隨著移動互聯網不斷發展，App（移動端應用程序）成為人們日常生活中不可或缺的數字工具。據工信部最新公布的《2022年1-5月份互聯網和相關服務業運行情況》顯示，截至5月末，我國國內市場上監測到的App數量為232萬款，第三方應用商店在架應用累計下載量達21543億次。App市場近年來一直欣欣向榮，但由于違規成本低等原因，許多企業極度輕視用戶數據安全保護工作，導致用戶個人信息泄露事件不斷發生。近期，“某網課軟件數據庫疑似泄露”的消息就將App數據安全再度推向大眾視野。

數據安全體系是一個非常復雜的工程，從宏觀來講，涉及一個公司管理、應用、網絡、系統、物理環境等方方面面。數據安全體系的建立更是一個日積月累，不斷完善的過程，如若前期輕易削減安全投入，則會在用戶量上升和數據量膨脹的后期引發難以想象的額外成本支出。綜合考慮成本與效率，任何企業機構都需要在前期建立一個完備的數據安全體系框架，事半功倍地為數據安全建設鋪平道路。

從微觀來講，App作為當前環境下最重要的數據門戶之一，設計之初就應該圍繞數據全生命周期進行數據安全方面的設計。以下就以App安全為例，淺談一下數據安全體系建設。

數據安全體系的前端，在設計用戶元數據時應將帳號安全納入考量，例如采集數據時避免使用用戶信息如手機號作為唯一用戶標識。在目前實名認證的監管趨勢下，絕大多數App需要使用手機號進行注冊認證，其作為最便捷最通用的用戶標識，已成為關聯個人帳號池的樞紐，設置非通用唯一用戶標識可以有效屏蔽與真實用戶信息的關系鏈；同時App端數據采集過程中應做好數據標簽、數據分級工作，并在后臺對用戶的操作行為形成記錄日志；另外應保障數據采集過程的安全性，例如在輸入敏感數據時使用安全鍵盤，在敏感業務界面添加劫持風險提示，對自身進程進行調試注入檢查防止惡意進程劫持，都可以有效避免在采集源頭數據被篡改。

數據采集完成后，App會通過公共網絡將數據傳輸至服務端，其過程將會面臨更大的攻擊面。為此開發者首先應盡可能保證全站HTTPS，使用安全的協議和加密套件，保障數據流量以加密形式傳輸；對于敏感數據如賬號密碼應再通過自定義加密增強其保密性，同時建議App端在輸入時即時加密，減少內存中明文數據的留存時間，在傳輸至后臺存儲的全鏈路中盡可能縮小解密窗口期。為保障通信雙方合法性，在條件允許下建立客戶端與服務端的SSL雙向認證。而業務處理應以默認不信任客戶端為出發點，合理設計各業務接口權限，并且確保從客戶端請求接口到實際數據取出接口全鏈路逐級鑒權，避免出現虎頭蛇尾的鑒權模型。

數據存儲時期，除了來自用戶側的攻擊，來自服務側的安全威脅也不容忽視。內部應建立數據安全管理制度，不同類別不同等級的數據也應設置不同的數據安全策略；內部平臺系統之間，內外部平臺系統之間，對于權限控制和數據解密窗口期也需要合理控制，防止越過控制措施訪問到明文數據，對已標記的敏感數據進行監控跟蹤，形成敏感數據生命周期完整日志記錄，以實現對敏感數據操作的追溯審計。

數據安全的后期，對于數據銷毀，依照數據分類分級建立數據銷毀策略、管理制度和審批機制，設置銷毀相關監督角色，監督操作過程，并對審批和銷毀過程進行記錄控制。

數字化轉型過程中，企業對建設自身數據安全能力的需求愈加迫切，其中不免遇到風險問題和技術難點，應當委托專業、正規的第三方安全機構開展數據安全能力測評、認證工作。

中國金融認證中心（CFCA）是經國家信息安全管理機構批準成立的權威電子認證機構，現已發展成為以網絡安全綜合服務為核心的科技企業。CFCA是國內最早一批完成WebTrust國際標準審計的機構，已實現微軟、Mozilla、谷歌、蘋果等主流根證書庫全入根，并且是目前中國內地唯一獲得LEI驗證代理資格的電子認證機構。

CFCA可提供包括App安全檢測、App安全認證、滲透測試、安全鍵盤、安全加固、SSL證書、數據安全咨詢、個人信息保護咨詢、電子認證等包括合規、評估、咨詢等服務，為企業排除各類數據安全隱患，筑牢企業數字安全防線。

責任編輯：韓希宇