幾維安全等保2.0要點解析及落地實施技術攻略

2018年6月27日，公安部正式發佈《網絡安全等級保護條例（徵求意見稿）》，標誌着《網絡安全法》所確立的網絡安全等級保護制度有了具體的實施依據與有力抓手，標誌着等級保護正式邁入2.0時代。2018年12月28日，全國信息安全標準化技術委員會歸口的《信息安全技術 網絡安全等級保護測評過程指南》等27項國家標準正式發佈，爲等保對象進行網絡安全等級保護的落地實施進行了細化指引。

爲助力等保2.0落地實施，幾維安全以等保安全要求及國家相關標準文件爲指導，結合公司對行業安全需求和相關安全加固技術產品的研究，進行安全加固實施策略設計，旨在助推國家安全要求落地、助力行業企業安全環境構建。

等保2.0要點解析   

等保2.0針對共性安全保護需求提出安全通用要求，並針對移動互聯、雲計算、物聯網和工業控制等新技術、新應用領域的個性安全保護需求提出安全擴展要求。

2018年1月19日，全國信息安全標準化技術委員會發布了《信息安全技術網絡安全等級保護定級指南2.0(徵求意見稿)》(如下稱「指南」)，爲等保的具體適用提供了指引，並細化明確網絡安全等級保護制度定級對象範圍具體包括基礎信息網絡、工業控制系統、雲計算平臺、物聯網、使用移動互聯技術的網絡、其餘網絡以及大數據等多個系統平臺。

等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其餘組織的合法權益的危害程度等，由低到高被劃分爲五個安全保護等級。 

在肯定定級對象時，基礎信息網絡、工業控制系統、雲計算平臺、物聯網、 採用移動互聯技術的網絡和大數據需知足三個基本特徵：

（1）具備肯定的主要安全責任主體;

（2）承載相對獨立的業務應用;

（3）包含相互關聯的多個資源。且在此基本特徵的基礎上，還要遵循各自不一樣要求，如： 

物聯網：物聯網主要包括感知、網絡傳輸和處理應用等特徵要素，應將以上要素做爲一個總體對象定級，各要素不單獨定級。

移動互聯網：採用移動互聯技術的網絡主要包括移動終端、 移動應用、無線網絡等特徵要素，應與相關有線網絡業務系統做爲一個總體對象定級。

根據要求和指南內容分析，等保2.0安全要求涵蓋了多行業多系統和多個關鍵節點，是以總體安全保障爲目標，以「縱深防護、分層防禦」爲整體策略貫穿始終的體系，細化到具體行業有定級指導意見的可結合參考相關行業定級指南，如金融行業可參考《中國人民銀行關於銀行業金融機構信息系統安全等級保護定級的指導意見》（銀髮〔2012〕163 號）。

幾維安全助力等保2.0落地實施總體思路     

等級保護2.0沿用了等保1.0的五個規定動做：定級、備案、建設整改、等級測評和監督檢查，並擴展到風險評估、安全檢測、通報預警、安全事件處置、漏洞風險管理等方面，將其歸入到等級保護的範圍以內。而等級保護的實施是一個體系化工做，以「縱深防護、分層防禦」爲整體策略貫穿始終。

經過對等保要求具體內容進行細化分析可發現，移動互聯、雲計算、物聯網和工業控制等新技術、新應用領域均涉及基於移動終端的移動安全，並對其訪問控制、身份鑑別、入侵防範、惡意代碼防範等有明確的安全要求，本文以移動互聯網安全爲例進行等保安全要求分析及移動安全加固方案設計。

基於等保要求要點解析和行業應用共性、個性特徵分析，幾維安全從評測、加固、監測、響應全流程進行總體解決方案設計，以公司特有的安全加密技術和產品體系爲落地，經過雲端、web端、API接口、本地部署、離線工具和Xcode插件等多樣化交付/部署模式，和多渠道技術服務實現線上線下聯動全方位支撐。旨在助力企業實現等保落地和全方位安全保障。

經過閉環體系構建，將實現協助企業進行事前移動安全多維度檢測和評估，發現風險點進行對應安全加固，在事中進行安全監測和響應，並在過後提供審計、後評估等爲優化提高提供支撐，造成有效安全保障和可持續安全環境。

