企业进行事前移动安全多维度检测和评估,发现风险点进行对应安全加固,在事中进行安全监测和响应,并在事后提供审计、后评估等为优化提升提供支撑,形成有效安全保障和可持续安全环境。

从技术保障角度,几维安全从移动开发底层技术路线出发,以公司特有的代码指令混淆技术,和全架构商用代码虚拟化技术为基础的全平台全架构产品体系、技术方案为支撑根据不同等级安全要求进行安全加固,以第三级测评要求为例:

1、 针对网络和通信安全要求中无线通信完整性和保密性要求

安全要求:应采用密码技术保证无线通信过程中数据的完整性;应采用密码

技术保证无线通信过程中敏感信息字段或整个报文的保密性。

保障方案:通过部署白盒密钥保护产品进行传输数据安全保障。密钥白盒SDK代码采用公司独有的KiwiVM代码虚拟化技术进行安全保护,支持Android、iOS、IoT等三个平台的本地数据加密存储、通信链路数据加密等功能。

2、 针对设备和计算安全要求中资源控制要求

安全要求:应将移动终端处理访问不同等级等级保护对象的运行环境进行系

统级隔离;应将移动终端处理访问等级保护对象的运行环境与非处理访问等级保护对象运行环境进行系统级隔离;应限制用户或进程对移动终端系统资源的最大使用限度,防止移动终端被提权。

保障方案:通过部署防御性SDK产品对资源进行检测。安全防御SDK可部署

在Android和iOS客户端,主要针对环境ROOT、恶意进程、进程注入、HOOK攻击、内存篡改、模拟器运行等风险行为进行动态防御保护,并将异常行为返回给调用层,并可采取自定义的处理方式,如立即退出。

3、 应用和数据安全要求中针对数据完整性要求

安全要求:移动应用软件应采用密码技术保证通信过程中数据的完整性;移动应用软件应采用校验技术或密码技术保证重要数据存储时的完整性,并在检测到完整性错误时采取必要的恢复措施。

保障方案:通过代码加密类产品进行终端应用加固。几维安全自主研发基于Clang编译器扩展的VM虚拟机编译器, 在编译时直接对指定的函数[代码]实施虚拟化处理。凭借自定义CPU指令的特性,具有代码不可解密,加密过程不可逆等技术特点,可实现在通信、支付、算法、核心技术等模块深度加密,避免因逆向破解问题造成的经济损失。

几维安全移动安全加固核心技术及主要方案

几维安全通过多年研究,开发出基于LLVM编译器的全平台全架构的KiwiVM虚拟化防护方案,其技术主要是自定义虚拟CPU,代码加密不可逆的特性能有效避免攻击者通过DUMP内存还原原始代码。

KiwiVM虚拟化编译器通过设计虚拟CPU解释器以及虚拟IR指令,将原始CPU指令进行加密转换处理为只能由KiwiVM虚拟解释器解释执行的虚拟指令,能够完全隐藏函数代码逻辑,以及函数及变量之间的依赖关系。

以代码虚拟化为基础,几维安全目前可以提供全平台终端(Android、iOS、IoT、Linux、MacOS、Windows)防护能力。

(1)Android 平台

针对 Android 平台,可采用Dex 类方法抽取加固、Dex-Java2C 静态代码加密、SO 加壳、C/C++代码混淆、C/C++代码轻量虚拟化、C/C++代码虚拟化、防御型 SDK,可以从静态加密到动态防护做一个全方位的安全加固。

(2)iOS 平台

针对 iOS 平台,可采用 C/C++/ObjC 代码混淆、C/C++/ObjC 代码轻量虚拟化、C/C++/ObjC 代码虚拟化三种不同强度的代码加密方案。

(3)IoT 平台

针对 IoT 平台,可采用 SO 加壳、C/C++代码混淆、C/C++代码轻量虚拟化、C/C++代码虚拟化等方案,针对不同嵌入式环境对尺寸、性能、内存消耗的不同要求,可通过量身定制的安全方案实现。

同时,以上平台的代码加密产品可配合防御型 SDK、白盒秘钥等技术实现诸如数据加密存储、通讯链路加密等业务场景的保护需求。针对 Unity、Cocos 等游戏开发引擎,也可通过对应的保护机制如 C#代码保护、Lua 代码保护实现安全加固。

几维安全等保2. 0 落地实施具体实施策略

在具体实施过程中,几维安全以评测、加固、监测、响应ERMR闭环安全防护为总体思路,以公司特有的全平台全架构产品为基础构建基于全流程安全保障的产品体系,通过线上线下多渠道部署协助构建整体安全体系,实现移动安全的有效保障。

