构建移动应用安全防护体系，助力油气行业数字化转型

目 录CONTENTS 移动终端安全态势 01 油气行业数字化转型风险分析 02 03 梆梆安全公司简介 1 移动终端安全态势 1.1 国际安全态势 当前全球网络安全威胁和风险日益突出，并向政治、经济、文化、社会、生态、国防等领域传导渗透。互联网已经成为意识形态斗争的主战场，网上渗透与反渗透、破坏与反破坏、颠覆与反颠覆的斗争尖锐复杂。油气行业的网络信息系统长期以来一直是网络攻击的重要目标，安全运营的要求高、责任大、任务重。 Ø2016.9.19 中国工程院院士、清华大学教授吴建平：互联网是继陆海空太空之后的第五个疆域。Ø2019.5.13 网络安全等级保护制度2.0标准正式实施，标志着企业网络安全被上升到国家层面。Ø2020-2021 境外黑客组织频繁发起网络安全攻击，妄想达成舆论导向和政治目的。 2021年5月9日，美国政府宣布进入国家紧急状态，原因是当地最大燃油管道运营商Colonial Pipeline 受到勒索软件攻击，被迫关闭其位于美国东部沿海各州供油的关键燃油网络。 印度黑客组织，在我国疫情期间利用肺炎疫情相关题材，采用鱼叉式钓鱼方式进行邮件投递APT攻击。2020年7月以来，中东油气行业也发现多起供应链的APT攻击事件。 2020年9月，重保期间溯源到大量境外网络攻击，移动终端相对传统服务在安全防护层面还是有所欠缺，最后攻入内网，以上均为通过反编译移动APP进行探测和注入攻击，通过威胁态势监控系统进行溯源和封停。 网络安全已经上升到国家层面，油气等支柱产业深受影响！ 1.2 国内安全态势 能源行业按照信息技术总体规划持续推进信息化建设，经过“十一五”、“十二五”的快速发展，建成并投入使用了集中信息系统和集成平台。 早在“十三五”规划中提到：随着5G等技术发展，油气行业移动应用的建设和应用规模将进一步扩大，移动应用安全风险日益严峻、合规性日益严格。为满足合规性要求，提高移动应用安全防护能力，集团公司在云安全防护中设立了移动应用安全防护规划项目。 近期“十四五”规划指出：按照“数据+平台+应用”的新模式，大力推进数据中心、物联网、工业互联网等新型基础设施建设，深化大数据、人工智能、5G、北斗等技术应用，夯实公司数字化发展的战略基石，集团公司将继续发力移动应用安全防护等新业态、新经济。 随着国家对“新基建”工作加大投入力度，5G网络、工业互联等关键基础设施的建设促进企业更多、更重要的业务系统从传统PC桌面应用转向移动应用，通过移动通信方式对数据采集处理、生产作业、监控巡查等操作。同时，互联网针对移动应用攻击频频发生、技术手段不断出新、黑产活动依然猖獗，移动安全面临更加严峻的挑战。 1.3 国家法律法规 《关于下达2019年集团公司信息化项目建设与信息系统运行维护工作计划的通知》的安排，2019年新启动“移动应用安全防护系统建设项目”。集团公司信息管理部下达了《关于委托编制移动应用安全防护系统项目可行性研究报告的函》。 《信息安全技术网络安全等级保护基本要求》扩展要求部分，从 移动终端管控、移动应用管控等多个方面对移动互联提出了相关安全要求，规范移动应用的建设与使用，提升移动应用安全性，降低移动应用带来的安全风险与隐患。 《中华人民共和国网络安全法》2017年6月1日 《中华人民共和国个人信息保护法（草案）》2020年10月21日《网络安全等级保护基本要求》（GB/T 22239-2019）《信息系统等级保护安全设计技术要求》（GB/T 25070-2010）《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》（GB/T 34975-2017）《信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法》（GB/T 34977-2017）《信息安全技术 