随着我国移动互联网应用(App)在人们日常生活中的渗透不断提升,大量的数据被采集和存储在了移动应用的服务器端。这些数据涵盖了我国社会生活的方方面面,一旦遭到泄露就可能造成严重危害。
尤其是在大数据时代,即使单一数据源蕴含的信息有限,但通过关联分析,获得大量高价值信息的同时,潜在安全隐患也如影随形。此外,大数据因其蕴藏的巨大价值和集中化的存储管理模式成为网络攻击的重点目标,而大数据区别于传统信息系统的技术体系,以及规模化的平台集群搭建模式,使得传统的安全防护措施和安全运维手段难以应对。
为切实帮助企业应对上述全新安全挑战,中国信息通信研究院泰尔终端实验室和安全研究所于2020年3月联合发起“移动应用(App)服务器端信息安全专项推进行动”。通过线上/线下培训的方式提供标准解读和技术指导,帮助企业加深对于服务端信息安全的认知,提升企业的安全防护水平。
截至目前,已经有31家企业接受了技术指导及相关测试,其中有6家企业的App后台大数据集群在整改后基本符合了相关行业标准要求,能够做到安全风险可控。通过测试的企业(App)名单见附件。
但需要看到,我国移动互联网应用(App)服务器端的安全现状尚不容乐观。首批参与行动的企业,测试通过率仅为19%,身份认证机制未开启、权限配置未做到最小化、日志记录不完整、访问控制机制配置不当、组件存在信息泄露、安全绕过漏洞等安全隐患普遍存在,前期检测出的共性问题如图所示:
为进一步帮助企业强化安全能力,提升移动互联网产业整体安全水平,作为本次专项行动的一个重要环节,中国信息通信研究院计划于2020年7月9日开展线上标准讲解和经验分享,请感兴趣的企业报名参加。
报名邮箱:nbd@caict.ac.cn
附:通过测试的企业名单(排名不分先后)
