智能软件安全上海道宁为您带来智能软件安全平台——​Veracode，帮助您全面地保护您构建和管理地应用程序

Posted 2023-05-30 51component技术交流

Veracode可以全面地保护您构建和管理地应用程序，在现代软件开发生命周期的每个阶段不断发现并修复缺陷

 

Veracode可以全面地

保护您构建和管理地应用程序

在现代软件

开发生命周期的

每个阶段不断发现并修复缺陷

Veracode通过

建立一种在安全和开发团队之间

架起桥梁并授权

开发人员成为

安全倡导者的积极文化

从一开始就防止常见的安全漏洞

 

 

开发商介绍

Veracode成立于2006年，起初是一个代码扫描工具，现已发展成为一个智能软件安全平台，可以预防、检测和响应漏洞，并为全球数以千计的先进组织管理风险和合规性。

Veracode以客户为中心，近 20 年来，Veracode帮助开发和安全团队每天解决的前五名应用程序安全挑战——保护整个 SDLC、培养开发人员安全能力、保护供应链、管理 Web 应用程序攻击面、安全云开发。

 

 

Veracode 平台

Veracode平台是一个用于管理整个应用程序安全程序的 Web 控制台。

01、无摩擦的开发者体验

我们的平台会见开发人员，他们在先进的 IDE、代码库、CLI 等中工作。安全代码培训和无缝集成可保护您的专有代码、开源代码、Web 应用程序、API 等。

 

02、全面了解安全态势

我们的平台为安全团队提供了整个应用程序堆栈安全态势的整体图景。统一的报告和分析使治理、风险管理和合规性变得容易。

 

03、智能、云原生saas平台

在近二十年的扫描和客户学习的支持下，我们的平台在降低和预防安全风险方面无与伦比。在云中访问我们可为您提供弹性可扩展性、聚合数据，并降低交付安全代码的成本。

 

 

平台能力

01、连续扫描

通过 Veracode静态分析、动态分析、软件组合分析、手动渗透测试等在整个 SDLC 中降低每个开发阶段的风险。

02、无摩擦发展

在一个开放且可扩展的平台中，您的开发人员利用集成到开发环境中的安全性、自动修复指南、安全实验室等上下文学习，快速发现并大规模修复漏洞。

03、全面的 DevSecOps

通过灵活的策略管理、统一的报告和分析以及同行基准测试来简化您的治理、风险和合规流程，以快速降低风险并交付成功的 DevSecOps 计划。

04、满足数据驻留要求

使用我们位于德国法兰克福的 AWS 上的欧洲实例满足您的数据驻留需求，并通过美国联邦政府的新FedRamp 授权满足您的政府安全标准。

05、上下文平台数据

通过将机器学习和人工智能应用于从近 2 年的扫描和客户学习中获得的数据，预测未来具有自我修复能力的漏洞。

06、云原生 SaaS 架构

通过云原生 SaaS 架构提供弹性可扩展性、高性能和更低的成本。您可以专注于您的 DevSecOps 计划，而不是您的基础设施。

 

 

 

解决方案

将安全性集成到 SDLC

脱节的工作流、手动工具和混乱的报告使安全和开发团队难以跟上现代软件开发和不断增加的安全债务的步伐。

01、跨软件组合管理风险

缺乏利用过时测试技术的集成和自动化解决方案会阻碍安全应用程序的交付。

02、开发、安全和运营协调

现有工具难以将团队聚集在一起以在开发过程的早期解决安全问题，并且无法有效地管理整个 SDLC 的安全开发。

03、增加安全债务

使用单独的工具来测试自定义代码和第三方代码会造成数小时的不必要工作，从而导致错误的发现和缺乏有效补救风险的上下文。

 

 

保护软件供应链

如今，每个企业都依赖于并非由其创建的软件。这可以采取开发人员正在使用的开源软件、他们购买的第三方商业软件或外包软件开发资源的形式。虽然这种方法加快了上市速度，但它也向恶意行为者开放了组织的软件供应链。

