面向移动应用服务数据的信息安全保障技术研究及应用示范可行性报告Word格式.docx

1、研究敏感数据安全管理策略，负责管理全网终端的安全策略，对全网终端进行统一配置和策略下发，进行统一的管理能够减少管理配置的负担。2. 面向移动应用服务数据的轻量级安全加密传输技术研究移动应用服务数据安全传输通过轻量级安全传输管道与数据分层/分级安全交换链实现。研究轻量级安全传输技术，包括数据传输通道的加密保护和信令传输通道的加密保护。采用OpenSSL密码引擎实现国密SM2、SM3、SM4算法库，搭建用户颁发与管理数字证书的轻量级CA，采用基于国密SM4的分组密码算法实现数据传输通道加密，采用基于国密SM2的公钥密码算法实现信令传输通道加密。研究移动数据分层/分级交换技术，采用基于进程可信分析策

2、略对数据分级交换安全行为进行分析，通过基于结构特征的交换数据源异常检测技术以及基于代理重签名的交换数据源签名保护技术，实现对交换数据源的提取、传输、存储的分级安全保护。基于进程可信的数据分级交换安全行为分析技术针对数据源可信、进程静态可信、进程动态可信等内容进行研究，确保数据安全交换链运行环境的可信性。基于结构特征的交换数据源异常检测技术是根据交换数据源载体文档结构分析数据源特征，利用决策树算法对给定数据生成训练模型，实现对目标文档中恶意代码的检测。基于代理重签名的交换数据源签名保护技术采用无证书代理重签名方案，实现对自适应选择消息攻击的存在性不可伪造。3. 终端和云端数据安全存储及恢复技术研

3、究移动应用服务数据的安全存储包括终端和云端的数据安全。研究终端的移动应用数据安全，建立多层级的隐私访问控制系统进行监控，从应用层、框架层和内核层三个层面保护敏感数据的安全；在终端存储加密方面，通过外置SD卡的全盘加密保证终端敏感数据的安全；在终端存储数据安全销毁方面，通过抹除加密密钥、数据重写和远程删除等方法保证数据安全销毁。研究云端的移动应用服务数据的安全，云端数据通过对称密钥全盘加密存储，对称密钥通过账号信息动态生成，实现数据分账号分块的加密存储；研究大数据的去隐私化处理技术，从隐私数据中提取索引字段，调用映射关系表，完成去隐私化处理。4. 终端和云端风险量化及安全可视化技术研究移动应用服

4、务数据的应用展示层包括终端敏感信息风险识别与等级保护模型与云端风险量化及可视化技术。对包含敏感信息的海量数据安全可视化，主要通过基于多源日志安全可视化技术实现。采用信息融合技术对多源日志网络安全数据进行统一格式的时间元组和统计元组的提取，将其标准化、过滤、归并及关联，最终以对比堆叠流图和雷达图的形式展示设备遭遇安全事件的整体情况、发生某一类安全事件的设备以及某一特定设备遭受所有安全事件的情形，为风险量化提供基础数据，实现安全事件的分析和响应。通过基于大数据聚类分析的方法，建立一套云端数据访问异常监控及旁路审计的风险量化技术方案。对用户账号、设备、网关、操作行为等数据进行聚类分析、模型训练及迭代

5、调优，实现异常行为实时监控。对所有操作行为进行旁路日志输出和分类审计对账，实现账号实时告警。移动终端敏感信息风险识别与等级保护测评模型主要基于等级保护体系的敏感信息风险量化评估技术，计算移动终端敏感信息的风险值，完成敏感信息的风险量化与评估。（三）创新点1. 面向移动应用敏感信息的敏捷深度学习技术采用上下文特征与物体特征的融合技术，建立包含上下文特征及物体特征的识别模型，分别提取特征后进行融合。2. 基于映射编码的敏感信息去隐私化处理技术采用映射编码机制，从数据源中获取隐私数据，提取索引字段，调用去隐私化映射关系表；根据去隐私化映射关系表中的映射规则，将索引字段映射为去隐私化映射关系表中的映射

