随着移动通信和计算机通信技术的持续进步，智慧校园逐渐发展起来，移动应用也开始走向校园。很多高校积极推进智慧校园建设，借助移动应用打造“互联网+校园”的智慧校园模式，为师生提供更便捷的智慧校园服务。与此同时，校园移动应用的管理工作也成为信息化管理的重要组成部分。

伴随着高校移动应用（以下简称“校园APP”）的快速普及，其安全问题日益暴露。2017年9月，吴中超等人在《中国教育网络》发表的文章，阐述了对国内20 余所高校Android 平台校园APP进行初步审计发现的诸多安全问题。其收集的Android 平台校园APP 来自全国各地26 所高校，其中，华北及东北地区6 所、西北地区4 所、华东地区7 所、中南地区5 所、西南地区4 所，涉及到9 所“985 工程”高校和14 所“211 工程”高校。调查结果显示，出现0 次或1 次问题的APP 数量仅为5 个，涉及到的问题包含不限于缺乏加固保护、源代码未混淆、WebView 明文存储等。这些问题可以总结为程序源代码安全、本地数据存储安全、通信数据传输安全、恶意防范攻击能力等，具体如图1 所示。

高校校园APP 的发展

图1 Android 平台校园APP 安全调查结果

目前对校园APP 尚没有明确定义。若从高校校园使用角度讲，对学生有着广泛影响力的社交网络APP 或即时通讯APP 可以归类于校园APP，如微信、QQ 等。不同于上述面向社会大众拥有广泛用户群体的APP，狭义的校园APP 往往以特定高校的学生或是特定的学生为主题，提供信息具有本地化、实用性强、有一定时效性等特点。本文研究的校园APP 安全问题，将具备如下服务特性的APP 定义为校园APP：面向特定高校的学生和教职工，为师生提供本地化的学习、工作、生活等信息的智能手机应用程序，运营管理者一般是高校相关部门的管理人员或在校学生。

自2017 年后，校园APP 迅速普及发展起来。“互联网+”和智能终端的快速发展为高校校园APP 提供了技术基础和外部环境；同时，高校校园具备的潜在市场吸引着公司或高校学生中的创业者从事相关研发工作；新媒体下，高校学生对信息需求的日益多元化为校园APP 的发展提供了内在驱动力；与此同时，高校学生自身的创造力和鼓励创新创业的政策对校园APP也起到了催化作用，故校园APP 得以迅速发展起来。目前，校园APP 提供的服务包含但又不限于校园资讯、信息查询、学业缴费、生活服务等，开发者有高校信息化建设的工作者、学生及公司研发人员。

校园APP 安全及研究现状

校园APP 快速普及的同时，其安全问题也逐渐凸显。在技术上，开发者为高校定制校园APP 等碎片化服务而忽略安全问题；多数开发者的安全技术匮乏，无法就移动应用从设计、编码、测试、发布、更新等各个环节对安全风险进行控制。这些原因都可能导致校园APP 在防攻击、防篡改、防病毒等方面安全防护能力较低。在管理上，国内Android 市场缺乏安全监管机制，并因Android 平台的开源与开放性，校园APP 市场需求大等一系列因素，导致众多高校校园APP 出现诸多问题。

在校园APP 出现的诸多安全隐患中，程序源文件安全、本地数据存储安全、网络传输安全、内部数据交互安全、恶意攻击防范能力等，从多方面展示校园APP 可能存在的安全风险，如图2 所示。

图2 校园APP 存在的安全隐患

国内外研究多是阐述如何对大批量的应用程序进行检测，但在高校校园的特殊业务场景下，思考在碎片化业务服务中，如何保护校园APP 安全的研究较少。本文根据北京大学医学部开发校园APP 时采取的措施，从应用程序源文件安全和数据安全两方面阐述校园APP 的安全保护方案。

校园APP 安全隐患研究

1.程序源文件安全隐患

应用程序中含编码阶段的代码包和配置文件，在Android开源的环境下，如果未对应用程序采取有效保护措施，可能面临被反编译的风险。攻击者可能使用下载工具对未经过加固保护的应用程序、可执行文件进行反汇编、反编译或动态调式等攻击；可能通过逆向法破解应用程序的实现逻辑，比如获取与服务器端的通讯方式、加解密算法、密钥、软键盘实现技术等，造成算法被窃取、文件被非法篡改或是程序接口被调用、篡改应用程序内容、植入恶意收费应用或广告SDK、引诱下载其他应用程序等。高校校园APP 的开发者需保证应用软件包的完整性和可靠性。

2.数据存储与传输安全隐患

上一篇：谢拉和埃里克萨姆森健康中心
下一篇：没有了