APP安全项目解决方案说明书.docx

APP安全项目解决方案说明书XX科技股份有限公司编制F1.<ft一、项目存在问题及需斛决何趣31 .存在问他32 .拓解决问SS31 .解决方案架构62 .关城技术7*、ti1.1.1.1 .数据生产102 .数据采集/消费103 .数据分析114 .数据屣示12一、项目存在问题及需解决问题1 .存在问题智能移动终端的普及，不仅推动了移动互联网的迅猛发展，同时也将移动APP带进了全民欢宴的时代。从2016年6月国家网信办发布施行的移动互联网应用程序信息服务管理规定来看，国内移动应用数量已达到400多万，而且还在快速增长，APP安全问题也日益突出。2 .需解决问题（1）应用商店众多，良莠不齐，缺乏统一监管移动互联网时代，移动APP成为互联网的入口和实际载体。目前,国内安卓应用市场超过300家，iOS应用市场超过10家。但由于不同应用市场对应用的安全审计能力不足，且审核规范不统一，绝大多数应用市场的APP审核力度较为宽松，导致大部分应用商店内都充斥着恶意应用和山寨应用，用户的隙私和网络资产面临威胁。（2）开发者身份认证缺失开发者通过应用市场上传APP。但是，目前很多应用市场对开发者身份的认证并不严格，导致难以区分上传应用的开发者是普通开发者还是黑客，并且在发现危险应用时也难以定位到开发者身份，无法保证APP的源头可追溯。（3）缺乏上线审查，恶意及违规APP泛滥目前，大部分应用市场并没有能力对开发者上传的APP逐个进行较完备的上线前安全审查，包括一些主流的应用市场，对APP的安全审查也只局限在应用表层，对隐.藏稍深的恶意/违规行为无法及时发现。黑客便以此为突破口，利用应用市场这个传播渠道，大建传播恶意应用，窃取用户隐私和网络财产。除危害用户隐私和网络财产的恶意APP外，影音娱乐、社交通信类的APP也成为涉黄、涉赌、涉恐、涉暴等违规内容传播的温床，违规内容大肆在APP中传播。如果任由不良信息散布，污染网民视听，将会逐渐引起不良风气导向，扭曲网民价值观，甚至威胁整个舆论阵地，以上种种给移动互联网健康发展带来了严重的不良影响。(4) APP自身安全状况堪忧除恶意及违规APP的威胁外，APPt1.身的安全性较差也是导致移动应用安全问题的重要原因之一。仅2016年第三季度，根据通付盾APP监测平台显示(见图1-1),就发现534800个高危应用，高危漏洞占比17.85%,低危漏洞占比52.54%,可见APP安全漏洞问题的严峻。图1.1.面对日益复杂的全球信息安全形势和国内移动互联网安全现状，移动APP监管部门亟须制定方法策略，对全网应用进行实时安全监测，通付盾APP监测平台应运而生。二、解决方案1.解决方案架构系统开发平台使用Hadoop大数据开发平台。Hadoop是一个高度可扩展的存储平台，可以存储和分发横跨数百个并行操作的廉价的服务器数据集群。能扩展到处理大量的数据，能提供成百上千TB的数据节点上运行的应用程序。HadooP能够有效的在几分钟内处理TB级的数据。相比关系型数据库管理系统更具有优势。它适用于任何规模的非结构化数据持续增长的企业，将帮助用户持续提高用户体脸。系统采用面向对象的软件设计方法，把整个系统看作是多个离散对象的组合。系统设计时，首先把业务流程分解成功能模块及其业务实体对象，然后根据业务流程分析对于这些业务实体对象的操作方法，形成业务处理对象，最后把各个功能模块关联起来，形成系统。软件设计是一个将需求转变为软件的过程，系统通过逐步求精使得设计陈述逐渐接近于源代码。系统程序采用MVC的设计思想，将展现逻辑、控制逐辑、业务处理逻辑分离。系统采用参数化的设计思想，定义和管理系统的实体及配置，调整实体以适应外部变化。系统采用J2EE技术保证程序逻辑实现的平台无关性，并便于安装部署。系统采用AJAX技术，提高客户操作的交互性，保证实际使用的易用性。系统采用echarts可视化框架实现数据展示。2.关键技术(1) HadoopHadoop是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下，开发分布式程序。充分利用集群的威力进行高速运算和存储。(2) SpringMVCSPringMVC:属于SpringFrameWork的后续产品，已经融合在SpringWebF1.ow里面。Spring框架提供了构建Web应用程序的全功能MVC模块。(3) MyBatiSMYBatis:是支持普通SQ1.查询，存储过程和高级映射的优秀持久层框架。MyBatis消除了几乎所有的JDBC代码和参数的手工设置以及结果集的检索。MyBatiS使用简单的XM1.或注解用于配置和原始映射，将接口和JaVa的PoJOS(P1.ainO1.dJavaObjeCtS,普通的JaVa对象)映射成数据库中的记录。