几维安全主要产品及服务体系

1、 移动应用安全评测

结合国家等保安全要求,首先对保护对象进行多维度移动应用安全评测。几维安全通过安全检测、渗透测试、源代码审计三个维度实现事前和事后相关评测工作,为安全加固、优化提升提供有力支撑。具体包括:

(1)移动应用安全检测

基于国家、行业相关安全标准,通过静态和动态两个维度进行评估,包括程序自身安全检测、防代码逆向保护监测、防动态攻击保护检测、本地数据安全检测、通信数据安全检测、身份认证安全检测、内部数据安全检测、恶意攻击漏洞扫描等 8 项功能,共覆盖 80 余项风险点,应用场景包括APP安全规范审查 、APP发布风险评估、外包应用验收评估、应用加固效果评估等。

具体评估方式和评估依据见下图。

(2)移动应用渗透测试

移动应用自动化+人工渗透测试是一项基于移动应用程序的完整生命周期进行全方位的安全检测服务,主要用于检验移动应用系统和业务逻辑的脆弱性和有效性。从逆向破解的角度出发多方面对移动应用的代码、数据、密钥、业务逻辑、系统环境等内容进行静、动态的人工分析,以获取应用安装卸载过程、用户数据输入、存储处理、网络传输以及所处系统环境等方面的安全隐患。报告将针对分析过程中使用的渗透工具、渗透步骤、问题代码位置、潜在风险以及问题解决方案均进行详细的描述。应用场景主要包括电商交易支付环节检测、互联网金融安全测试、IoT物联网安全测试、移动应用发布评估等。

(3)移动应用源代码审计

移动应用源代码审计是一项以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析服务。通过自动化工具+人工审查的方式,对程序源代码逐条进行检查和分析,挖掘系统源代码中存在的安全漏洞、性能缺陷、编码规范等问题,并提供代码修订措施和建议。

审计依据CVE、OWASP、BISMM、SANS等公共漏洞库和字典,以及结合自我积累的源代码审计资源和自动化工具对各种语言编写的源代码进行,应用场景主要包括金融应用安全评估、移动手游安全评估、政企应用安全评估、军工应用安全评估等。

2、 移动应用安全加固

(1)安卓应用加固

对安卓应用的APK文件进行多重加密防护,支持Java2C源码保护

(2)SO源码混淆保护

基于SO源代码进行安全编译,集成代码混淆、块调度和字符串加密等功能

(3)iOS源码混淆保护

基于iOS项目源代码进行安全编译,集成代码混淆、块调度和字符串加密等功能;

(4)源码虚拟化保护

KiwiVM终端代码虚拟化技术,支持C、C++、Objective-C代码加密保护;

(5)数据加密SDK

基于源码虚拟化保护和白盒加密技术独创的安全密钥白盒,提供密钥、数据、文件等加密功能;

(6)安全防御SDK

对客户端异常情况进行实时监测,提高App主动防御能力;

(7)H5 代码混淆

对JavaScript代码进行混淆加密保护,防止核心代码逻辑被恶意分析。

(1) 代码混淆:对Javascript代码中的函数进行混淆保护,增加代码分析难度;

(2) 字符串加密:对代码中的字符串进行加密保护,隐藏敏感数据,增加代码分析难度;

(3) 代码压缩:对加密后的代码进行高强度的压缩,减小文件大小,提高网络传输速度;

结 语

等保2. 0 既是国家安全部署要求,也是市场发展客户安全保障的刚需,也是企业品牌树立、可持续发展的重要保障。等保2. 0 的落地实施是一个涉及到多环节、体系化的工作,几维安全将以国家等保系列标准要求为指导,以不同行业不同企业特征为基础,以助力企业等保落地、安全环境构建为宗旨,砥砺前行。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 比特网专访几维安全CEO范俊伟

    比特网:您好范总,非常感谢您接受我们的专访,首先恭喜贵公司获得比特网移动安全行业领军企业的奖杯,也祝愿贵公司发展得越好越好。您能简单介绍一下贵公司吗? 范俊伟:你好,很高兴这次能获奖,也感谢比特网对我们的肯定和支持。我们团队位于美丽的天府之国成都,平均年龄 27 岁,公司成立于 2014 年。几维安全依托自己的移动防御能力想做为开发者服务的移动安全产品,想让每个开发出来的应用和游戏,都能保护好自己的权益不被

  • 几维安全发布等保2.0专版 助力企业等保合规

    随着等保 2.0 时代的到来,网络安全要求更加严格,应用场景更加丰富,等级保护已成为互联网企业义不容辞的责任。作为国内移动安全领域的技术创新企业,几维安全在积极响应等保2.0时代的战略布局,推出等保2.0检测、等保加固专版,为企业用户提供一站式安全等保服务。等保测评的五个阶段信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,一般会涉及互联网企业的物理安全、网络安全、主机安全、应用安全?

