6月18日,由中国石油学会石油储运专业委员会举办,中国石油销售分公司、中国石化销售股份有限公司、中海石油炼化有限责任公司协办、北京中油能源石油石化科技中心承办的中国石油石化销售企业智慧营销(视频)交流会如期举行。会议期间,爱加密针对能源行业企业移动合规建设发表了主题演讲。
会议围绕云计算、大数据、人工智能、物联网、5G技术等新一代信息技术与实体经济发展环境下,能源销售企业数字化转型、新技术融合发展的智慧营销等内容进行了线上深度交流。主要内容涵盖能源行业数字化转型、创新与实践;新基建带来的新机遇、新挑战;大数据分析平台的建设与应用;面临的网络安全风险以及应对措施等。
爱加密移动安全研究院副院长魏超发表了主题演讲《石油石化企业移动安全合规建设浅析》。通过对石油石化行业态势、发展战略、移动应用创新形态的深入分析,充分认识石油石化移动App业务场景与安全风险,从而有的放矢的进行安全合规建设,促进石油石化行业营销业务的安全、高效、稳定发展。
无论什么行业,移动应用成为发展数字化业务的承载体,发展速度越快,面临着的安全风险也逐步增高。石油石化移动业务主要场景集中在日常办公、生产经营、计划管理、业务营销等方面,这些移动应用关系着企业发展的质量与速度,因此只有明确移动应用的安全风险所在,才能更好、更准确的进行有效的安全防护。
应用破解造成信息泄露
大量未做防护的应用被黑客破解后通过二次打包将病毒伪装成正常应用,向手机申请大量高危权限,获取用户手机中的隐私信息。
手机病毒集中爆发
手机新增病毒类型以流氓行为、隐私窃取、系统破坏、资费消耗四类为主,其中隐私窃取类病毒占比25.64%,位居第二。
设备劫持与远程监听呈上升趋势
中间人攻击数量将大增,很多新的智能手机用户缺乏必要的安全意识,让自己的设备自动访问不安全的公共WiFi热点,从而成为黑客中间人攻击的牺牲品。
手机DDoS攻击
智能设备、网络设备、服务器设备的爆发增长,扩大了僵尸机范围,引来DDoS攻击爆发增长。
第三方SDK安全带来的系统性传递性风险
第三方SDK可能存在可越权调用未导出组件的漏洞,该漏洞可对使用了SDK的App的任意组件进行恶意调用、任意虚假消息通知、远程代码执行等攻击测试。
个人信息安全合规风险
移动App违规收集个人信息、暗藏有害代码恶意扣费等问题,从而导致用户经济损失。
爱加密石油石化安全合规建设体系,通过建立事前检测感知能力、事中防护响应能力、事后智能监管能力,来实现移动应用的全生命周期智能化安全合规。
「事前」安全检测感知
通过爱加密安全检测平台静态检测、动态检测、内容检测等技术引擎,全面挖掘系统源代码、移动应用、服务器及Web应用中存在的安全漏洞、性能缺陷、编码缺陷等问题,有效避免因安全漏洞导致的安全事故及风险。主要包括移动应用安全检测、移动应用个人信息安全测评、内容检测、动态沙箱检测、源代码审计、兼容性及性能测试。
个人信息安全检测平台可针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度的个人信息安全检测和合规检测,并出具专业的个人信息安全报告。
「事中」安全防护响应
综合采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等,通过领先的第八代All-In VMP加固技术,爱加密移动安全加固平台,可为用户提供全面的移动应用加固和攻击防范解决方案。
「事后」安全监管处置
通过移动应用大数据平台,可对全国范围内的Android、IOS、公众号、小程序、SDK等移动应用进行全量的收集、聚类、清洗、分析,并对移动应用的个人信息、漏洞、盗版、仿冒、恶意、违规等进行详细的安全检测。帮助石油石化企业对管辖范围内的移动应用进行资产的摸排、合规检测、风险监测、违规取证、风险处置、风险跟踪、风险统计等全生命周期的管理。