网络安全等级保护测评要求》（GB/T28448-2019）——梆梆安全参与编制《移动互联网应用程序安全加固能力评估要求与测试方法标准》（YD/T3474-2019）——梆梆安全参与编制《中华人民共和国公共安全行业标准移动终端防火墙产品测评准则》（公信安【2010】787号）——梆梆安全参与编制《中华人民共和国公共安全行业标准移动互联网应用程序安全加固产品测评准则》（公信安【2016】326号）——梆梆安全参与编制《中华人民共和国国家标准信息安全技术信息系统安全等级保护基本要求 移动互联要求标准》（GB/T 22239-2008）——梆梆安全参与编制 国标企标对移动互联网的安全要求 2 油气行业数字化转型风险分析 2.1 数字化转型背景 全球各大石油公司在2020年增加数字化投资，投资重点从之前的大数据、物联网、移动应用、云计算延伸到机器人、无人机、人工智能、智能穿戴设备等领域。从当前国内外领先石油公司的实践看，油气行业数字化转型主要围绕作业现场智能化、生产运营一体化、贸易销售平台化、研究设计协同化4个方向，推动数字技术与生产经营管理深度融合。 ——摘自《挪威船级社2020年油气行业展望报告》《埃森哲油气行业投资趋势分析报告》 现状 需求 合法合规：对移动应用违规采集个人信息、用户敏感信息泄漏、超范围使用权限等安全风险进行防控检测。 Ø海量lOT终端和移动APP:油气生产作业现场，利用无人机、人工智能等lOT终端进行远程操控；贸易销售板块，利用移动APP进行查询和交易操作。 功能服务提升：增加源码检测及加固技术；增加即时通讯内容管理能力；提供终端运行阶段攻击监测、预警、阻断、溯源全流程安全管控；实现移动应用安全服务集中管理。 合法合规、平台安全功能及服务:移动终端的开发、接入、发布、运行等全生命周期需要提供标准化安全服务，需保障移动终端安全合规运行。 2.2 行业移动互联网业务现状 内网移动门户经过多年的持续建设，在油气行业的办公管理、经营管理、生产管理等领域，已经建设了大量的移动应用，场景非常复杂。在生产作业层面，即有采用智能手机、平板电脑等通用终端的场景，也有采用工业手持等专用终端的场景 ; 在办公管理层面，有移动办公APP、党建APP等面向企业内部员工 ; 在公共服务层面，有中油好客e站、易派客、海油行等对外客应用 ; 在应用形态层面，即有Android、iOS原生应用，也有H5应用、混合应用。对于存储涉密数据的应用通用应用的管控力度肯定有所区别，但是现有的移动应用基础防护手段不足以抵御复杂场景的应用攻击。 2.3 移动应用的风险 某能源企业移动平台前期已基于云资源和云安全基础设施完成等保建设，初步具备对移动应用提供安全组件服务、安全管控服务、安全接入标准。随着企业业务系统从传统PC桌面应用转向移动应用，企业内部对移动应用不断深化，同时考虑互联网对移动应用威胁多样性、复杂性。 针对移动平台提出更高的安全要求：①安全合规、满足监管 ②代码安全引发风险 ③移动办公内容安全 ④移动终端威胁。 移动应用发布渠道风险 Ø截至2020年底，国内已备案的应用商店总数为151个，安全渠道不足10%，大量渠道对仿冒、盗版和钓鱼应用没有任何检测/处置能力。 企业移动应用的针对性攻击 Ø我国移动互联网用户规模已突破13亿，占全球网民总规模的32%，移动应用攻击进入高发期，恶意程序正在实施破坏力极大的针对性攻击。 黑/灰产规模庞大 Ø企业在移动应用推广方面投入了大量资金，越来越多的企业移动应用成为攻击目标，大量企业被“薅羊毛”。 移动应用合规监管力度加强 Ø《个人信息保护法》《App违法违规收集使用个人信息自评估指南》等要求：整改移动应用违规采集、敏感信息泄漏、权限使用等安全风险。 2.4 对内移动办公：通过OA攻入内网事件 事件：2021年4月，某能源企业移动OA应用发现高危漏洞，重保前期的攻防演练过程中，攻击方通过移动OA应用作为跳板，成功进入内网并拿下数台内网服务器。