随着移动互联网不断发展 ， App（移动端应用程序）成为人们日常生活中不可或缺的数字工具 。 据工信部最新公布的《2022年1-5月份互联网和相关服务业运行情况》显示 ， 截至5月末 ， 我国国内市场上监测到的App数量为232万款 ， 第三方应用商店在架应用累计下载量达21543亿次 。 App市场近年来一直欣欣向荣 ， 但由于违规成本低等原因 ， 许多企业极度轻视用户数据安全保护工作 ， 导致用户个人信息泄露事件不断发生 。 近期 ， “某网课软件数据库疑似泄露”的消息就将App数据安全再度推向大众视野 。
数据安全体系是一个非常复杂的工程 ， 从宏观来讲 ， 涉及一个公司管理、应用、网络、系统、物理环境等方方面面 。 数据安全体系的建立更是一个日积月累 ， 不断完善的过程 ， 如若前期轻易削减安全投入 ， 则会在用户量上升和数据量膨胀的后期引发难以想象的额外成本支出 。 综合考虑成本与效率 ， 任何企业机构都需要在前期建立一个完备的数据安全体系框架 ， 事半功倍地为数据安全建设铺平道路 。
从微观来讲 ， App作为当前环境下最重要的数据门户之一 ， 设计之初就应该围绕数据全生命周期进行数据安全方面的设计 。 以下就以App安全为例 ， 浅谈一下数据安全体系建设 。
数据安全体系的前端 ， 在设计用户元数据时应将帐号安全纳入考量 ， 例如采集数据时避免使用用户信息如手机号作为唯一用户标识 。 在目前实名认证的监管趋势下 ， 绝大多数App需要使用手机号进行注册认证 ， 其作为最便捷最通用的用户标识 ， 已成为关联个人帐号池的枢纽 ， 设置非通用唯一用户标识可以有效屏蔽与真实用户信息的关系链；同时App端数据采集过程中应做好数据标签、数据分级工作 ， 并在后台对用户的操作行为形成记录日志；另外应保障数据采集过程的安全性 ， 例如在输入敏感数据时使用安全键盘 ， 在敏感业务界面添加劫持风险提示 ， 对自身进程进行调试注入检查防止恶意进程劫持 ， 都可以有效避免在采集源头数据被篡改 。

文章图片
数据采集完成后 ， App会通过公共网络将数据传输至服务端 ， 其过程将会面临更大的攻击面 。 为此开发者首先应尽可能保证全站HTTPS ， 使用安全的协议和加密套件 ， 保障数据流量以加密形式传输；对于敏感数据如账号密码应再通过自定义加密增强其保密性 ， 同时建议App端在输入时即时加密 ， 减少内存中明文数据的留存时间 ， 在传输至后台存储的全链路中尽可能缩小解密窗口期 。 为保障通信双方合法性 ， 在条件允许下建立客户端与服务端的SSL双向认证 。 而业务处理应以默认不信任客户端为出发点 ， 合理设计各业务接口权限 ， 并且确保从客户端请求接口到实际数据取出接口全链路逐级鉴权 ， 避免出现虎头蛇尾的鉴权模型 。

文章图片
数据存储时期 ， 除了来自用户侧的攻击 ， 来自服务侧的安全威胁也不容忽视 。 内部应建立数据安全管理制度 ， 不同类别不同等级的数据也应设置不同的数据安全策略；内部平台系统之间 ， 内外部平台系统之间 ， 对于权限控制和数据解密窗口期也需要合理控制 ， 防止越过控制措施访问到明文数据 ， 对已标记的敏感数据进行监控跟踪 ， 形成敏感数据生命周期完整日志记录 ， 以实现对敏感数据操作的追溯审计 。

文章图片

• Uber|BI数据分析从业者从零开始学习财务知识？有哪些入门书籍推荐
• 乐视回应员工过着无内卷、无老板的神仙日子；苹果拒绝在俄罗斯存储用户iCloud数据；Dapr 1.8.0 发布|极客头条
• 地球同步轨道|我国建成第二代地球同步轨道数据中继卫星系统
• WPS就网传“侵犯用户隐私”事件再发声：不会对用户的本地文件进行任何审核、锁定或删除等操作
• 华硕灵耀|灵耀新款全能本为何人气飙高？入手用户说出真相，堪称六边形战士
• 新闻观察：中国第二代数据中继卫星系统正式建成
• 高通骁龙|骁龙8+对比天玑9000谁更强？测试数据出炉，看完不纠结了
• 小米科技|小米12SUltra首批用户评价出炉：好评颇丰但差评却很刺耳！
• Apple Watch|暴利的影视剪辑产业链，抄袭成风：“最低月入5万，忘了上班什么感觉”
• 首次将区块链用于技术底座，智己汽车开放“原石谷”用户数据权益