移動終端應(yīng)用平安設(shè)計(jì)方案傳統(tǒng)互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)具有隨身性、可鑒權(quán)、可身份識別等獨(dú)特優(yōu)勢。但同時(shí)也存在移動終端處理實(shí)力弱、網(wǎng)絡(luò)帶寬相對較小的局限性移動應(yīng)用的幾種模式原生應(yīng)用、Web應(yīng)用、混合應(yīng)用原生應(yīng)用：簡潔的來說是特殊為某種操作系統(tǒng)開發(fā)的，比如iOS、Android、黑莓等等，它們是在各自的移動設(shè)備上運(yùn)行的Web應(yīng)用：本質(zhì)上是為移動閱讀器設(shè)計(jì)的基于Web的應(yīng)用，它們是用一般Web開發(fā)語言開發(fā)的，可以在各種智能手機(jī)閱讀器上運(yùn)行?；旌蠎?yīng)用：是原生應(yīng)用和Web應(yīng)用的結(jié)合體，采納了原生應(yīng)用的一部分、Web應(yīng)用的一部分，所以必需在部分在設(shè)備上運(yùn)行、部分在Web上運(yùn)行，這是主流模式移動應(yīng)用模式的優(yōu)缺點(diǎn)模式優(yōu)點(diǎn)缺點(diǎn)原生可訪問手機(jī)全部功能（GPS、攝像頭）；速度更快、性能高、整體用戶體驗(yàn)不錯；可線下運(yùn)用；支持大量圖形和動畫開發(fā)成本高支持設(shè)備特別有限上線時(shí)間不確定內(nèi)容限制（AppStore限制）Web應(yīng)用支持設(shè)備廣泛；較低的開發(fā)成本可即時(shí)上線；無內(nèi)容限制；對聯(lián)網(wǎng)的要求比較大用戶體驗(yàn)比較差圖片和動畫支持性不高對手機(jī)特點(diǎn)有限制（攝像頭、GPS混合應(yīng)用兼容多平臺；順當(dāng)訪問手機(jī)的多種功能；可離線運(yùn)用不確定上線時(shí)間；用戶體驗(yàn)不如本地應(yīng)用；性能稍慢（須要連接網(wǎng)絡(luò)）；移動應(yīng)用的平安一般用戶都認(rèn)為只要是手機(jī)安裝客戶端模式會比較平安，客戶端模式相對于wap網(wǎng)頁模式平安些，但是，打開手機(jī)就是應(yīng)用，應(yīng)用背后卻還是一片黑，似乎還不是很平安呢?？梢詮囊苿咏K端平安機(jī)制、網(wǎng)絡(luò)平安機(jī)制兩個(gè)方面考慮：平安機(jī)制內(nèi)容移動終端平安機(jī)制互聯(lián)網(wǎng)的最終用戶設(shè)備，包括手機(jī)、PDA、便攜式電腦終端操作系統(tǒng)平安機(jī)制、防病毒、系統(tǒng)漏洞攻擊等，數(shù)據(jù)平安及隱私愛護(hù)機(jī)制、數(shù)據(jù)授權(quán)訪問、加密等Activity平安、劫持網(wǎng)絡(luò)平安機(jī)制接入網(wǎng)，也包括IP承載網(wǎng)或互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備的環(huán)境平安，操作系統(tǒng)、數(shù)據(jù)庫等的訪問限制及入侵防衛(wèi)機(jī)制，用戶認(rèn)證及數(shù)據(jù)加密機(jī)制A3／A8，ASE、Kasumi等。無論是終端還是網(wǎng)絡(luò)平安都可以從物理平安、系統(tǒng)平安、應(yīng)用平安和數(shù)據(jù)平安等方面進(jìn)行分析。物理平安：設(shè)備丟失帶來了物理平安隱患數(shù)據(jù)平安，數(shù)據(jù)傳輸?shù)募用芴幚黼[私愛護(hù)，身份認(rèn)證PIN密碼的加密處理，明文還是暗文內(nèi)容平安，交互協(xié)議的加密處理（HTTPS\jabber\3DES加密體系）移動終端平安機(jī)制Android組件的平安Activity組件權(quán)限平安Activity組件時(shí)用戶唯一能夠望見的組件，首先是訪問權(quán)限限制，activity組件在制定Intent-filter后，默認(rèn)是可以被外部程序訪問的，也就意味著會被其他程序進(jìn)行串謀攻擊。這里的其他程序指簽名不同、用戶id不同的程序，或者是簽名相同且用戶id相同的程序在執(zhí)行同一個(gè)進(jìn)程空間，彼此之間是沒有組件訪問限制的。Android:exported熟識設(shè)置為false，設(shè)置組件不能被外部程序調(diào)用。假如希望被特定的程序訪問，就不能用上面的熟識設(shè)置，須要通過andriod:permission熟識來指定一個(gè)權(quán)限字符。