  • 几维安全携KiwiVM虚拟机亮相看雪峰会

    11 月 18 日,在北京举办的看雪安全开发者峰会如期举行。来自全国各地的开发人员、网络安全人员以及该行业中的各位安全大咖汇聚于此,一起分享这场“安全与开发”的盛宴。峰会盛况 几维安全CEO范俊伟与COO邵媛媛也一同出席了此次峰会。几维安全CEO范俊伟 几维安全COO邵媛媛 几维安全一直以来凭借着完善的APP加密技术以及过硬的APP加密方式,得到了社会各界安全人士的青睐。 三年的砥砺前行,使得几维安全在原有的安全技术方面更进

  • 几维安全携手TestBird,告诉你一场有关烧烤趴的故事!

    深秋将至,TestBird2017VIP烧烤趴即将拉开序幕,这次TestBird将携手几维安全共同为大家举办嗨翻全场激情四射的年终手游界盛宴,这场盛宴将成为成都夜空最亮的那颗星,美食美酒美女帅哥,期待与你的相遇。 研发、CP、渠道、发行缺一不可 2017 年 11 月 2 日晚,Testbird烧烤趴你将有机会与百度、搜狗、多盟、掌游天下、VR茶馆、益玩网络、三七互娱、四三九九、热云数据等知名企业大牛汇聚一堂。届时,不论是研发大咖,发行大佬,还

  • 几维安全携手果加,打造智能门锁安全新标杆

    近日,几维安全与果加达成合作,双方将发挥各自优势,共同打造智能门锁安全体系。作为领先的移动安全与IoT安全服务提供商,几维安全独创的KiwiVM代码虚拟化产品、移动应用加固产品(兼容Android Q),凭借更好的易用性、稳定性、兼容性和可靠性赢得了市场的信赖。服务行业遍及金融、社交、游戏、教育、车联网、物联网等,为包括青海银行、NHN、欢聚时代、新东方、宇通客车、上汽集团、中控集团等众多头部客户提供了安全保障。几维?

  • 几维安全APP安全加固率先实现Android Q Bata兼容支持

    日前,谷歌官宣,Android最新版本——Android Q Beta正式对外发布,几维安全第一时间追踪Android系统技术动态,对APP安全加固进行技术攻关和产品升级适配,实现兼容支持。本次谷歌发布的Android Q版本在注重技术创新的同时,也在加速推进安全与隐私方面的工作,确保为用户提供更安全的系统环境。Android Q具体更新细节包括:添加了多项隐私及安全防护功能,以及一系列新特性与优化项,如应用文件存储空间限制、禁止访问不可更改的I

  • 几维安全KiwiVM虚拟机国内首个实现全平台全架构防护方案!

    2018 年 3 月 7 号上午,同盾科技联合创始人祝伟、同盾科技反欺诈研究院执行院长马传雷等一行来到几维安全位于成都菁蓉国际广场的研发中心,对几维安全KiwiVM虚拟机技术以及移动安全(https://www.kiwisec.com/ )黑产现状等问题进行深入讨论和交流。 交流会上几维安全CTO刘柏江介绍到,几维安全在 2017 年独立研发出国内独有的KiwiVM虚拟化技术,是国内首个实现全平台全架构防护方案。KiwiVM虚拟化技术主要作用是核心安全防护,自?

  • 看雪峰会,几维安全携全球首款移动代码虚拟机KiwiVM参展

    你在南方的艳阳里大雪纷飞,我在北方的寒夜里四季如春。这个冬天,难道只能如此平淡的度过么?然而,几维安全携手看雪学院却在这平淡的冬天里为大家带来了一场不平淡的安全盛宴。在 11 月 18 日,在北京,在众多安全大咖之中,我们期待你的到来。 看雪安全开发者峰会究竟是什么? 2017 安全开发者大会是看雪学院蓄力 17 年,举办的第一届峰会。峰会将聚焦开发与安全,旨在以“防”为基准,安全开发为主旨,引导广大企业和开发者关?