攻击者先进行了信息收集，发现其OA暴露在外网并且移动OA APP版本服务接口未下线，通过逆向找到URL、数据库名等关键信息，然后通过社工攻击获取到数个OA账号信息，通过HOOK关键类获取到VPN账户名、密码、地址，成功进入内网，最后拿下数台内网服务器。 办公 APP 风险分析 办公 APP 防护手段 Ø病毒通过移动设备渗透企业内网：黑客攻击倾向逐渐转至移动设备，移动设备沦陷后很容易成为黑客入侵渗透企业内网的跳板。 Ø全面考虑安全事件：越狱ROOT事件、设备丢失事件、员工离职事件、用户异常登录事件、未安装指定应用事件、违规安装应用事件等。 Ø移动设备丢失造成数据泄密：每年约有7000万部手机丢失，其中60%含敏感信息，涉及移动办公的设备一旦丢失则可能沦为黑客攻击企业网络的利器。 Ø提前设置预案：对于常发生的安全事件，可提前预定义好相应的处理预案。事件发生时，系统就会按照预案自动进行处理，提高事件处理效率。 Ø移动应用合规性较差：工信部发布的问题APP中，存在大量截图、窃听、偷录、偷传设备信息、夹带恶意程序等问题，多款软件上黑榜。 Ø数据隔离：通过安全沙箱隔离个人/企业数据，允许合法的身份/设备/应用接入内网，远程擦除不可控设备数据，保障数据的传输、存储、访问安全。 2.5 对客移动APP：京东优惠券漏洞薅羊毛事件 事件：2020年1月7日，京东一张200元的优惠券使用规则设置出现错误，部分低价小家电也可以使用，消费者用几块钱将大量200元左右的小家电一扫而空。其中，仅一款烤箱就被下单24万次，到手价仅6元，一夜之间被撸实际商品总额达到7000万元。 移动 APP 风险分析 移动 APP 防护手段 Ø营销资金损失：用户群体庞大，遭遇一定数量恶意用户“薅羊毛”的情况不可避免，造成优惠券、积分被恶意领取，增大营销成本，带来经济损失。 Ø管控：在APP需求设计阶段介入，通过安全基线进行安全设计和安全开发。 Ø检测：通过渗透测试、源码审计、漏扫和合规检测等手段，分析其业务功能逻辑设计是否合理，避免被黑灰产薅羊毛；分析其安全漏洞，避免被利用造成数据泄露；分析其用户权限使用情况，避免应用不合规。 Ø业务逻辑漏洞：App一旦出现安全漏洞，会造成免费加油、木马植入等安全风险，不仅给企业带来严重的经济损失，还损坏企业名誉。 Ø用户隐私泄露：系统用户量庞大，一旦信息泄露，会造成客户账号被冒用，用户名密码沦为撞库数据等间接影响，给客户和企业造成经济损失，给企业声誉造成严重影响。 Ø加固：对APP进行代码混淆、安全加壳，防止程序被反编译、被动态调试。 Ø监测：实时识别和分析APP运行阶段的安全威胁，如：模拟器、位置欺诈、设备信息造假、敏感配置、框架软件、风险程序等。 2.6 lOT终端：通过摄像头获取监控数据事件 事件：2021年3月10日，一群黑客表示，他们已经入侵了硅谷监控创业公司Verkada收集的海量监控摄像头数据，能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄像头的实时录像情况。监控视频被曝光的企业包括特斯拉、Cloudflare。此外，黑客还能够看到女子卫生诊所、精神病院以及Verkada本身办公室内部的视频。其中一个视频拍摄自特斯拉上海仓库内部，能够看到装配线上的工人。黑客称，他们能够访问特斯拉工厂和仓库内的222个摄像头。 移动终端 风险分析 移动终端 防护手段 Ø终端本体漏洞：硬件层、操作系统层、固件层存在重大漏洞。 Ø探查：对IoT资产进行探查并进行安全管理，以IP地址为监测目标，通过比对前后两次扫描结果，自动做资产变更监测。Ø检测：对物联网设备及智能硬件进行渗透测试，包括物理安全、固件安全、OS安全、数据安全和接口安全等；识别和分析物联网设备固件安全。Ø加固：为物联网应用提供源代码深度混淆、固件防逆向、程序逻辑防破解等多重保护手段，保护物联网应用程序安全，防止破解和攻击。Ø监测：实现智能终端资产状态管理、安全威胁发现。 Ø在线终端易受攻击：越狱或Roo