01、获得对供应链依赖性的完全透明

第三方开发资源治理不善会导致组织面临更大的风险。

02、查找、确定优先级并修复深埋在开源中的问题

组织缺乏对软件开发中使用的开源数量的了解。

03、遵守新出台的政府法规

生成 SBOM 并保持应用程序中依赖项的透明度。

 

 

安全云开发

软件正以更快的速度迁移到云端，这使得跟上复杂的安全和合规环境、技术转变和新出现的风险变得具有挑战性。

01、共同的安全责任

越来越需要开发、安全和运营团队合作，以保护从代码到云再返回到代码的整个云原生堆栈。

02、超越应用程序代码

安全问题不仅仅局限于应用程序，现在还包括操作系统、容器映像和托管基础设施的配置。

03、技术债务洗牌

云原生之旅并不是对现有应用程序架构或开发流程进行简单的“提升和转移”。此举可以将现有债务转移到新环境。

 

 

培养开发人员安全能力

开发人员接受过如何编写和汇编代码的培训，但他们没有接受过安全地执行此操作的培训。缺乏安全培训会在开发团队和安全团队之间造成摩擦，从而难以有效地保护应用程序。

01、挑战获得领域专业知识

开发团队缺少安全编码技能和基本合规知识。

02、调整优先事项以确保发展目标

安全和开发之间缺乏学习和实践软件安全的动机。

03、遗留学习和发展系统

安全培训平台缺乏易于遵循的实践课程来保持安全和开发团队的参与。

 

 

管理Web应用程序攻击面风险

并购、“影子 IT”、数字化转型和远程工作创造了更多的利用机会。通常，安全团队不知道其周边可能对组织构成重大风险的资产。

01、面对并拥抱未知

组织努力保持其 Web 资产的准确清单，从而使未知和暴露的资产容易受到攻击。

02、超越表面

在无法访问整个网站的情况下，未经身份验证或匿名的扫描无法提供攻击面的完整视图。

03、确定风险的优先级并解决风险

IT 和安全团队努力及时确定和处理暴露的易受攻击资产的优先级。

 

 

 

为什么选择Veracode？

对于开发人员

 

花更多时间编写代码，减少修复未损坏的时间。

01、无摩擦的开发者体验

• 将40多个集成到您的IDE、CI/CD等，为开发人员带来安全性

• 快速准确扫描100多种语言和框架

• 在您工作的环境中工作 

02、整治指导

• 高精度扫描——低误报率和漏报率

• 分类和缓解 - 确定需要修复的缺陷的优先级

• 缺陷匹配——节省时间，不必多次修复同一个缺陷

03、交互式开发者教育

• 实时查找、修复和探索安全漏洞

• 无风险地与真正的漏洞交互

• 通过 SOC2、HITRUST 和 PCI 等认证满足培训要求

 

 

对于安全团队

 

无处不在的应用程序安全性

01、灵活的策略管理

• 用于定义综合安全策略视图的单一界面

• 支持OWASP Top 10和PCI等常见策略

• 为政策管理员和开发人员等提供报告和洞察力

02、云原生 SaaS 平台

• 一个为您保持新状态的平台，包括我们漏洞数据库的每日更新 

• 超过 16 年的数据推动了高精度，并允许您与同行进行基准测试

•  当您需要额外的功能时弹性会增加（还记得 log4j 吗？）

03、安全集成到 SDLC

• 统一分析和报告

• 与您所在行业的其他人进行比较

• 了解风险并优先考虑补救指导

 

 

对于开发人员和安全团队

 

