保护企业数据的七大方法

4、仔细研究应用程序如何存储数据。在开发人员的眼中，当编写移动应用程序的时候，最重要的安全问题就是要考虑应用程序时如何存储数据。Payne说：“在移动设备上存储数据非常不安全。”数据不能随处存储，如果手机丢失或者被盗，其他人也可以获取到存储在移动设备上的数据。Payne建议要对敏感的信用卡号码信息、机密的业务数据和社会保障号码进行加密处理。但是，要知道的是，移动用户会使加密工作变得复杂。当然加密数据同时也必须可以解密。Payne指出，这需要用户注册并输入PIN码才能访问密钥数据。这对于运行在大型计算机上的应用程序来说不是问题。但是有了移动性，你总是不得不考虑移动设备的限制因素。Payne说：“你锁定的安全性越多，可用的移动应用程序就会变得越来越少。在可用性和安全性之间总要进行权衡。”

Payne推荐给开发人员几种较好的方法：将数据存储在随机存取存储器（RAM）上，这样即起到了保护重要，有保证了应用程序的可用性。“但是，例如当应用程序要出现不好的状况时，它会关闭正在执行的任务，确保RAM被清理干净。”他同意也警告过开发人员不要随处存储碰撞数据。碰撞数据是指当发生碰撞时应用程序自动产生的信息。该数据可能包含有助于未经授权的用户获得访问机会的信息。

5、用静态分析和渗透测试来查找安全缺陷。静态分析是指使用源代码分析软件来查找易受攻击者入侵的漏洞代码，例如SQL注入，它是一种恶意攻击软件，可以使应用程序放弃本需要保护的敏感数据。这些漏洞很可能在一些与移动应用程序相连接的较老数据库和遗留系统中发现。Payne说：“在那能发现许多漏洞。”渗透工具也是用来检测安全漏洞的，但是，它们使用的是一种不同的方法。与分析实际代码不同的是，渗透测试模仿工具应用程序的恶意软件，目的是确定这些攻击软件是否会盗取数据。这些测试实验对于所有应用程序来说都非常重要，而不单单是移动应用程序。

6、徘徊在应用程序周围，同时试图破坏应用程序。基于渗透测试和源代码分析，Beaver建议软件测试人员对其正在测试的应用程序进行修补，以此查看应用程序行为方式是否存在风险。最近，他正使用该方法对一个用户的应用程序进行测试。为了管理个人信息而在应用程序中设计一个空间，在此用户可以输入他们的社会保障号码。当Beaver输入一个数字并且点击该数字，令他吃惊的是，社会保障号码就如同一个电话号码一样。“现在应用程序将社会保障号码存储在电话记录中。这是一个很大的安全隐患，我们应该较早的找到这个隐患。”

7、确保知道有谁使用过你的应用程序。许多组织中都会有第三方测试公司使用其应用程序的现象。Lanowitz说当使用这种方法时，最重要的是要清楚地知道是谁使用过你的应用程序。她说：“这就是要站在本公司的角度分析问题。而这些应用程序也并不是市场工具。”开源测试公司经常与“聪明的技师们”一起进行测试实验，该测试过程中就存在安全隐患。“你必须了解谁正在观看企业数据。你也必须对此要格外留心。”