（文章來(lái)源：北國(guó)網(wǎng)）
? ? ? ?隨著新一輪信息技術(shù)的發(fā)展，移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、下一代通信技術(shù)、物聯(lián)網(wǎng)等新技術(shù)應(yīng)用不斷深入，在加劇傳統(tǒng)行業(yè)變革的同時(shí)，也帶來(lái)了新的網(wǎng)絡(luò)安全需求。面對(duì)網(wǎng)絡(luò)安全新形勢(shì)，企業(yè)不僅要嚴(yán)防精心策劃的外部攻擊，還要防范來(lái)自企業(yè)內(nèi)部威脅，數(shù)據(jù)及信息安全已成為企業(yè)戰(zhàn)略中的關(guān)鍵部分，是企業(yè)全局發(fā)展的重要基石。

在此背景下，以中小銀行為代表的金融機(jī)構(gòu)及企業(yè)的數(shù)據(jù)安全和個(gè)人信息安全防護(hù)面臨三大挑戰(zhàn)：數(shù)據(jù)安全治理、隱私權(quán)限安全，以及軟件安全開(kāi)發(fā)。

如何解決呢?大數(shù)據(jù)處理技術(shù)可以很好的解決這個(gè)問(wèn)題。通付盾最新一代數(shù)據(jù)源管理平臺(tái)，基于大數(shù)據(jù)處理技術(shù)，為銀行等金融企業(yè)客戶提供多數(shù)據(jù)源融合、并符合數(shù)據(jù)隱私保護(hù)標(biāo)準(zhǔn)的統(tǒng)一數(shù)據(jù)源管理;平臺(tái)建立統(tǒng)一的數(shù)據(jù)輸入輸出標(biāo)準(zhǔn)，幫助客戶提升數(shù)據(jù)融合、數(shù)據(jù)管理及數(shù)據(jù)應(yīng)用能力，例如接口一站式接入、在線測(cè)試、實(shí)時(shí)監(jiān)控、智慧任務(wù)、數(shù)據(jù)路由器等。

在數(shù)據(jù)源管理平臺(tái)基礎(chǔ)上，企業(yè)結(jié)合自身強(qiáng)有力的組織架構(gòu)，完善的管理制度及工作流程支撐，規(guī)范數(shù)據(jù)管理各項(xiàng)工作的開(kāi)展，從而發(fā)現(xiàn)、充實(shí)、集成和管理數(shù)據(jù)的整個(gè)生命周期，提升企業(yè)風(fēng)險(xiǎn)管理能力及精細(xì)化管理要求。

面對(duì)APP越權(quán)問(wèn)題,我們認(rèn)為，當(dāng)前監(jiān)管部門(mén)的整頓難點(diǎn)在于舉證過(guò)程。例如，有媒體報(bào)道，某款大眾化APP被懷疑存在竊聽(tīng)用戶信息的行為，用戶在通話記錄中提到“牙痛”這個(gè)詞，該APP就給用戶推送牙痛相關(guān)廣告，用戶即便發(fā)現(xiàn)這一問(wèn)題并進(jìn)行舉報(bào)，接下來(lái)也要面臨十分困難的舉證過(guò)程，它要求用戶將APP的敏感權(quán)限調(diào)用情況，無(wú)論是靜態(tài)或動(dòng)態(tài)情況下，按照標(biāo)準(zhǔn)給出證據(jù)。

目前，移動(dòng)應(yīng)用合規(guī)檢查產(chǎn)品中的權(quán)限檢測(cè)技術(shù)可以解決這類問(wèn)題，權(quán)限檢測(cè)技術(shù)專門(mén)針對(duì)APP/SDK使用全過(guò)程的權(quán)限進(jìn)行檢測(cè)，該技術(shù)基于以符號(hào)執(zhí)行為核心的靜態(tài)分析引擎和以運(yùn)行態(tài)沙盒為核心的動(dòng)態(tài)檢測(cè)引擎，旨在快速、準(zhǔn)確地檢測(cè)APP/SDK中存在的敏感權(quán)限調(diào)用。

目前通付盾權(quán)限檢測(cè)系統(tǒng)能夠基于全局權(quán)限申請(qǐng)調(diào)用進(jìn)行檢測(cè);基于應(yīng)用啟動(dòng)權(quán)限申請(qǐng)進(jìn)行檢測(cè);基于應(yīng)用運(yùn)行過(guò)程權(quán)限進(jìn)行檢測(cè);基于應(yīng)用靜默運(yùn)行權(quán)限進(jìn)行監(jiān)測(cè)，提供支持判定結(jié)果的檢測(cè)依據(jù)，包括運(yùn)行中截圖及抓包數(shù)據(jù)文件等，全面掌握應(yīng)用及第三方SDK權(quán)限調(diào)用情況，解決用戶舉證難題。

Web應(yīng)用安全測(cè)試技術(shù)經(jīng)過(guò)多年發(fā)展取得巨大進(jìn)步，目前業(yè)界公認(rèn)最前沿的技術(shù)為“IAST”，交互式應(yīng)用安全測(cè)試技術(shù)，被Gartner公司列為信息安全領(lǐng)域的Top10技術(shù)之一。“IAST”技術(shù)融合了SAST和DAST技術(shù)的優(yōu)點(diǎn)，漏洞檢出率極高、誤報(bào)率極低，同時(shí)可以定位到API接口和代碼片段，整個(gè)過(guò)程無(wú)需安全專家介入，無(wú)需額外安全測(cè)試時(shí)間投入，不會(huì)對(duì)現(xiàn)有開(kāi)發(fā)流程造成任何影響，符合敏捷開(kāi)發(fā)和DevOps模式下軟件產(chǎn)品快速迭代、快速交付的要求。

目前通付盾已經(jīng)開(kāi)發(fā)出基于“IAST”技術(shù)的IAST代碼審查系統(tǒng)，該系統(tǒng)主要由三部分組成：核心檢測(cè)能力，平臺(tái)基礎(chǔ)功能和外部集成接口。其中核心檢測(cè)能力基于交互式應(yīng)用安全檢測(cè)技術(shù)實(shí)現(xiàn)，包括服務(wù)端和檢測(cè)探針;平臺(tái)基礎(chǔ)功能則提供了各類豐富的操作功能，包括組織結(jié)構(gòu)配置、權(quán)限分配、安全弱點(diǎn)檢測(cè)管理、統(tǒng)計(jì)分析等;外部集成接口為平臺(tái)與其他研發(fā)過(guò)程中的系統(tǒng)對(duì)接預(yù)留接口。

通付盾IAST代碼審查系統(tǒng)分為服務(wù)端和檢測(cè)端兩類，采用B/S的架構(gòu)部署，服務(wù)端部署在內(nèi)網(wǎng)服務(wù)器上，其內(nèi)置了關(guān)系數(shù)據(jù)庫(kù)、NoSQL數(shù)據(jù)庫(kù)及異步消息隊(duì)列服務(wù);檢測(cè)端Agent直接植入到被測(cè)試應(yīng)用微服務(wù)Docker容器中，對(duì)開(kāi)發(fā)和測(cè)試人員無(wú)感知。