连接安全和开发团队以确保采用和合规性

01、上手速度

• 2分钟上手

• 开发人员培训意味着更快的补救和更少的缺陷引入

• SBOM 功能意味着在开发早期更好地控制第 3 方代码 

02、业务目标的一致性

• 开发人员采用：更好地遵守您的政策

• 更快的应用程序交付生命周期

• 授权和提高开发人员的技能

03、安全的企业软件供应链

• 针对漏洞和风险的更好的开源软件补丁管理流程

• 通过第三方（企业和供应商）工作流程管理捕获额外的供应链风险

• 自动拉取请求以帮助修复风险

​

移动智能终端安全防护 笔记

目录

一、移动智能终端概述

移动智能终端的定义

移动智能终端的特点

智能手机平台安全性差异

二、移动智能终端安全威胁

移动智能终端主要安全威胁

1、伪基站攻击

2、二维码扫描

3、移动终端遗失的安全威胁

4、手机病毒

5、恶意扣费软件

三、移动智能终端的安全防护

---

一、移动智能终端概述

移动终端或者叫移动通信终端是指可以在移动中使用的计算机设备，广义的讲包括手机、笔记本、平板电脑、POS机甚至包括车载电脑。但是大部分情况下是指手机或者具有多种应用功能的智能手机以及平板电脑。随着网络和技术朝着越来越宽带化的方向的发展，移动通信产业将走向真正的移动信息时代。另一方面，随着集成电路技术的飞速发展，移动终端的处理能力已经拥有了强大的处理能力，移动终端正在从简单的通话工具变为一个综合信息处理平台。这也给移动终端增加了更加宽广的发展空间。

移动智能终端的定义

移动智能终端(mobile intelligent terminal)即为安装有开放式操作系统，可装载相应的程序来实现相应的功能的设备。

移动设备以智能手机、平板电脑、电子阅览器等为代表

移动智能终端的特点

1. 具备PDA的功能
2. 开放性的0S平台
3. 无线接入互联网
4. 扩展性强，功能强大

智能手机平台安全性差异

目前主要操作系统平台有Android、iPhone、Windows Phone以及Symbian。虽然恶意软件在各个平台都存在，但由于各个平台的安全机制差异甚大，不同厂商的智能终端面临的安全风险截然不同。

Windows Phone平台

Windows Phone 7学习了iPhone的封闭性。应用程序商店MarketpIace是Windows Phone 7移动终端安装应用程序的唯一方式，这将在一定程度上杜绝盗版软件，吸引开发者。

Windows Phone 7的应用程序模型目前主要支持第三方应用在前台执行，不完全支持后台应用，这样能够在一定程度降低系统风险。

从API开发层面来说，WindowsPhone7没有读取通话记录、短信等的API，保护了用户的隐私。另外发短信、打电话也需要用户确认，防止了恶意扣费。

iPhone平台

iPhone从一开始就是完全封闭的，封闭有利有弊，对安全却是有好处的。比如，iPhone缺省没有读取通话记录、短信等的API，这保护了用户的隐私:调用显示用户位置信息的API也会弹出提示信息。另外，iPhone也不允许使用API直接发短信和打电话，都需要用户确认，这样间接减少了恶意订购和恶意话费的风险。

Android平台

Android把决定权交给了用户，由用户决定一个程序是否可以直接发短信。Android要求开发者在使用API时进行申明，这样对一些敏感API的使用在安装时就可以给用户风险提示，由用户确定是否安装。但让用户承担这个决策责任。目前看来风险很大。

Symbian平台

Symbian接口比较开放，只要申请到对应的能力，就可以做对应的事情。通常程序发短信、窃听账户都很容易在Symbian平台实现，无需高能力。

代码签名是Symbian平台的核心所在，不同的签名赋予不同的能力。Symbian系统如果申请到高权限，就具备高能力，具备了设备制造商能力就可以干任何事情。

二、移动智能终端安全威胁

1. 移动智能终端的使用频率非常高，大部分用户都随身携带移动智能终端。智能终端中安装有许多涉及用户隐私数据的应用，很多功能和服务还涉及用户资费。
2. 受经济利益的驱使，许多不法分子大量制造并传播手机木马或恶意扣费软件，诱骗用户安装，在用户不知情的情况下窃取用户财产，收集用户隐私数据。
3. 通过木马和恶意软件，不法分子可以获得的信息包括联系人信息、短信记录、通话录音和地理位置信息等，不仅严重侵犯了用户的个人隐私，甚至窃取商业机密。

移动智能终端主要安全威胁

1. 伪基站攻击
2. 二维码扫描
3. 移动智能终端遗失
4. 手机病毒
5. 恶意扣费软件

1、伪基站攻击

什么是伪基站

“伪基站”即假基站。设备是一种高科技仪器，一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，任意冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

1. 手机普及在给人们生活带来便捷的同时，也为不法分子利用手机开展违法犯罪活动创造了客观条件。
2. 近年来，"伪基站”的强发垃圾短信和诈骗短信的攻击方式泛滥，每年通过其发送的各类不法短信近千亿条，严重干扰了民众的日常生活，也对通信运营商的网络质量和安全，其至是社会稳定都造成了不利影响

伪基站的危害

1. 可冒充银行、通信运营商等公共服务号码甚至公检法等司法机关发送诈骗短信，欺骗性极强
2. 其设备携带方便，操作简单，方便流动作案，隐蔽性很强
3. 其发送的短信内容不受控制，易被不法分子利用，进而滋生其他犯罪

2、二维码扫描

二维码概述

        据360安全中心发布的《2012年中国手机安全状况报告》显示，二维码逐渐成为传播恶意软件的新趋势。有分析指出，通过二维码传播恶意软件的行为在2013年将会继续增加。二维码的普及确实为人们的生活带来便利，但其中的风险也需要引起人们足够的重视。

        二维码扫描软件具有识别商品条形码和二维码图片的功能，在个人信息管理、二维码空间展示方面也相当优秀。通常被用于条码扫描、资源扫描下载、火车票扫描、地税发票扫描等。

二维码扫描

        二维码扫描是指通过智能手机客户端应用软件获取二维码图片中的内容和信息。二维码扫描依据手机的操作系统不同，分为IOS、Android、塞班等，同时因为操作版本不同支持的操作系统也不同，通常都被用于条码扫描、资源扫描下载、火车票扫描等。

传播手机病毒

        手机病毒可通过二维码进行传播，该病毒伪装成手机聊天软件，并通过二维码提供下载链接，用户一旦扫描这个二维码，就会自动向手机发送短信，骗取手机话费等。

传播木马程序

        不法分子将木马程序以及相关插件网址生成一个二维码，然后给它“套上”商场打折、优惠券、抽奖券的“外衣”诱导用户扫描。这种专门针对手机上网用户的诈骗手段，多是采用强制下载、安装应用软件达到获取广告费、恶意扣费、强制产生流量费等以非法获取为目的的诈骗犯罪活动。

        黑客将木马的链接转换成二维码来诱骗用户扫描，用户一旦扫描，木马便会植入你的手机当中，接下来，“隐身大盜"就会拦截手机收到的网银和支付类的手机验证短信，然后转发给黑客指定的手机，最终为其转移用户资金打开了方便之门。

安全建议

        像地铁站等公共场所发布的信息资源或查询等方面的二维码，还是比较安全的。但是一些支付类或代金券等形式的二维码，就需要谨慎选择和鉴别了。许多广告宣传的优惠内容十分吸引人，不要因为好奇而“见码就扫”。特别是利用二维码跳转，链接到不明网站的情况。所以要注意手机客户端的跳转提示，尽量避免登陆非常规的网站。现在许多消费者喜欢微博“晒码”，若不是涉及一些个人的身份信息等内容，并不存在什么风险问题。如果是电子门票一类消费形式的二维码，就需要模糊处理或遮挡以后再发布了。

3、移动终端遗失的安全威胁

概述

        无论是出差还是旅行，我们都会带上自己的移动终端:手机，数码相机，笔记本电脑，移动硬盘，甚至是很风靡的IPAD。这些设备里存了多少我们的商务信息或者个人隐私?一旦丢失，或多或少会给我们带来一些麻烦，如果涉及到机密信息甚至会惹上官司。据调研机构Gartner公司声称，每53秒钟就有一台移动终端设备失窃。