(4) EchartsECharts是一款基于Javascript的数据可视化图表库，提供直观，生动，可交互，可个性化定制的数据可视化图表。(5) MySQ1.MySQ1.是一个关系型数据库管理系统，由瑞典MySQ1.AB公司开发，属于OraCIe旗下产品。MySQ1.是最流行的关系型数据库管理系统之一，在WEB应用方面，MySQI,是最好的RDBMS(Re1.ationa1.DatabaseManagementSystem,关系数据库管理系统)应用软件之一。MySQ1.是一种关系型数据库管理系统，关系数据库将数据保存在不同的表中，而不是将所有数据放在一个大仓库内，这样就增加了速度并提高了灵活性。MySQ1.所使用的SQ1.语言是用于访问数据库的最常用标准化语言。MySQ1.软件采用了双授权政策，分为社区版和商业版，由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，一般中小型网站的开发都选择MySQ1.作为网站数据库。(6) Hivehive是基于Hadoop构建的一套数据仓库分析系统，它提供了丰富的SQ1.查询方式来分析存储在Hadoop分布式文件系统中的数据：可以将结构化的数据文件映射为一张数据库表，并提供完整的SQ1.查询功能；可以将SQ1.语句转换为MapReduce任务运行，通过自己的SQ1.查询分析需要的内容，这套SQ1.简称HiveSQ1.,使不熟悉mapreduce的用户可以很方便地利用SQ1.语言查询、汇总和分析数据。而mapreduce开发人员可以把自己写的mapper和reducer作为插件来支持hive做更复杂的数据分析。它与关系型数据库的SQ1.略有不同，但支持了绝大多数的语句如DD1.、DM1.以及常见的聚合函数、连接查询、条件查询。它还提供了一系列的：具进行数据提取转化加载，用来存储、查询和分析存储在HadooP中的大规模数据集，并支持UDF(User-DefinedEunction),UDAF(User-DefnesAggregateEunction)和UDTF(User-DefinedTab1.e-GeneratingFunction),也可以实现对map和reduce函数的定制，为数据操作提供了良好的伸缩性和可扩展性。(7) HBASEHBase-HadoopDatabase,是一个高可靠性、高性能、面向列、可伸缩的分布式存储系统，利用HBaSe技术可在廉价PCServer上搭建起大规模结构化存储集群。(8) ZookeeperZooKeeper是一个分布式的，开放源码的分布式应用程序协调服务，是GOOgIe的ChUbby一个开源的实现，是HadOOP和HbaSe的重要组件。它是一个为分布式应用提供一致性服务的软件，提供的功能包括：配置维护、域名服务、分布式同步、组服务等。(9) F1.umeFIUme是CIoUdera提供的一个高可用的，高可靠的，分布式的海量日志采集、聚合和传输的系统，F1.ume支持在日志系统中定制各类数据发送方，用于收集数据：同时，F1.ume提供对数据进行简单处理，并写到各种数据接受方（可定制）的能力。三、开发范围1 .数据生产对于该模块的业务，即数据生产过程，一般并不会让你来进行操作，数据生产是一套完整且严密的体系，这样可以保证数据的安全性。但是如果涉及到项目的一体化方案的设计（数据的产生、存储、分析、展示），则必须清楚每一个环节是如何处理的，包括其中每个环境可能隐藏的问题；数据结构，数据内容可能出现的问题。2 .数据采集/消费数据采集模块（消费），在企业中你要清楚流式数据采集框架f1.ume和kafka的定位是什么。我们在此需要将实时数据通过f1.ume采集到kafka然后供给给hbase消费。f1.ume：C1.OUdera公司研发适合下游数据消费者不多的情况；适合数据安全性要求不高的操作：适合与Hadoop生态图对接的操作。kafka：Iinkedin公司研发适合数据下游消费众多的情况；适合数据安全性要求较高的操作（支持rep1.ication）；因此我们常用的一种模型是：线上数据一>f1.ume>kafka>f1.ume（根据情景增明该流程）一>HDFS线上数据一>f1.ume>kafka>Sparkstreaming实时流式处理消费存储模块流程图：3 .数据分析我们的数据已经完整的采集到了HBaSe集群中，这次我们需要对采集到的数据进行分析，统计出我们想要的结果。注意，在分析的过程中，我们不一定会采取一个业务指标对应一个mapreduce-job的方式，如果情景允许，我们会采取一个mapreduce分析多个业务指标的方式来进行任务。分析模块流程图:4 .数据展示数据展示模块流程图: