5月25日,由电力信息化专业协作委员会主办的《2021 年(第十五届)发电企业信息技术与应用研讨会》在长沙如期举行。各电网公司、发电集团及其下属发电企业、相关电力企业的信息化主管领导、信息中心主任、技术人员,以及科研院所、高等院校、IT 企业的专家、学者等出席了会议。北京智游网安(爱加密)受邀出席,并在会上发表了《电力行业移动安全解决方案》主题演讲,此外,爱加密还荣获2021年电力企业信息化最佳合作伙伴。

国家电网信息系统是国家重点行业的关键信息基础设施和信息系统,常常面临内网信息泄漏、网页篡改、网站挂马、服务器被远程控制甚至APT攻击等重大安全隐患。传统网络安全防护体系对很多新型特种攻击,尤其是窃取内部身份的隐藏攻击往往难以及时监测和发现,在当前渗透工具武器化、攻击特征不断改变的安全对抗中往往只能是“被动式”的事后救火。

而政府从2016年起便陆续颁布了多条关于网络安全和个人信息安全的法律法规,《中华人民共和国网络安全法》、《网络安全等级保护2.0 》、《 App违法违规收集使用个人信息专业治理》、《关于开展APP违法违规收集使用个人信息专项治理的公告》、《APP侵害用户权益专项整治行动的通知》等,进一步明确规定了电力行业移动应用安全的合规要求。

电力行业移动安全业务面临的主要问题如缺少对行业内移动应用资产摸底,包括Android、iOS、应用市场;缺少行业内的移动应用资产的风险监测、跟踪、处置;缺少整体行业安全发展趋势报告;缺少对行业内违规移动应用的取证环境等。此外,国家能源局目前还制定了《电力移动应用软件测试规范》,其中对安全加固、权限安全及权限测试都提出了明确要求。

9.2.2.9安全加固

a ) 基于 Android 开发的移动应用应进行防逆向、防篡改安全措施的保护(中风险);

b) 基于 iOS 开发的移动应用应进行防逆向、防篡改安全措施的保护(低风险)。

9.2.2.1权限安全

测试项仅适用于Android版:基于Android开发的移动应用应确保权限最小化,移动应用 申请的权限应与功能相对应,避免冗余权限的滥用(中风险)。

9 安全测试

移动应用客户端的测试内容包括安全功能测试、渗透测试和代码安全检测,其中安全功能根据其依托的操作系统分为Android版和iOS版,应遵循GB/T 34975的测试要求。安全测试根据对移动应用系统的危害程度,将检测项分为高风险项、中风险项和低风险项。

针对电网移动应用安全问题,爱加密可提供专业、完善的解决方案,方案涵盖移动应用安全检测、移动应用个人信息安全检测、移动应用安全加固、移动应用安全监管大数据、移动威胁态势感知、固件安全检测等安全服务,确保移动应用安全的及时监测、响应以及防护。

移动应用安全检测

平台采用静态检测、动态检测、内容检测等技术,全面检测移动应用中存在的安全风险、漏洞、编码缺陷等安全问题,帮助开发者提前避免因安全漏洞导致的安全事故,及时预防安全风险。平台出具专业的安全检测报告,针对发现的各类安全问题提供可靠详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、微信公众号检测、微信小程序检测、黄赌毒涉恐涉暴涉政等违规内容检测、IoT固件检测等。

个人信息安全检测

针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测系统。该系统针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告。

移动应用安全加固

平台采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等,通过领先的第八代All-In VMP加固技术,为用户提供全面的移动应用加固和攻击防范解决方案。

移动应用安全大数据

利用爱加密自主研发的静态检测、动态检测、内容检测、大数据分析技术,对全国范围内的Android、IOS、公众号、小程序、SDK等移动应用进行全量的收集、聚类、清洗、分析,并对移动应用的个人信息、漏洞、盗版、仿冒、恶意、违规等进行详细的安全检测,帮助客户对管辖范围内的移动应用进行资产的摸排、合规检测、风险监测、违规取证、风险处置、风险跟踪、风险统计等全生命周期的管理。

移动威胁态势感知

平台可对移动应用进行实时数据采集,收集应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,从而帮助企业安全管理人员掌握移动业务的整体安全态势。平台具备移动应用产品安全持续监控能力,能够及时发现各种攻击威胁、环境风险、设备风险等。具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,并进行有效的安全决策和响应。能够建立安全预警机制和生成威胁风险报告,帮助安全管理人员及时掌握移动应用产品的整体安全态势。