（文章來源：北國網(wǎng)）
? ? ? ?隨著新一輪信息技術的發(fā)展，移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、下一代通信技術、物聯(lián)網(wǎng)等新技術應用不斷深入，在加劇傳統(tǒng)行業(yè)變革的同時，也帶來了新的網(wǎng)絡安全需求。面對網(wǎng)絡安全新形勢，企業(yè)不僅要嚴防精心策劃的外部攻擊，還要防范來自企業(yè)內(nèi)部威脅，數(shù)據(jù)及信息安全已成為企業(yè)戰(zhàn)略中的關鍵部分，是企業(yè)全局發(fā)展的重要基石。

在此背景下，以中小銀行為代表的金融機構及企業(yè)的數(shù)據(jù)安全和個人信息安全防護面臨三大挑戰(zhàn)：數(shù)據(jù)安全治理、隱私權限安全，以及軟件安全開發(fā)。

如何解決呢?大數(shù)據(jù)處理技術可以很好的解決這個問題。通付盾最新一代數(shù)據(jù)源管理平臺，基于大數(shù)據(jù)處理技術，為銀行等金融企業(yè)客戶提供多數(shù)據(jù)源融合、并符合數(shù)據(jù)隱私保護標準的統(tǒng)一數(shù)據(jù)源管理;平臺建立統(tǒng)一的數(shù)據(jù)輸入輸出標準，幫助客戶提升數(shù)據(jù)融合、數(shù)據(jù)管理及數(shù)據(jù)應用能力，例如接口一站式接入、在線測試、實時監(jiān)控、智慧任務、數(shù)據(jù)路由器等。

在數(shù)據(jù)源管理平臺基礎上，企業(yè)結合自身強有力的組織架構，完善的管理制度及工作流程支撐，規(guī)范數(shù)據(jù)管理各項工作的開展，從而發(fā)現(xiàn)、充實、集成和管理數(shù)據(jù)的整個生命周期，提升企業(yè)風險管理能力及精細化管理要求。

面對APP越權問題,我們認為，當前監(jiān)管部門的整頓難點在于舉證過程。例如，有媒體報道，某款大眾化APP被懷疑存在竊聽用戶信息的行為，用戶在通話記錄中提到“牙痛”這個詞，該APP就給用戶推送牙痛相關廣告，用戶即便發(fā)現(xiàn)這一問題并進行舉報，接下來也要面臨十分困難的舉證過程，它要求用戶將APP的敏感權限調用情況，無論是靜態(tài)或動態(tài)情況下，按照標準給出證據(jù)。

目前，移動應用合規(guī)檢查產(chǎn)品中的權限檢測技術可以解決這類問題，權限檢測技術專門針對APP/SDK使用全過程的權限進行檢測，該技術基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運行態(tài)沙盒為核心的動態(tài)檢測引擎，旨在快速、準確地檢測APP/SDK中存在的敏感權限調用。

目前通付盾權限檢測系統(tǒng)能夠基于全局權限申請調用進行檢測;基于應用啟動權限申請進行檢測;基于應用運行過程權限進行檢測;基于應用靜默運行權限進行監(jiān)測，提供支持判定結果的檢測依據(jù)，包括運行中截圖及抓包數(shù)據(jù)文件等，全面掌握應用及第三方SDK權限調用情況，解決用戶舉證難題。

Web應用安全測試技術經(jīng)過多年發(fā)展取得巨大進步，目前業(yè)界公認最前沿的技術為“IAST”，交互式應用安全測試技術，被Gartner公司列為信息安全領域的Top10技術之一?！癐AST”技術融合了SAST和DAST技術的優(yōu)點，漏洞檢出率極高、誤報率極低，同時可以定位到API接口和代碼片段，整個過程無需安全專家介入，無需額外安全測試時間投入，不會對現(xiàn)有開發(fā)流程造成任何影響，符合敏捷開發(fā)和DevOps模式下軟件產(chǎn)品快速迭代、快速交付的要求。

目前通付盾已經(jīng)開發(fā)出基于“IAST”技術的IAST代碼審查系統(tǒng)，該系統(tǒng)主要由三部分組成：核心檢測能力，平臺基礎功能和外部集成接口。其中核心檢測能力基于交互式應用安全檢測技術實現(xiàn)，包括服務端和檢測探針;平臺基礎功能則提供了各類豐富的操作功能，包括組織結構配置、權限分配、安全弱點檢測管理、統(tǒng)計分析等;外部集成接口為平臺與其他研發(fā)過程中的系統(tǒng)對接預留接口。

通付盾IAST代碼審查系統(tǒng)分為服務端和檢測端兩類，采用B/S的架構部署，服務端部署在內(nèi)網(wǎng)服務器上，其內(nèi)置了關系數(shù)據(jù)庫、NoSQL數(shù)據(jù)庫及異步消息隊列服務;檢測端Agent直接植入到被測試應用微服務Docker容器中，對開發(fā)和測試人員無感知。