要想啟動Activity必需在AndriodManfest.XML文件中加入聲明權(quán)限的代碼Activity組件劫持當(dāng)用戶安裝了帶有Activity劫持功能的惡意程序后，惡意程序會遍歷系統(tǒng)中運(yùn)行的程序，當(dāng)檢測到要劫持的Activity（通常有網(wǎng)銀或是其他網(wǎng)絡(luò)程序登錄頁面）在前臺運(yùn)行時(shí)，會用釣魚式的activity覆蓋正常的activity，來欺瞞用戶Contentprovider平安內(nèi)容供應(yīng)者，用于程序之間的數(shù)據(jù)交換，andriod系統(tǒng)中，每個(gè)應(yīng)用的數(shù)據(jù)庫、文件、資源等信息都是私有的，其他程序無法訪問，假如想要訪問這些數(shù)據(jù)，就必需供應(yīng)程序之間數(shù)據(jù)的訪問機(jī)制，contentprovider通過供應(yīng)存儲與查詢數(shù)據(jù)的接口來實(shí)現(xiàn)進(jìn)程間的數(shù)據(jù)共享。Contenprovider供應(yīng)了insert(),delete(),update（），query（）等操作；寫權(quán)限andriod:Writepermission檢查讀權(quán)限andriod:readpermission檢查Broadcastreceiver平安廣播接收者，用于處理接收的廣播，分為發(fā)送平安與接收平安；接收平安：andriod:Exported屬性設(shè)置為false，只接收本程序組發(fā)出的廣播；發(fā)送平安問題：兩種消息發(fā)送方式，sendBroadcase（）與sendOrderedBroadcast()Service平安后臺進(jìn)程組件數(shù)據(jù)平安外部存儲平安：存在SD卡，對于不涉及用戶隱私的數(shù)據(jù)，可以適當(dāng)實(shí)行該方式；涉及隱私的即便是數(shù)據(jù)加密了，最終不要存在外部存儲設(shè)備上內(nèi)部存儲平安：全部軟件存放私有數(shù)據(jù)的地方。Sharedproferences、sqllite無論哪種存儲用戶隱私數(shù)據(jù)都改進(jìn)項(xiàng)加密。移動應(yīng)用web端的平安移動APP大多通過webAPI服務(wù)的方式跟服務(wù)端交互，這種模式把移動平安跟web平安綁在一起。移動app以web服務(wù)的方式跟服務(wù)端交互，服務(wù)器端也是一個(gè)展示信息的網(wǎng)站，常見的web漏洞在這也存在,比如說SQL注入、文件上傳、中間件/server漏洞等，但是由于部分app不是干脆嵌入網(wǎng)頁在app中，而是運(yùn)用的api接口返回josn數(shù)據(jù)，導(dǎo)致掃描器爬蟲無法爬取鏈接。Web類應(yīng)用系統(tǒng)所面臨的主要風(fēng)險(xiǎn)包括：網(wǎng)絡(luò)層面的攻擊：利用工具和技術(shù)通過網(wǎng)絡(luò)對系統(tǒng)進(jìn)行攻擊和入侵，包括DDOS攻擊、漏洞探測、嗅探（帳號、口令、敏感數(shù)據(jù)等）等。Web應(yīng)用程序攻擊：利用web系統(tǒng)的漏洞對應(yīng)用程序本身進(jìn)行的攻擊，如針對應(yīng)用程序本身的DOS攻擊、SQL注入、跨站攻擊、網(wǎng)站掛馬以及獲得對web服務(wù)的限制權(quán)限等。內(nèi)容篡改：利用應(yīng)用層漏洞等進(jìn)行的網(wǎng)頁篡改攻擊行為，網(wǎng)頁內(nèi)容被非法篡改為其它甚至是產(chǎn)生嚴(yán)峻社會影響的不合規(guī)內(nèi)容。數(shù)據(jù)通信平安軟件與軟件、軟件與網(wǎng)絡(luò)服務(wù)器之間進(jìn)項(xiàng)數(shù)據(jù)通信時(shí)的平安問題。軟件與軟件的通信：Android系統(tǒng)4大組件的通信主要手段通信過程中數(shù)據(jù)傳遞依靠intent來完成；在intent中應(yīng)當(dāng)明確指定目的組件的名稱，防止第三方程序“偷竊”軟件與網(wǎng)絡(luò)的數(shù)據(jù)通信：軟件登陸驗(yàn)證、網(wǎng)絡(luò)賬號密碼的明文傳輸、數(shù)據(jù)上傳未加密移動應(yīng)用的功能測試基本功能（同pc端測試）軟件版本檢測：檢測版本號是否正確？至少要比上一個(gè)版本多一個(gè)版本，例：當(dāng)前版本1.0，那么下一個(gè)版本至少是。程序啟動后，是否正常檢測版本更新提示離線運(yùn)用：有離線功能的應(yīng)用，在離線狀態(tài)下，應(yīng)用的功能運(yùn)用是否正常，離線狀態(tài)下相應(yīng)的操作提示是否合理。離線后連接網(wǎng)絡(luò)：離線后連接wifi或者2G，3G網(wǎng)絡(luò)，基本功能能否正常運(yùn)用。交互性測試1)數(shù)據(jù)同步功能：須要同步數(shù)據(jù)的應(yīng)用，測試數(shù)據(jù)同步是否正常,下載、上傳。應(yīng)用網(wǎng)絡(luò)測試1）應(yīng)用的流量運(yùn)用狀況平安企業(yè)用戶的身份，被別別人冒名頂替物理平安，網(wǎng)絡(luò)平安，系統(tǒng)平安，平安管理，應(yīng)用平安五個(gè)層面進(jìn)行評測第一部分是智能終端通過短信網(wǎng)關(guān)進(jìn)入后臺服務(wù)器。（說移