  • 技术取胜∣几维安全KiwiVM凭借技术优势中标卓杭网络APP加固项

    几维安全KiwiVM凭借超强的攻防对抗能力在众多竞争对手中脱颖而出,中标卓杭网络科技股份有限公司APP加固项目。卓杭网络科技股份有限公司成立于2011年,专注于移动游戏领域,是面向全球的顶尖游戏厂商,已推出《城堡突袭》《龙域守卫》等多款产品,全球累计下载数量突破8千万次,月流水过亿,曾创下欧美区 畅销榜TOP5、中国区畅销榜TOP10的傲人战绩。伴随下载量激增,针对卓杭网络热门APP的仿冒行为不断出现,有甚者APP刚刚发布就?

  • 几维安全:千锤百炼,锻造移动游戏安全防护黄金铠甲

    在近期发布的《2018年上半年中国移动互联网行业发展分析报告》中提出,在上半年中国移动互联网关键字TOPl是“安全”,安全已成为中国移动互联网企业存亡生命线。作为平台,首先要保证输出内容的安全,其次要保证用户的人身财产安全及数据安全。安全,为立“身”之本。在过去二十多年中,伴随着移动互联网的发展,游戏行业经历很大的变化——不仅仅是从技术上的革新,游戏的实现能力更是有了飞跃的发展,但是在移动游戏逐渐成为大众

  • 海外业务再下一城 几维安全签约韩国互联网巨头NHN

    新年来临之际,几维安全与互联网巨头NHN娱乐(NHN Entertainment)达成合作。此次NHN公开招标,全球范围内多家公司参与竞争,几维安全凭借代码虚拟化技术的领先能力,最终成为唯一一家顺利通过评测并获得NHN高度认可的公司。几维安全将结合NHN娱乐的产品及实际应用场景,与NHN娱乐携手共同搭建产品安全防御体系。NHN是韩国第一大门户网站集团,也是目前韩国国内股价最高的游戏集团。在过去 10 年中,NHN一直在韩国IT行业排名调查中稳居第一?

  • 2017Chinajoy开幕,几维安全携最新APP加固产品亮相

    伴随着魔都夏日的热浪,一年一度的ChinaJoy于 7 月 27 日在上海新国际展览中心正式拉开帷幕。除了以游戏为主导外,2017ChinaJoy还覆盖动漫、二次元、电竞、直播、互联网影视与音乐等多种泛娱乐业态。 今年的Chinajoy以“同行十五载 共享泛娱乐”为主题。 15 年来,ChinaJoy携手近千家国内外厂商为广大玩家带来精彩纷呈的泛娱乐盛宴,成为享誉全球的顶级展会品牌,无疑也成为各大展商产品宣传展示的最佳舞台。 作为已连续多年参展C

  • 2018网络安全行业全景图,几维安全名列前茅

    2018 年 1 月,网络安全行业全景图已更新,几维安全依旧位列其中! 本次由信息安全权威媒体安全牛发布的全景图,共分为 17 大安全领域, 61 个细分领域,包含约 200 家安全企业和相关机构。 据本期全景图统计,企业业务占有率排名前三细的分领域分别是:防火墙/NGFW( 21 家),SOC/NGSOC( 19 家),评估加固/安全运维( 19 家)。从此项数据中可以看出,传统安全领域仍是国内安全厂商的主要核心业务。 而作为移动应用安全的?

  • 几维安全荣获2017IT风云榜“移动安全行业领军企业”奖

    近日,受到社会各界广泛关注的 2017 年度中国IT风云榜正式发布,由比特网、中国信息产业商会、CIO俱乐部主办,各奖项均由专家评审意见和媒体投票相结合选举产生。 几维安全作为移动安全领域的参选企业,凭借自身在移动安全领域的技术创新和突破荣获了“移动安全行业领军企业”奖。此次IT风云榜评选出的多个IT领域卓越企业、产品和解决方案,堪称IT行业风向标。 成都盈海益讯科技有限公司(简称“几维安全”),成立于 2014 年 11

  • 几维安全亮相EISS-2019企业信息安全峰会,全新IoT安全方案备受行业关注

    3月29日,“EISS-2019企业信息安全峰会”在北京召开。作为国内领先的物联网安全服务提供商,几维安全向各行业企业信息安全专家展示了全新的物联网安全解决方案,以及几维安全在智能网联汽车、智能家居等行业的实践案例。物联网安全成EISS-2019关注焦点信息安全新技术是每届EISS大会关注的重点,随着5G技术商用的到来,物联网将迎来一轮新的爆发,而物联网安全则成为了此次会议关注的焦点。物联网产业技术高速发展,全球联网设备数?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天