6、编码，完成对隐私数据的去隐私化处理。3. 基于大数据聚类分析双重实时监控的风险量化技术深入剖析用户的行为特征，以账号、设备和网关等维度的数据建立用户数据模型，以接入层、业务层和数据层等维度的数据建立用户操作行为模型，形成具有风险发现、安全防护和持续监控等功能的风险量化系统。风险量化系统通过大量的模型训练和迭代调优，能够发现用户的异常行为并实时拒绝，规避存在潜在的安全风险。4. 大数据应用环境下的移动终端敏感信息安全风险评估与等级保护测评模型采用基于等级保护体系的敏感信息安全风险评估方法，依据敏感信息的典型特征建立新的分级保护要求，利用层次分析法建立基于等级保护要求的风险评估量化模型，并给出具体

7、的风险计算与关联分析方法，在降低人为主观因素的前提下计算移动终端敏感信息的风险值，完成敏感信息的风险量化与评估。（四）组织方式本项目基于申报单位的技术和服务基础，结合参与单位的技术支持，通过签订项目合作协议的形式，共同组成技术研发团队完成项目实施。项目任务分工方案见表1-1。表 1-1 项目任务分工方案单位研究实施内容申报单位（1） 负责XXXX；（2） 负责XXXX的研究；（3） 负责XXXX；（4） 负责完成技术成果的应用试点；（5） 负责编制相关标准和规范。参与单位（1） 参与相关技术研究；（2） 协助完成技术成果的应用试点；（3） 参与编制相关标准和规范。（五）研究团队构成由申报单位和

8、参与单位共同组成的项目组，共有成员80人，其中60人为技术人员，具有高级职称的10人，博士8人，硕士47人，安全技术专家8人，质量控制技术专家5人，10人负责项目管理，10人负责应用试点。项目组成员融合了本行业相关的技术、管理等领域的专业人才，为项目的顺利完成提供了强有力的保证。（六）计划进度安排本项目的建设时间为2017年7月至2019年6月，具体的工作进度详见表1-2。表 12项目实施进度计划时间进度工作内容（七）经费预算合理性评估1. 采购设备清单表 13 采购设备清单（金额单位：万元）序号仪器设备名称数量（台套）单价金额负责管理单位合计2. 人员费用预算评估在研究过程中，需要支付项目团

9、队人员工资。项目预计投入100人月，每人月均8000元；外聘工作人员投入20人月，每月5000元，合计90万元。3. 调研计划支出预算在研究过程中，需要进行业务调研、项目协调、学术交流、专家咨询等。技术和业务骨干7人，每人进行15次业务调研、项目协调和学术交流，每次产生差旅费和会议费4000元；技术骨干4人，每人进行2次国际交流，每次产生差旅费和会议费2.5万元；组织25人规模的专家咨询会议4次，每次产生费用2.2万元，所有调研计划支出合计70.8万元。（八）项目实施绩效1. 技术成果指标本项目在两年的项目实施期内预期完成以下技术研究工作： 完成移动数据敏感信息智能识别与管理、终端和云端的安全

10、存储保护及恢复、移动应用服务数据高效安全传输、数据分层/分级交换安全保护等技术研究报告4份； 建立面向移动应用服务数据的信息安全风险资源库1套； 研发面向移动应用服务数据的信息安全示范应用原型系统1套； 编制面向移动应用服务数据的信息安全保障技术相关标准（草案）1项以上； 编制面向移动应用服务数据的信息安全评测指标体系和评测规范1项以上； 申请核心技术发明专利5项和软件著作权2项； 发表高水平论文2篇。2. 预计的经济效益面向不低于XX家企业用户进行技术服务试点，预计项目结束时共新增产值XXX万元，累计新增利税XX万元。3. 预计的社会效益 通过本项目的研究，将能够为广大个人用户提供多层次的移

11、动数据信息安全保障服务，有效抑制移动数据全生命周期的安全风险，增强用户信心；预计项目实施期结束，终端用户数量达到100万以上，能够实现一定规模推广。 通过本项目的研究，将形成移动数据敏感信息识别与管理、轻量级数据安全传输交换、安全存储及恢复、风险量化及安全可视化应用等安全防护能力，为企业提供服务，保护开发者、移动运营商和用户的权益； 本项目的研究成果将能够为移动应用服务数据建立较全面的安全防护体系，为相关行业标准规范的制定提供支撑，推动行业产品质量提升，促进行业健康、快速、稳定发展； 基于本项目的研究成果，将按月度、季度、年度公开发布移动数据安全报告，为政府监管机构提供依据，有助于保障大数据信