從技術保障角度，幾維安全從移動開發底層技術路線出發，以公司特有的代碼指令混淆技術，和全架構商用代碼虛擬化技術爲基礎的全平臺全架構產品體系、技術方案爲支撐根據不一樣等級安全要求進行安全加固，以第三級測評要求爲例：

一、針對網絡和通訊安全要求中無線通訊完整性和保密性要求

安全要求：應採用密碼技術保證無線通訊過程當中數據的完整性；應採用密碼技術保證無線通訊過程當中敏感信息字段或整個報文的保密性。

保障方案：經過部署白盒密鑰保護產品進行傳輸數據安全保障。密鑰白盒SDK代碼採用公司獨有的KiwiVM代碼虛擬化技術進行安全保護，支持Android、iOS、IoT等三個平臺的本地數據加密存儲、通訊鏈路數據加密等功能。 

二、針對設備和計算安全要求中資源控制要求

安全要求：應將移動終端處理訪問不一樣等級等級保護對象的運行環境進行系統級隔離；應將移動終端處理訪問等級保護對象的運行環境與非處理訪問等級保護對象運行環境進行系統級隔離；應限制用戶或進程對移動終端系統資源的最大使用限度，防止移動終端被提權。

保障方案：經過部署防護性SDK產品對資源進行檢測。安全防護SDK可部署在Android和iOS客戶端，主要針對環境ROOT、惡意進程、進程注入、HOOK攻擊、內存篡改、模擬器運行等風險行爲進行動態防護保護，並將異常行爲返回給調用層，並可採起自定義的處理方式，如當即退出。

三、應用和數據安全要求中針對數據完整性要求

安全要求：移動應用軟件應採用密碼技術保證通訊過程當中數據的完整性；移動應用軟件應採用校驗技術或密碼技術保證重要數據存儲時的完整性，並在檢測到完整性錯誤時採起必要的恢復措施。

保障方案：經過代碼加密類產品進行終端應用加固。幾維安全自主研發基於Clang編譯器擴展的VM虛擬機編譯器, 在編譯時直接對指定的函數［代碼］實施虛擬化處理。憑藉自定義CPU指令的特性，具備代碼不可解密，加密過程不可逆等技術特色，可實如今通訊、支付、算法、核心技術等模塊深度加密，避免因逆向破解問題形成的經濟損失。   

 

幾維安全移動安全加固核心技術及主要方案 

幾維安全經過多年研究，開發出基於LLVM編譯器的全平臺全架構的KiwiVM虛擬化防禦方案，其技術主要是自定義虛擬CPU,代碼加密不可逆的特性能有效避免攻擊者經過DUMP內存還原原始代碼。

KiwiVM虛擬化編譯器經過設計虛擬CPU解釋器以及虛擬IR指令，將原始CPU指令進行加密轉換處理爲只能由KiwiVM虛擬解釋器解釋執行的虛擬指令，可以徹底隱藏函數代碼邏輯，以及函數及變量之間的依賴關係。

    

以代碼虛擬化爲基礎，幾維安全目前能夠提供全平臺終端（Android、iOS、IoT、Linux、MacOS、Windows）防禦能力。

（1）Android 平臺

針對 Android 平臺，可採用Dex 類方法抽取加固、Dex-Java2C 靜態代碼加密、SO 加殼、C/C++代碼混淆、C/C++代碼輕量虛擬化、C/C++代碼虛擬化、防護型 SDK，能夠從靜態加密到動態防禦作一個全方位的安全加固。

（2）iOS 平臺

針對 iOS 平臺，可採用 C/C++/ObjC 代碼混淆、C/C++/ObjC 代碼輕量虛擬化、C/C++/ObjC 代碼虛擬化三種不一樣強度的代碼加密方案。

（3）IoT 平臺

針對 IoT 平臺，可採用 SO 加殼、C/C++代碼混淆、C/C++代碼輕量虛擬化、C/C++代碼虛擬化等方案，針對不一樣嵌入式環境對尺寸、性能、內存消耗的不一樣要求，可經過量身定製的安全方案實現。

同時，以上平臺的代碼加密產品可配合防護型 SDK、白盒祕鑰等技術實現諸如數據加密存儲、通信鏈路加密等業務場景的保護需求。針對 Unity、Cocos 等遊戲開發引擎，也可經過對應的保護機制如 C#代碼保護、Lua 代碼保護實現安全加固。