        如果用户没有设置开机秘码，手机的不慎丢失就意味着手机中的联系人、电子邮件、社交媒体帐户和其他敏感信息等也随之泄漏。

        随着用户的移动性日益增强，越来越多的用户自带设备工作，例如通过智能手机和平板电脑来访问电子邮件、文档和应用程序等，因此关键业务数据也随着这些用户移动。当这样的移动终端丢失，可能给个人甚至企业造成重大的经济损失。

移动终端丢失的防范措施

一、旅行之前备份好重要数据并将数据加密

        应常常备份重要数据，并使用加密软件将硬盘加密，以防万一移动终端设备丢失，能够最大限度地减小数据丢失的风险。

        建议将存有备份数据的加密设备与移动终端设备分开保存。因为保存在移动终端设备上的信息往往比移动终端设备本身价值更大，所以对待数据要格外重视。

二、不要登录到不安全的无线网络

        这一点似乎谁都明白。如果登录的无线网络不要求输入密码，尽量不要使用。不安全的网络就好比是双向街道，谁都可以访问网络，网络上的任何人都有可能访问你的移动终端设备，从而访问你的信息。

三、不要在旅行期间访问财务或银行记录

        应尽量避免在旅行期间访问财务或银行记录，特别是在公共无线网络上，以防止账号密码等泄露或被窃取造成损失。

四、在上网浏览时不要选择“记住我

        不要点击选中网站上的“记住我”，或者允许互联网浏览器记住密码或用户名，如果窃贼把你的移动终端设备搞到了手，他们就能轻松窃取你的网上资料，可能还会窃取网下资料。

五、使用互联网浏览器后，清空历史记录和缓存内容

        互联网浏览器会记住你在上网操作期间的任何信息，即使注销后也能记住。终止网上操作(特别是在公用移动终端设备上)之前，就要清空保存在浏览器里面的个人数据(cookie、历史记录和互联网文件)。可以通过大多数互联网浏览器上的“工具”菜单来使用这项功能。

4、手机病毒

概述

手机病毒是一种具有传染性、破坏性的手机程序。手机病毒可通过短信、彩信、电子邮件和蓝牙等方式进行传播。手机病毒主要有以下危害。

(1)窃取用户信息

(2)用户信息丢失

(3)破坏手机软硬件

(4)垃圾信息诈骗

智能手机的安全设置

1.设定图案密码锁定手机

        随着智能手机拍照功能日益进化，不少朋友的机子里都保存了不少私人照片，再加上诸多的私人邮件或其它的联系人信息，手机的隐私保护问题也就日益凸显了出来。所以，给你的智能手机上把锁还是很有必要的，利用Android系统的刷卡式触摸屏图案密码保护轻松即可完成。

        首先进入设置界面，选择：

“安全"(Security)“设置未锁定的图案”(Set Unlock Pattern)。

在此输入了个人识别的图案密码之后，再次打开安全设置界面，并选择“使用可见的图案”的选项。这样，就能用图案密码锁定你的手机了。

2.保护Android手机的密码

        用Android手机浏览过的网页上保存用户名和密码信息显然是一种无脑的笨做法，而且这也意味着一些别有用心的人将能轻易侵入你的E-Mail或者获得你的某个论坛账号甚至是银行卡的信息。要保护这些储存下的密码(称之为凭证)，以防万一，你可以采用以下方法对保存的凭证做到最大程度的安全防护。

进入设置界面，选择：

位置和安全(Location&Security)→凭证存储→设置密码(Set Password)

即可。

3.锁定手机SIM卡

我们无法防止100%手机不会丢失，但至少能够做到万手机丢失之后不被些用心不良的人利用，方法就是锁定SIM卡。

进入设置界面，选择：

位置和安全(Location&Security)→设置SIM卡锁定(Set Up SIM Card Lock),然后输入购买SIM卡时获得的PIN码即可。

这样处理之后，别人在不输入PIN码的情况下就无法用你的手机打电话或者发短信了。

实例分析:Android系统

Android系统最吸引人的地方之一，在于它让开发者可以自由的创造出强大而又创新的应用程式。有超过13万的应用程式可以在48个国家的Android Market里找到。大多数的应用程式都可以免费下载，不幸地是，这也为那些喜欢下载和试用各种应用程式的人带来潜在的风险。毕竟，网络犯罪份子利用木马化的应用程式来获取利益已经屡见不鲜了。