12、息安全。二、项目风险评估（限1000字）（一） 政策风险国务院关于印发促进大数据发展行动纲要的通知明确指出，大数据是国家基础性战略资源，是经济社会发展的重要基础。广东省促进大数据发展行动计划（20162020年）也提出需要大力推进大数据的发展与应用，把大数据信息安全作为重点发展方向。本项目通过研究面向移动应用服务数据的敏感信息识别与管理、轻量级安全加密传输、数据分层/分级安全交换、安全存储保护及恢复、风险量化及安全可视化应用技术，并将其规范化和标准化，为移动数据的信息安全提供保障。本项目发展方向符合国家的产业政策，产业政策的支持为本项目的稳定发展提供了良好的外部环境，不存在政策风险。（二） 技

13、术风险本项目申报单位和参与单位在大数据质量测评与验证、移动应用软件安全测评、安全加固等方面已经具备一定的技术积累，在手段方面拥有自主知识产权的核心技术和工具，在人才方面拥有一批博士、硕士等高素质研发人员，在管理方面有成熟的实验室管理和研发体系。在本项目的技术研发方面，将内外结合、综合多种意见慎重决策，先做好可行性分析，提出风险防范措施。实行科学的技术开发和服务模式，通过申请专利保护相关知识产权，确保在行业中的技术领先优势。综合上述因素，本项目不存在技术风险。（三） 市场风险随着移动互联网应用的功能日益强大，移动智能终端逐渐成为个人信息中心，面向移动应用服务数据的安全性越来越得到行业的关注，保障

14、移动数据的质量已成为相关行业市场需求的热点。面向移动应用服务数据的信息安全保障技术研究是目前国内国际学术界和工业界在移动终端和信息安全方面研究的热门领域，具有重要的学术价值和应用价值。从目前相关研究进展来看，该技术正日益得到政府、各大研究机构和运营商的重视，将成为行业主管部门、企业开发商用来保证移动应用软件安全的重要技术手段，具有良好的市场价值和广阔的应用前景。因此，本项目在市场方面不存在重大风险。（四） 资金风险在项目的资金保障方面，项目申报单位和参与单位近年来经营情况较好，产值年年攀升，都已承诺为本项目配套足额的自筹资金，专款专用，且制定了比较完善的资金筹措措施，确保本项目资金准时、准额到

15、位。因此，本项目实施资金风险较小。三、前期工作基础（限1000字）（一）现有研发条件1. 申报单位现有研发条件申报单位是工业和信息化部直属事业单位，经过60多年的努力，已发展成为国家重点工程质量与可靠性技术研究和保障专业机构，是权威的国家级的国际认可的认证检测机构，业务能力从元器件到设备到大系统、从硬件到软件的产品检测评价、试验分析、认证、计量、环境试验、信息服务、技术培训、设备和专用软件研发等，具有全国唯一的国家嵌入式软件产品质量监督检验中心。申报单位总部占地面积20万平方米，拥有各类试验设备、分析测试和计量仪器 7228台（套），固定资产达到12.43亿元。现有职工2800余人，其中双聘院

16、士5名，研究员30名，高工200多人，工程师400多人，总装备部专家2人，工信部专家6人，质量认证审核员主考官2名，历年来享受政府津贴专家26人，广东省信息安全等级保护专家2人，广东省保密技术专家2人。获国家级和部级成果奖50多项。2. 参与单位现有研发条件参与单位多年来在大数据、云计算等信息安全方面做了大量研究，拥有该领域内151项软件著作权，149项专利申请，授权21项，同时拥有生产、研发场地25703平方米，成立了广东省网络安全应急工程技术研究中心、省级企业技术中心和蓝盾信息安全企业研究院等研发机构，已研发出蓝盾防火墙、多功能安全网关（UTM）、账号集中管理、安全审计、入侵检测、漏洞扫描

17、等8大系列100多种型号的产品，具有强大的生产、研发能力。公司的生产、研发设备总值41188万元，资产总额达到225666万元。这为本项目的顺利开展提供了坚实的研发基础。（二）已有的研究基础和成果1. 申报单位取得的阶段性研究成果申报单位近年来承担了国家发改委信息安全专项、新一代国家科技重大专项、工信部电子发展基金等课题的研究工作。通过自主创新，形成了具有自主知识产权、技术先进、功能完备的移动互联网质量公共服务平台，在海量移动应用智能爬网和云化安全检测、IPv6协议及应用安全测试、无线通信协议安全分析、手机游戏软件测评认证等领域形成独具特色的技术创新，在HTML5安全性测试、移动应用安全取证、