   幾維安全等保2.0落地實施具體實施策略    

在具體實施過程當中，幾維安全以評測、加固、監測、響應ERMR閉環安全防禦爲整體思路，以公司特有的全平臺全架構產品爲基礎構建基於全流程安全保障的產品體系，經過線上線下多渠道部署協助構建總體安全體系，實現移動安全的有效保障。

幾維安全主要產品及服務體系

一、移動應用安全評測

結合國家等保安全要求，首先對保護對象進行多維度移動應用安全評測。幾維安全經過安全檢測、滲透測試、源代碼審計三個維度實現事前和過後相關評測工做，爲安全加固、優化提高提供有力支撐。具體包括：

（1）移動應用安全檢測

基於國家、行業相關安全標準，經過靜態和動態兩個維度進行評估，包括程序自身安全檢測、防代碼逆向保護監測、防動態攻擊保護檢測、本地數據安全檢測、通訊數據安全檢測、身份認證安全檢測、內部數據安全檢測、惡意攻擊漏洞掃描等8項功能，共覆蓋80餘項風險點，應用場景包括APP安全規範審查 、APP發佈風險評估、外包應用驗收評估、應用加固效果評估等。

具體評估方式和評估依據見下圖。

（2）移動應用滲透測試

移動應用自動化+人工滲透測試是一項基於移動應用程序的完整生命週期進行全方位的安全檢測服務，主要用於檢驗移動應用系統和業務邏輯的脆弱性和有效性。從逆向破解的角度出發多方面對移動應用的代碼、數據、密鑰、業務邏輯、系統環境等內容進行靜、動態的人工分析，以獲取應用安裝卸載過程、用戶數據輸入、存儲處理、網絡傳輸以及所處系統環境等方面的安全隱患。報告將針對分析過程當中使用的滲透工具、滲透步驟、問題代碼位置、潛在風險以及問題解決方案均進行詳細的描述。應用場景主要包括電商交易支付環節檢測、互聯網金融安全測試、IoT物聯網安全測試、移動應用發佈評估等。

（3）移動應用源代碼審計

移動應用源代碼審計是一項以發現程序錯誤，安全漏洞和違反程序規範爲目標的源代碼分析服務。經過自動化工具+人工審查的方式，對程序源代碼逐條進行檢查和分析，挖掘系統源代碼中存在的安全漏洞、性能缺陷、編碼規範等問題，並提供代碼修訂措施和建議。

審計依據CVE、OWASP、BISMM、SANS等公共漏洞庫和字典，以及結合自我積累的源代碼審計資源和自動化工具對各類語言編寫的源代碼進行，應用場景主要包括金融應用安全評估、移動手遊安全評估、政企應用安全評估、軍工應用安全評估等。

二、移動應用安全加固

（1）安卓應用加固

對安卓應用的APK文件進行多重加密防禦，支持Java2C源碼保護 

（2）SO源碼混淆保護

基於SO源代碼進行安全編譯，集成代碼混淆、塊調度和字符串加密等功能

（3）iOS源碼混淆保護

基於iOS項目源代碼進行安全編譯，集成代碼混淆、塊調度和字符串加密等功能；

（4）源碼虛擬化保護

KiwiVM終端代碼虛擬化技術，支持C、C++、Objective-C代碼加密保護；

（5）數據加密SDK

基於源碼虛擬化保護和白盒加密技術首創的安全密鑰白盒，提供密鑰、數據、文件等加密功能； 

（6）安全防護SDK

對客戶端異常狀況進行實時監測，提升App主動防護能力；

（7）H5代碼混淆

對JavaScript代碼進行混淆加密保護，防止核心代碼邏輯被惡意分析。

1）代碼混淆：對Javascript代碼中的函數進行混淆保護，增長代碼分析難度；

2）字符串加密：對代碼中的字符串進行加密保護，隱藏敏感數據，增長代碼分析難度；

3）代碼壓縮：對加密後的代碼進行高強度的壓縮，減少文件大小，提升網絡傳輸速度；

     結  語      

等保2.0既是國家安所有署要求，也是市場發展客戶安全保障的剛需，也是企業品牌樹立、可持續發展的重要保障。等保2.0的落地實施是一個涉及到多環節、體系化的工做，幾維安全將以國家等保系列標準要求爲指導，以不一樣行業不一樣企業特徵爲基礎，以助力企業等保落地、安全環境構建爲宗旨，砥礪前行。