7月23日,由是德科技主办的“迎接安全、互联的5G新时代”(Enbracing a secure and connected 5G era)主题研讨会在深圳如期举行。会议主要内容涵盖5G行业发展趋势、相关政策动向的解读、各类新技术测试方案展示等。北京智游网安科技有限公司(爱加密)受邀出席,爱加密CTO程智力发表了《5G环境下安全合规治理体系建设思考》主题演讲。
7月5日,工业和信息化部等十部门以工信部联通信〔2021〕77号发布通知,公布了《5G应用“扬帆”行动计划(2021-2023年)》。5G应用“扬帆”行动计划指出5G融合应用是促进经济社会数字化、网络化、智能化转型的重要引擎,到2023年5G个人用户普及率超过40%。到2023年,总体目标我国5G应用发展水平显著提升,综合实力持续增强。打造IT(信息技术)、CT(通信技术)、OT(运营技术)深度融合新生态,实现重点领域5G应用深度和广度双突破,构建技术产业和标准体系双支柱,网络、平台、安全等基础能力进一步提升,5G应用“扬帆远航”的局面逐步形成。
5G环境下的安全风险,从感知层、传输层到应用层及管理层,都可能存在不同的安全风险问题,这对5G承载网络的安全防护提出了更高的要求。由于场景的多样化,已实现以网络为中心到以数据为中心的转变,合规性及个人隐私安全性变得更加重要。因此,5G环境下的安全防护是一个多端的安全生态,包括多态终端安全、网络传输安全、云端系统安全及泛应用安全。
01
5G环境下个人信息监管要求
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
2020年App违法违规收集使用个人信息治理工作启动会在京召开
《移动互联网应用程序(App)系统权限申请使用指南》
《移动互联网应用程序(App)收集使用个人信息自评估指南》
工业和信息化部《关于开展纵深推进App侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
《 GB/T 35273-2020信息安全技术个人信息安全规范》
《移动互联网应用程序(App)收集个人信息基本规范》(征求意见稿)
《App违法违规收集使用个人信息行为认定方法》
工业和信息化部关于开展App侵害用户权益专项整治工作的通知
工信部信管函〔2019〕337号
《App违法违规收集使用个人信息自评估指南》
《 GB/T 35273-2017信息安全技术个人信息安全规范》
《中华人民共和国网络安全法》
02
爱加密5G安全防护体系
通过建设两端一云的安全防护能力,从应用系统和承载环境两方面多维度展开安全加固,从内到外全面加强终端设备防护能力。建设热点风险检测应对能力、威胁态势感知能力和泛应用主动发现能力,及时发现安全风险、应对安全风险。
03
爱加密5G安全合规治理体系
从生态、资产、流程以及响应等方面来进行泛应用的基础信息管理。对泛应用的上线及下架情况、版本升级迭代、功能变化、业务安全等情况进行管理,检查其是否满足国家相关法规,保障其合法合规化发展,并进行持续监督。通过爱加密移动应用备案管理平台,建设资产安全报备管理平台,在平台完成资产部的报备、修改、废止并统一查询展示。
建立泛应用备案管理平台十分重要,一方面,有助于促进泛应用监管产业的稳定发展,提升监管效率;另一方面,可以健全监管机构的管理体制,对泛应用进行自动化监测摸排,减少各类调研、取证、排查等工作,降低运营管理成本。此外,通过泛应用备案管理系统,可以让企业第一时间了解国家监管机构对于泛应用管理的相关政策和监管力度,同时可以强化企业对自身泛应用合规的意识,降低安全风险。
泛应用安全检测、合规检测
通过爱加密泛应用安全检测平台、泛应用合规检测平台、个人隐私检测平台、SDK检测平台,全面检测泛应用中存在的安全漏洞、编码缺陷等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险。
多态终端设备安全加固
针对复杂场景中相关设备固件的安全风险检测,通过对固件的遍历、提取、逆向、分析、组件成分分析、安全漏洞检测、动态检测等相关技术组合,及时发现固件中存在的安全漏洞和风险。从系统内核、系统配置、应用程序等多种维度分析物联网设备的安全性,可以发现设备深层次的安全隐患和漏洞。
泛应用威胁态势感知
对泛应用进行实时数据采集,收集应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,从而帮助企业安全管理人员掌握移动业务的整体安全态势。平台具备泛应用产品安全持续监控能力,能够及时发现各种攻击威胁、环境风险、设备风险等。
泛应用安全加固
采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等,通过领先的第八代All-In VMP加固技术,为用户提供全面的泛应用加固和攻击防范解决方案。
渗透测试
从攻击者角度,发现泛应用客户端及轻应用接口存在的安全隐患,检测对外提供服务的业务系统以及行内重要业务系统的威胁防御能力。深度挖掘渗透测试范围内应用系统各个层面(应用层、网络层、系统层)的安全漏洞,检验当前安全控制措施的有效性,针对发现的安全风险及时进行整改,增强系统自身防御能力,提升安全保障体系的整体健壮性。
文章来自:www.ijiami.cn