18、4G通信协议安全测评等前沿领域开展预研工作，取得了丰硕的技术成果。以上述成果为依托，申报单位形成了雄厚的移动应用测评服务能力，取得了良好的社会效益和经济效益，已完成的典型测试案例包括：1）作为四家检测机构之一，参加2014 年国家工信部、公安部和工商总局三部局发起的“打击治理移动互联网恶意程序专项行动”，开展“移动应用程序集中抽测工作”，完成了境内四分之一的应用商城抽测；2）2014 年央视3.15 晚会曝光的“大唐神器”恶意App 测试；3）“新一代宽带无线通信网”国家科技重大专项系列课题验收测试；4）“中国移动MM 商城应用测试”等移动应用质量测评服务项目。；2. 参与单位取得的阶段性研究

19、成果参与单位的无线安全产品覆盖三大主流手机操作系统，用户数超过4亿，获得西海岸实验室Checkmark移动安全认证，并通过了国家计算机反病毒应急处理中心的检测。参与单位提出的终端安全架构计划（MTAA）能够提供多平台系统层面的高权限解决方案、云到端的解决方案，具有杀病毒、防骚扰、保隐私、网络防御的四大防御体系和产业化优势。（三）与项目相关的知识产权情况（所有单位）申报单位和参与单位与项目相关的专利获取、论文发表、软件著作权登记情况如表 3-1、表 3-2、表 3-3 所示。表3-1. 申报单位和参与单位取得的与项目相关的知识产权情况专利名称申请/专利号进度类型1智能移动终端恶意软件的检测方法与

20、装置201410462352.9受理发明2面向移动智能终端IPv6协议及其应用的安全测试系统201310754158.33数据处理和系统201610952262.74数据转发方法和系统201410621032.3表3-2. 申报单位和参与单位与项目相关的论文发表情况论文名称发表期刊/会议发表时间The Research of Security Reinforcement of Android Applications2015第四届机器人与机电工程国际会议2015.12A Key Management Scheme based on Cluster Grouping Structure forM

21、obile NetworksInternational Forum on Management, Education and Information Technology Application （IFMEITA 2016）2016.1Application and Design for Security Middleware in Mobile Internet2014 2nd International Conference on Computer Applications and Information Sciences2014.8An Identity Authentication S

22、cheme based on Dynamic Password TechnologyApplied Mechanics and Materials2013.95一种用于移动互联网通信安全的无线VPN改进模型研究电子产品可靠性与环境试验2011.96智能移动终端软件的质量测评技术现状分析7The Research on Mobile IPv6 Security Features2013 IEEE Symposium on Wireless Technology & Applications （ISWTA 2013）8Security Analysis for IPv6 Neighbor Disc

23、overy ProtocolIMSNA 20132013.129Research on the Key Technology of Security Detection of Computer BIOS2014.910Design and Implementation of Flow Mobility based on D-PMIPv62014 The 13th International Symposium on Pervasive System, Algorithms, and Networks2014.12表3-3. 申报单位和参与单位与项目相关的软件著作权登记情况软件名称登记号支持加壳

24、应用的安全检测软件V1.02017SR042071iSure Checkit移动互联网应用检测软件V1.0.02014SR216455智能移动终端恶意软件检测系统V1.02014SR088048移动智能终端IPv4/IPv6安全协议评测工具软件V1.02013SR128683嵌入式软件安全性检测平台软件V1.02010SR033181智能移动终端性能测试工具V1.02013SR163060智能移动终端游戏软件测试工具软件V1.32013SR128681（四）近三年直接获得国家、省、市科技部门资助的相关项目情况表3-2. 申报单位和参与单位获得国家、省、市科技计划等支持情况项目编号年度项目名称起止时间级别支持金额（万元）进展发改办高技20121424号2012移动智能终端安全检测与咨询服务2012.1-国家级800完成2012ZX03002012-004移动智能终端安全评估技术研究2014.66092011ZX03005-0012011信息汇聚传感器网络综合测试与验证评估环境4118粤科规财字201582号2015移动互联网应用程序安全检测与加固技术研究2015.9-2017.8省级300实施阶段工信部财函2