1.使用Android智能型手机内建的安全功能

        让你的智能型手机保持安全最有效的方法就是正确的设定位置与安全性。可以在[位置与安全性」选项内设定。设定智能型手机的PIN码或密码锁定功能也是个好方法。虽然需要输入密码才能从待机中恢复使用似乎有点浪费时间。但是在手机不慎遗失时，这可以帮助保持资料安全。

        如果这还不够，你也可以选择使用指纹锁定功能。这可能是最好的办法，因为它能确保你是唯一可以使用你智能型手机内资料的人。提醒大家记住，使用上述这些安全设定总是比没有来的好。有了密码，毕竟就有了一道锁来防止犯罪分子存取你的资料。

2.停用WiFi自动连接

        除了正确地设定Android智能型手机的「位置与安全性」选项，停用自动连接无线网络也有帮助，尽管它的确是挺方便的功能。

        免费的无线网络总是有一些安全上的疑虑。连上一个开放网络可能简单、方便又免费，但这样做是有风险的。自动连接开放的无线网络就等于开放大门给几乎所有人。你的智能型手机跟无线路由器或AP之间的数据可以自由的传输。因此，就算你可能并不希望，但任何在同一网络上的人都可以看到。

        个人电脑使用者所面对的威胁，Android智能型手机的使用者也同样可能会遇到。就像是透过自动连接无线网络所带来的风险特别是那些没有安全设定的网络。停用自动连接无线网络选项也是另一个保持手机远离威胁的方法

3.封锁从Android Market以外的应用程式来源

        第一个Android木马是以Windows多媒体播放程式的模样出现。很快地，另个新的Android木马出现在某个位在中国的第三方软体商店。虽然我们不能保证Android Market下载的应用程式绝对安全。但由于它属于官方的软体商店，所以我们还是可以假设它比其他人更值得信赖些。

        也因为如此，我们建议你设定禁止安装非来自Android Market的应用程式。这将带给你的智能型手机多一层的保护。

4.接受授权要求时先确认

        在分析恶意的Android应用程式时，我们发现这些程式通常会要求你允许他们存取许多储存在智能型手机内的资料。一个最近的例子是木马化的Android Market Security Tool。它会要求权限去发送简讯到服务号码，知道目前位置，查看储存的简讯和更改你的系统设定。提供你的授权去让它能够成为一个后门程式。它会收集设备资讯并且传送到远端URL。同时也会在未经授权下去执行其他功能，像是修改通话记录，监看拦截简讯以及下载视讯档。

        接受授权要求时，要小心那些要求存取个人及设备资讯，还有其他该应用程式不会用到的权限。要先想想这应用程式是作什么的。比方说，如果不是电话簿软体，就不需要权限去存取联络人列表。

5.考虑购买有效的手机安全软体

        有时候，光是小心手机软体的下载和安装是不够的。因为网络犯罪分子不会停止开发新的巧妙手法来诱骗你去泄漏个人资料。有效的安全解决方案仍然是最好的选择。

       为了能够随时随地得到保护，你可以使用解决方案像是趋势科技的Mobile Security for Android。这可以保护你储存在手机上的数位资料，并保护你在Android智能型手机上所进行的银行交易。它甚至可以在恶意软体下载到手机之前就先识别并封锁它，让你能够更加安心。这是一个全功能的安全解决方案，透过趋势科技的电子邮件和网页信誉评比技术来有效地保护你的手机，防范最新的手机威胁。

5、恶意扣费软件

概述

        手机通信的开放性。手机的通信原理决定了通信是一个开放的电子通信系统，只要有相应的接收设备，就能够截获任何时间、任何地点、任何人的通话信息。

        手机待机状态也能泄密。手机在不使用的待机状态下，也要与通信网络保持不间断的信号交换，产生电磁频谱，所以很容易被识别、监视和跟踪。

        手机关机并非绝对安全。

基本安全风险:

