移动应用APP全生命周期安全管理思路阐述

王飞

摘要：本文真对移动应用APP面临的安全问题进行分析，并且提出全生命周期安全管理的对策，促进移动应用APP稳定发展，满足人们的使用需求。由于移动互联网的迅速普及和发展，移动终端的方便性，移动应用APP逐渐融入日常办公和业务系统中，其数量不断增加。移动应用APP和移动办公在提高办公效率、改善办公流动性、加强与人的沟通等方面都取得了巨大的进步。

关键词：移动应用APP;全生命周期;安全管理

一、移动应用APP面临的安全问题

《“十三五”国家政务信息化工程建设规划》中明确规定，“十三五”期间，基本实现对各类专用网络的整合和迁移，与移动信息安全保障能力得到加强，协调各级部门共同治理。随着移动互联网的快速发展，智能手机不断普及，5G技术商用的推进，移动应用APP已经成为一种普遍趋势。由于网络环境的进一步开放，传统的网络边界逐渐消失，不同类型的终端和网络相互连接，移动接入问题带来了更多的安全风险，成为制约移动应用APP发展的主要因素，比如信息泄露、恶意篡改、恶意攻击、安全事件追踪等重大安全问题，给移动应用APP管理带来全新挑战。

二、移动应用APP全生命周期安全防护解决方案

针对移动应用APP业务发展面临的安全挑战，分析了众多客户对电子移动应用的安全需求，提出了一套完整的生命周期安全保护解决方案。以PPDR安全框架为基础，从预测、保护、发现、响应等方面覆盖了移动应用APP的整个生命周期，全面提升了移动应用APP的安全防护功能。

（一）移动应用APP安全开发管控

移动应用APP通过开放网络访问内部网络，大量信息通过互联网传输，因此，APP的安全是首要问题。通过对目前主流APP安全问题的统计分析，发现90%以上的APP安全问题发生在APP开发过程中。如何有效地防止APP开发过程中出现的安全问题，并尽快解决安全问题就成了移动应用APP的当务之急。基于STRIDE威胁建模方法，根据丰富的APP安全经验，构建了针对移动应用APP的安全基线知识库，在开发过程的不同阶段，根据APP软件开发的一系列安全措施，确保生命周期（SDLC）中不同角色的人员平稳工作协作，并将安全工具有序集成到开发过程的不同阶段，实现流程指导自动化和工作协作制度化，透明度将有效提高移动应用APP的研发效率和安全质量。

（二）盗版应用监测及下架

随着APP的发展，越来越多的部门通过移动应用APP提供公共服务，猖獗的盗版、伪造APP严重影响了用户体验和安全。知识产权和部门的诚信问题也会受到影响。但由于国内APP市场的分割，很难有效地实施APP的监控，使得APP的盗版、伪造等行为难以清除，给运营商带来了极大的麻烦。提供APP增强服务，可以有效地防止APP的版权侵权。移动应用APP开发完成后需要进行严格的测试，对APP客户端、信息传输层和服务器端进行全方位的安全能力检测，检测内容包括客户端安全检测、业务流程检测、敏感数据泄露检测、数据通信安全检测、服务端渗透安全检测。如图1所示：

（三）公共服务类外发SDK安全管控

在SDK外包服务安全管理和控制的背景下，公共服务电子政务（如社会保障、税收、公积金基金）已经从SDK外包的商业模式中发展出来。虽然这一模式促进了电子政务的商业发展，但也存在着诸如SDK反向分析、动态调试或注入攻击、SDK业务逻辑漏洞等安全风险。SDK发布前，必须对其本身进行安全保护和测试。

（四）应用发布前的安全检查

APP发布前的安全检查是我国当前移动应用APP全生命周期管理中的一个重要环节，相关部门必须十分重视移动应用APP面临的安全威胁。在推出移动电子APP之前，必须进行有效的安全检查。提供安全检测服务，包括个人隐私检测、等级保护2.0合规检测、移动应用APP安全漏洞检测、移动应用APP移动安全检测等。

（五）运营维护阶段的安全检查

移动应用APP正式发布后，将持续监控各个APP市场，全面了解移动应用APP的安全状态和运营状态，有效应对各种潜在风险。图2显示了通道监控的流程。

移动应用APP应用的智能更新采用了最新的安全提取技术。有效地防止了APP二次封装现象，充分保障了APP发布的安全性。用于更新包的预加载技术用于绕过更新流量，实现了APP客户端的分布式下载。对于较小的迭代、较少资源文件更新的大版本迭代以及较大的迭代，支持增量更新、完整更新和安装更新方法，对用户是完全透明的，不需要弹出窗口和提示，因此改善了用户体验。

结束语：

通过对移动应用APP生命周期中如何进行安全管理的研究，详细分析了移动应用APP设计、开发、测试、启动、运行和维护等阶段所采取的安全措施。这种方法有效地避免了传统更新中的不及时更新、更新时间不可控以及软件包大规模更新等问题，有效地降低了成本。经实际APP验证，可有效保护移动应用APP应用程序，为移动APP全生命周期的安全管理提供了有价值的参考。

参考文献：

[1]孙侃. 移动应用APP全生命周期安全管理[J]. 现代电视技术， 2018， 207（09）：139-142.

[2]殷铭，李琳. 移動应用全生命周期管理平台的研究与实践[J]. 电信科学， 2020， v.36（12）：151-158.