Главная страница

Ответы к вопросам по безопасности мобильных приложений. 1. Основные понятия и определения безопасности мобильных приложений 2


Скачать 80.07 Kb.
Название1. Основные понятия и определения безопасности мобильных приложений 2
АнкорОтветы к вопросам по безопасности мобильных приложений
Дата02.11.2022
Размер80.07 Kb.
Формат файлаdocx
Имя файлаОтветы к вопросам по безопасности мобильных приложений.docx
ТипДокументы
#767306
страница3 из 16
1   2   3   4   5   6   7   8   9   ...   16

5. Тестирование безопасности мобильных приложений


  • Тестирование безопасности означает верификацию безопасности системы и анализ рисков, связанный с целостным подходом к защите приложения, хакерским атакам, вирусам, несанкционированным доступом к конфиденциальной информации и т.д.

  • Главной целью тестирования безопасности является гарантия безопасности сети и информации.

  • Ключевые действия для проверки безопасности мобильного приложения:

  • убедиться, что данные пользователей приложения (логины, пароли, номера кредитных карт) защищены от атак автоматических систем и не могут быть обнаружены путем отбора;

  • проверить, не предоставляет ли приложение доступ к секретному контенту или функционалу без должной аутентификации;

  • убедиться, что система безопасности приложения требует надежный пароль и не позволяет хакеру использовать пароли других пользователей;

  • проверить, является ли время проведения сессии приложения соответствующим;

  • найти динамические зависимости и принять меры для защиты этих уязвимостей от хакеров;

  • защитить приложение от атак SQL-инъекций;

  • найти случаи неуправляемого кода и устранить последствия;

  • убедиться, что срок действия сертификата не истек, если приложение использует Certificate Pinning;

  • защитить приложение и сеть от DoS-атак;

  • проанализировать требования по хранению и проверке данных;

  • обеспечить управление сессий для защиты информации от несанкционированных пользователей;

  • изучить все криптографические коды и исправить ошибки, если необходимо;

  • убедиться, что бизнес-логика приложения защищена и не подвержена воздействию внешних атак;

  • проанализировать взаимодействие системных файлов, выявить и исправить уязвимости;

  • проверить блоки управления протоколами (к примеру, не подвергается ли страница сбросу по умолчанию с помощью вредоносных iFrames);

  • защитить приложение от вредоносных атак;

  • обезопасить систему от вредоносных вторжений во время работы программы;

  • предотвратить небезопасное хранение данных в памяти устройства;

  • исключить возможные вредные действия куки;

  • обеспечить регулярный контроль безопасности информации;

  • изучить пользовательские файлы и предотвратить их возможное вредоносное влияние;

  • освободить систему от случаев переполнения буфера или от нарушения целостности памяти;

  • провести анализ разных потоков данных и обезопасить системы от потенциального вредоносного влияния.

6. Управление мобильными устройствами


Mobile device management - набор сервисов и технологий, обеспечивающих контроль и защиту мобильных устройств, используемых организацией и её сотрудниками. Управление мобильными устройствами преследует две основные задачи: обеспечение безопасности корпоративных данных на устройствах, находящихся вне сетевой инфраструктуры, а также контроль состояния самих устройств.

Обычно MDM-решение состоит из двух частей: контрольного центра и клиентского программного обеспечения. Клиентское программное обеспечение может включать средства шифрования, позволяющие обеспечить конфиденциальность рабочих данных независимо от личной информации пользователя, а также ряд инструментов, предназначенных для удалённого мониторинга и управления устройством. Среди часто встречающихся функций удалённого управления — возможность дистанционного стирания данных, установка приложений и обновлений, всплывающие оповещения и набор инструментов «анти-вор».

7. Жизненный цикл решений по безопасности мобильных устройств


Рассмотрим весь жизненный цикл решений для определения актуальности тех или иных рекомендаций по безопасности мобильных устройств:

  • Инициация

  • Конфиденциальность работы

  • Уровень доверия в соблюдении политик безопасности

  • Издержки

  • Расположение рабочего места

  • Технические ограничения

  • Соответствие регламентам

  • Разработка

  • Архитектура

  • Аутентификация

  • Криптография

  • Конфигурация

  • Сертификация

  • Внедрение

  • Эксплуатация и обслуживание

  • Удаление

8. Угрозы и уязвимости мобильных телекоммуникационных систем


См. вопрос №15 или источник: http://itzashita.ru/mobilnyie-ustroystva/problemyi-bezopasnosti-mobilnyih-ustroystv-sistem-i-prilozheniy-chast-3.html.
1   2   3   4   5   6   7   8   9   ...   16


написать администратору сайта