移動應用程式開發應考慮的八大安全問題
隨著移動網際網路的普及,企業越來越需要移動開發的進行,從而深化其客戶體驗,擴充套件其顧客購買產品的方式方法。
對移動應用程式的這種需求推動著企業開發。但是,需要注意的是,與移動應用程式相關的風險不同於傳統的企業軟體。我們看到,在移動軟體領域,安全性很少成為開發過程中的重要因素。
業務經理需要確保銷售和IT管理人員在構建移動應用程式時能夠保護客戶的資料,不會向外部的攻擊者開啟無法預料的安全漏洞。下面,我們給出企業在開發移動應用程式之前需要考慮的八大問題:
一、移動裝置上的軟體風險與傳統的企業軟體有什麼不同?
移動裝置應用程式的定義決定了它存在於企業環境之外的手持裝置上,如一個客戶的裝置。不妨設想一下這種裝置被竊取,而其中的軟體又被惡意人員實施了逆向工程的情況。還有,如果某人正在胡亂地修補、改變你的移動應用程式,你幾乎是很難知道的。對於攻擊的預防和檢測,必須依賴於檢測移動裝置與內部伺服器的互動方式上。
二、這些移動應用程式如何與內部伺服器互動?
許多人將對移動安全的重視主要放在了裝置的安全上。事實上,多數風險存在於移動裝置與面向外部的伺服器進行互動的過程中。企業的風險建模和測試方式應該反映這個現實問題。如果裝置被竊取,其中的程式碼被逆向工程,適當水平的攻擊者就可以確認接收內部請求(即移動裝置傳送的請求)的目標伺服器。這樣,伺服器就必須能夠承受不同的應用程式攻擊和網路攻擊。
三、企業內部擁有管理這種風險的技能和技巧嗎?
由於對移動裝置應用程式的需求不斷增長,即使開發經驗不太豐富的軟體開發人員也受到企業領導的青睞。但是,企業應重視移動開發領域的內部技巧,或招聘適當的移動安全專家,用以強化移動應用程式的安全性。
四、移動程式碼的開發人員是否比其它開發人員更理解安全概念呢?
不幸的是,許多人的回答者否定的,但移動程式碼的安全問題必然會改變這種狀況。如今,該領域中的許多才能都來自現實世界,來自封閉的裝置開發領域。用這種才能開發的移動應用程式只能是過於粗糙,無法承受來自網際網路的攻擊的。而且,如果開發人員對移動環境不夠熟悉,會帶來一些安全隱患。
五、在完成一次會話後,能否確保機密的客戶資訊不留在移動裝置上?
軟體開發人員應當編寫這樣的程式碼:在客戶已經完成瀏覽會話後,不准許再保留私密資料。這是因為有些移動裝置易於攻擊。同時,企業必須採取措施杜絕某些瀏覽器或作業系統繞過這些控制,要及時修補移動瀏覽器和作業系統的漏洞。
六、一旦與移動應用程式相關的客戶資料丟失或受破壞,應部署哪些過程進行應對呢?
應當把事件響應過程設計到移動領域中,無論是內部人員還是外部人員都應如此。要以客戶資料的損失情況為基礎進行評估和訓練。在某個嚴重的漏洞被暴光之時,你已經準備好斷開移動裝置的措施了嗎?
七、什麼機構(企業、裝置供應商、移動作業系統供應商等)需要為安全問題負責?
在架構問題上,企業都有多種關鍵的依賴,如果發生了損害,誰要為環境的哪個方面負責呢,是裝置、作業系統或是應用程式呢?理解這個問題有助於你管理移動應用程式的安全事件。
八、為了開發更安全的移動應用程式,需要部署哪些開發方法呢?
你要問一下這些問題:考慮到移動環境所固有的弱點,移動應用程式的開發方法是否已經發生了改變?你為移動程式碼制定了哪些編碼標準?如何強化這些標準?經常檢查這些標準嗎?是否僅針對高版本的程式檢查標準呢?最先進的移動開發專案必須遵循企業的標準,這樣才能開發出更安全的軟體。必須強化、補充這些標準,其目的是為了反映與移動應用程式有關的更復雜的威脅模式。
精明的安全管理人員都應當在開發和部署移動應用程式前就關注這些問題,而不是在開發的後期。任何企業必須儘快地定義其移動安全的策略,遏制移動應用程式給企業帶來的風險。
由於整個市場還處於發軔階段,目前大眾對於手機應用瞭解並不很多,但其實在這個市場早已是暗流湧動,春潮氾濫,各種各樣有趣的應用層出不窮,新奇創意不斷,大量原來PC和網際網路上的資訊化應用、網際網路應用均已出現在手機平臺上,一些前所未見的新奇應用也開始出現,並日漸增多。希望本文能給你帶來幫助。