首页> 安全资讯 > 《数据安全法(草案)》出炉,移动应用数据安全将从哪些方面着手?

《数据安全法(草案)》出炉,移动应用数据安全将从哪些方面着手?

发布时间:2020-07-10

7月2日,《数据安全法(草案)》全文已新鲜出炉。《草案》不仅对数据活动,数据安全等概念进行了明确的定义,还对违法开展数据行为的企业和个人,将承担的法律责任进行了阐述。《草案》共分七章,依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。

 

第四十二条开展数据活动的组织、个人不履行本法第二十五条、第二十七条、第二十八条、第二十九条规定的数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《草案》将数据定义为任何以电子或者非电子形式对信息的记录。数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。国家坚持维护数据安全和促进数据开发利用并重, 以数据开发利用和产业发展促进数据安全, 以数据安全保障数据开发利用和产业发展。

 

因此,在未来的一段时间之内,数据安全将成为网络安全中的重中之重。随着智能终端的不断普及,在应用数量和App应用种类不断扩大的同时,各类移动应用安全问题也不断涌现。而移动应用的数据安全则是保障个人信息安全,避免经济损失的根本保障。

 

爱加密专注于移动应用安全,借助人工智能和机器学习技术,通过对垂直领域安全大数据的分析,将安全大数据赋能技术,把原有的安全检测、加固、态势感知、安全渗透评估服务和安全风险管理平台,增强扩展到物联网和工业互联网的泛在应用平台中,构建了数据驱动的自主学习自助进化的安全防护生态体系。

 

我们深刻的认识到,各类移动应用安全问题的不断涌现,例如安装包逆向反编译、恶意代码注入、应用盗版、界面劫持、短信劫持等,将会直接导致不同程度的损失和危害。因此,在不断革新技术的同时,也在不断的克服技术难点,从而为行业客户提供更好的安全服务。

 

通过对移动应用数据安全进行了一定深入的研究,爱加密认为可从移动应用本地数据安全保护、移动应用云端数据安全保护两大方面来实现,从而为信息安全的建设提供坚强的支撑。

 

01移动应用本地数据安全保护

移动应用本地数据保护是移动应用安全技术中的一部分,本地数据保护对象应包括sharepreference数据,本地SQLite数据,本地file文件,密钥等重要关键数据、附件等内容。对需要加密的数据和文件采用高强度的加密算法进行加密,APK运行时需要操作加密对象时进行解密。保证本地数据在终端存放时保持密文状态,防止黑客通过读取手机存储内容直接获取到用户隐私信息,避免重要信息泄露风险。

 

02移动应用云端数据安全保护

移动应用云端数据安全包括保存在服务端(移动应用后端)的数据以及App终端和服务端之间传输的数据安全。服务端的数据安全通常是由传统安全防护技术保护,涉及的技术包括服务器安全基线配置,网络安全设备,漏洞扫描,渗透测试等。App端和服务器之间传输的数据存在被截获后查看及篡改内容的风险。

 

为了防止此风险,研究传输中数据的安全保护技术。一方面采用高强度的加密算法,另一方面将加密算法和其密钥进行整体融合性的高强度保护,以相对更安全的方式保护自己的密钥。根据不同的使用场景研究出不同的算法模式,常规模式适用于有行业标准要求的或者明确需要标准AES和SM2(国密2)算法的场景。一次一密模式适用于对数据安全性要求更高的,或者希望密文是随机的场景。单向模式适用于在某一端不希望相互加解密的场景。

 

数据安全不仅是国家网络战略中的一部分,也是未来爱加密专注移动应用安全研究的方向和规划。移动应用数据安全保护的技术和创新,是推动整个行业前进的基石,也是爱加密为企业客户提供更加专业优质安全服务的动力。

 

安全不止步,爱加密更专业。爱加密将通过全数据管理与运营业务的发展,形成数据指导公司产品发展路线的正向循环,使得公司产品能够在新行业、新机遇下快速整合匹配市场需求,形成持续发展的技术服务能力。同时,将围绕移动应用上下游产业链逐步扩展安全业务范围,从安全技术服务提供商向安全管理与核心数据运营服务商进行转变。让移动安全数据保护技术助力更多机构、企业和用户。

 

加入收藏