海云安：深度解读移动应用服务器安全防护方案

时间 2019-11-25

原文原文链接

近些年，随着移动智能化网络应用的不断发展延伸，移动智能终端开始逐步代替了传统pc工具，据相关权威组织预测，2017年移动终端的数量将会达到100亿，其中移动智能手机的数量将会达到28亿左右，由此引起的移动终端安全问题近些年也随之越演越烈，网络信息安全的主阵地也开始从PC领域逐步过渡到了目前的移动安全领域。前端

有需求才有发展，随着消费者对移动互联网依赖日深，众多企业也纷纷进军移动互联网+，借助移动应用技术将自身的诸多业务服务搬到了“掌上营业厅”，经过APP来开展系列业务，在新的安全需求的刺激下不少安全厂商也所以推出了多种移动终端的安全防御解决方案。算法

一时间，针对移动终端应用安全的加固方案、加密方案，防破解方案等获得了快速发展的契机，并迅速造成了成熟的体系方案，移动终端应用的安全问题获得了有效解决。可是，处于后端的移动应用服务器的安全防护却存在着安全缺口！后端

目前移动服务器的安全防护技术仍存在空白安全

可是移动业务系统并不是仅由移动终端组成，还由数据处理的大脑—移动APP服务器、及数据通讯链路也就是咱们常说的通讯网络这两项组成。前端的移动终端、中间的通讯网络、后端的移动应用服务器这三者组成了一个完整的移动业务系统。目前大多数安全厂商大都是针对移动终端设备及应用自己的安全性进行防御，如环境清场技术、加固技术、防逆向技术等等，却每每忽略了对移动APP服务器端的有效防御。服务器

因为系统构成及业务场景的不一样，移动应用的服务器面临的安全问题区别于传统的WEB服务器，常见的风险威胁以下：网络

二者有什么区别呢？目前移动APP服务器的安全每每是沿用传统的Web应用防火墙(WAF)或是入侵防御设备(IPS)来防御，可是缺乏了对前端移动终端安全及通信网络安全的联动防御，只单纯提供传统的服务器安全功能，没法完全有效的对整个移动业务系统进行安全防护。架构

目前移动终端面临的威胁以下：运维

主要是围绕APP的破解劫持等行为产生的一系列风险威胁，如界面劫持、反编译，内存注入等等。工具

而目前移动业务安全威胁则主要有盗取资产、利用虚假身份榨取资源、利用业务漏洞盗刷、经过“剪羊毛”以及使用外挂工具等手段进行欺诈行为等也广泛存在。性能

填补市场空白：海云安推出国内首套移动应用防火墙系统（iMAF）

针对这一需求痛点，海云安凭借在移动信息安全技术领域的多年技术创新积累，结合实际的安全需求，推出了国内首套智能移动应用服务器防火墙产品—iMAF，iMAF产品在传统防火墙产品的基础上，结合目前移动业务系统的总体安全防御需求，增长了对移动终端、通信网络的安全防御，并实现了一体化联动防护，能够有效保障整个移动业务系统的安全运行！

移动应用防火墙iMAF如何实现一体化防护？

一、“端管云”一体化的安全防护

iMAF系统方案中包含了三大致系的防御思路，分别是用于用于保障客户端安全的可信基SDK、用于网络通讯加密安全的的云安链及用于服务器防御的云安盾。

针对传统的防火墙产品防御单一的现状，海云安iMAF系统有效增长了对移动客户端的保护，实现了防破解调试、防被代理、防模拟器、防界面劫持、重打包检测、非法外联监测等效果，再加上对网络通讯数据的加密保护及针对后端服务器板块的深度防御，三位一体，协同防护，有效提高了对羊毛党、业务欺诈、敏感业务信息泄漏等系列业务风险的应对能力，实现了对整个移动场景下业务系统的深度防御，保障了相关业务的顺利有序开展。

移动应用客户端SDK：海云安经过可信基SDK工具实现了移动业务系统先后端的联控防护，并有效的针对移动端应用进行了加固保护，并可及时监控到前端移动端应用的攻击、破解威胁及性能故障等问题。

通讯网络安全：经过云安链的私有加密算法可有效对通讯数据进行加密保护，防止数据抓包等攻击行为，保障数据传输的安全可靠。

服务器端安全防护：海云安云安盾产品相比于传统WAF防火墙，在原有的防SQL注入、跨站攻击、Cookie注入等功能基础上如增长了诸多贴合移动系统需求的防户功能，如防剪羊毛、防欺诈等业务安全功能，还经过联动功能增长了针对客户端的性能监测服务，如崩溃监测、交互监测、网络请求监测、错误监测、ANR监测等。

二、高度便捷的集成特性

使用iMAF系统能够一站式的实现很是便捷的系统集成效果，好比经过集成APP端SDK，实现一键SDK集成方案，并附带完善开发文档，支持安卓、iOS端。对于通讯网络加密能够实现自动链路加密，无需额外配置，便可拥有高强度的一次一密Token加密方案。

后端自动防御：自动防御多种后端架构的WEB程序，无需修改代码便可轻松实现高安全性的WEB防御。

三、安全风险+运行性能的实时监控支持

iMAF 系统提供了完善的恶意攻击行为及运行性能的实时情况监控功能，准确的记录遭受攻击的信息，覆盖移动客户端及服务器端。随时随地让信息安全人员了解客户端应用程序及服务器的安全情况，了解运行性能情况，经过分析有助于及时预警并定位安全攻击行为，发现攻击漏洞等，便于针对性地制定相应的安全策略或反馈给开发人员对相应安全漏洞进行修改。

iMAF还可经过图表的方式展现防护统计信息，提供运维人员或管理者网站安全及业务情况。

结语：

iMAF的出现切合了目前移动业务系统在各行各业快速应用所带来的安全需求，符合当下的移动安全发展趋势，做为信息安全的细分领域，很好的填补了移动安全市场的技术空白，目前一些很是依赖移动APP系统的行业领域，好比：移动金融、政府移动政务、移动医疗，大型企业的移动OA等，是iMAF产品的核心需求客户，在有效保护了核心数据安全、业务安全的同时，还能够大大减小在安全运维方面的人力及资源的投入，一体化实现整个移动业务系统的安全防护。

相信将来随着对移动业务安全需求的进一步提高，以iMAF为表明的移动服务器安全防护产品将会成为移动安全领域的主流趋势，毕竟在移动互联网的“淘金时代”，如何保障移动业务的安全开展才是整个企业安全策略中的重中之重！