Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2
Скачать 80.07 Kb.
|
5. Тестирование безопасности мобильных приложенийТестирование безопасности означает верификацию безопасности системы и анализ рисков, связанный с целостным подходом к защите приложения, хакерским атакам, вирусам, несанкционированным доступом к конфиденциальной информации и т.д. Главной целью тестирования безопасности является гарантия безопасности сети и информации. Ключевые действия для проверки безопасности мобильного приложения: убедиться, что данные пользователей приложения (логины, пароли, номера кредитных карт) защищены от атак автоматических систем и не могут быть обнаружены путем отбора; проверить, не предоставляет ли приложение доступ к секретному контенту или функционалу без должной аутентификации; убедиться, что система безопасности приложения требует надежный пароль и не позволяет хакеру использовать пароли других пользователей; проверить, является ли время проведения сессии приложения соответствующим; найти динамические зависимости и принять меры для защиты этих уязвимостей от хакеров; защитить приложение от атак SQL-инъекций; найти случаи неуправляемого кода и устранить последствия; убедиться, что срок действия сертификата не истек, если приложение использует Certificate Pinning; защитить приложение и сеть от DoS-атак; проанализировать требования по хранению и проверке данных; обеспечить управление сессий для защиты информации от несанкционированных пользователей; изучить все криптографические коды и исправить ошибки, если необходимо; убедиться, что бизнес-логика приложения защищена и не подвержена воздействию внешних атак; проанализировать взаимодействие системных файлов, выявить и исправить уязвимости; проверить блоки управления протоколами (к примеру, не подвергается ли страница сбросу по умолчанию с помощью вредоносных iFrames); защитить приложение от вредоносных атак; обезопасить систему от вредоносных вторжений во время работы программы; предотвратить небезопасное хранение данных в памяти устройства; исключить возможные вредные действия куки; обеспечить регулярный контроль безопасности информации; изучить пользовательские файлы и предотвратить их возможное вредоносное влияние; освободить систему от случаев переполнения буфера или от нарушения целостности памяти; провести анализ разных потоков данных и обезопасить системы от потенциального вредоносного влияния. 6. Управление мобильными устройствамиMobile device management - набор сервисов и технологий, обеспечивающих контроль и защиту мобильных устройств, используемых организацией и её сотрудниками. Управление мобильными устройствами преследует две основные задачи: обеспечение безопасности корпоративных данных на устройствах, находящихся вне сетевой инфраструктуры, а также контроль состояния самих устройств. Обычно MDM-решение состоит из двух частей: контрольного центра и клиентского программного обеспечения. Клиентское программное обеспечение может включать средства шифрования, позволяющие обеспечить конфиденциальность рабочих данных независимо от личной информации пользователя, а также ряд инструментов, предназначенных для удалённого мониторинга и управления устройством. Среди часто встречающихся функций удалённого управления — возможность дистанционного стирания данных, установка приложений и обновлений, всплывающие оповещения и набор инструментов «анти-вор». 7. Жизненный цикл решений по безопасности мобильных устройствРассмотрим весь жизненный цикл решений для определения актуальности тех или иных рекомендаций по безопасности мобильных устройств: Инициация Конфиденциальность работы Уровень доверия в соблюдении политик безопасности Издержки Расположение рабочего места Технические ограничения Соответствие регламентам Разработка Архитектура Аутентификация Криптография Конфигурация Сертификация Внедрение Эксплуатация и обслуживание Удаление 8. Угрозы и уязвимости мобильных телекоммуникационных системСм. вопрос №15 или источник: http://itzashita.ru/mobilnyie-ustroystva/problemyi-bezopasnosti-mobilnyih-ustroystv-sistem-i-prilozheniy-chast-3.html. |