◆对终端操作系统的非法修改和刷机等

◆手机丢失、被盗和被借引起的安全威胁

◆SIM卡复制

◆短消息攻击

◆手机蓝牙的漏洞

◆淘汰的旧手机泄密

软件安全隐患分析

手机智能化带来的安全威胁

◆BUG类手机病毒

◆短信类的手机病毒

◆炸弹类手机病毒

◆蠕虫类手机病毒

◆木马类手机病毒

安全问题现状

2010年，首次开展的移动终端病毒疫情调查显示，57.81%的用户使用移动终端进行互联网应用，有39.85%的移动终端使用者感染过病毒，移动终端的安全问题不容忽视。

安全隐患的应对措施

行动上:

◆提高用户的安全意识

◆明确运营企业的软件审核责任

◆加强对智能手机质量的管理

◆加强对手机市场的管理

思想上:

◆提高认识，筑牢思想防线

◆依法治密，筑牢管理防线

◆居安思危，防患于未然

三、移动智能终端的安全防护

(1)注意隐私权限访问请求

(2)慎重描二维码

(3)从正规渠道下载应用

(4)安装安全防护软件

(5)定期备份

(6)不要登录到不安全的无线网络

(7)尽量避免访问财务或银行信息

(8)在上网浏览时不要选择“记住我”

(9)清空历史记录和缓存内容

1、注意隐私权限访问请求

        用户应多留意各种应用软件的权限请求。例如在Android平台下安装应用程序时，会弹出窗口告知用户该应用需要的系统访问权限，若有不合常理的敏感隐私权限要求，用户应及时拒绝，避免隐私泄露。

2、慎重扫描二维码

        二维码具有简单易用的特点，很多软件支持扫描二维码以阅读信息或安装软件的功能。攻击者对二维码伪装很感兴趣，近年来通过二维码传播病毒的比例也一直处在持续增长中。建议用户不要看见二维码就描，以避免受到病毒和恶意支付的困扰。

3、从正规渠道下载应用

        用户应在具备安全检测能力的应用市场或官方应用商店下载软件，确保下载安全。此外，在安装一个新软件之前，应该考虑它与系统的兼容性，并做好系统数据备份，避免出现因程序不能正常运行导致的系统崩溃。

4、安装安全防护软件

        目前，手机安全软件的种类较多，一般包括杀毒、软件检查、系统防护和流量监控等功能。移动智能终端用户应安装安全防护软件，并及时升级更新。

        需要注意的是安装多款安全防护软件时，要合理规划各防护软件的管理项避色其个权限名个软件同时管理弓|起的系统崩溃问题

5、定期备份

        如果移动智能终端上保存了较多个人数据，如通信录、电子文档、备忘录、应用程序使用状态和系统数据等，应定期对这些数据进行备份。备份的方式可以选择个人计算机、U盘或移动硬盘，也可以选择云备份，即将上述数据备份到云平台中。

6、不要登录到不安全的无线网络

        如果登录的无线网络不要求输入访问口令，尽量不要使用。不需要口令的无线网络任何人都可以访问，包括攻击者，从而导致用户的个人信息泄露

7、尽量避免访问财务或银行信息

        应尽量避免在外出期间使用无线智能终端访问财务或银行信息，特别是在公共无线网络上，以防止账号口令被窃取。

8、在上网浏览时不要选择“记住我”

        使用移动智能终端上网时，尽量不要使用网站的“自动登录”，或者允许因特网浏览器记住账户和口令，否则一旦不法分子获得了用户的移动终端，就能轻松窃取用户的网上资料，进而造成更大的损失。

9、清空历史记录和缓存内容

        因特网浏览器会记住用户在上网操作期间的任何信息，即使注销后也能记住。终止网上操作(特别是在公用移动终端设备上)之前，要清空保存在浏览器里面的个人数据(Cookie、历史记录和因特网文件)