等保2.0三级安卓防篡改加固要求清单，服务商能力对照自查表

在等保2.0测评现场，我最常被问到的问题是：“加固做到什么程度算过了？”——不是功能越多越好，而是条款对得上就行。

等保2.0对移动应用的安全要求分为安全通用要求和移动互联安全扩展要求两部分。三级系统的App加固，核心要覆盖的是安全计算环境和应用和数据安全两个技术层面。

下面我把等保三级涉及安卓防篡改加固的条款拆开，逐条列出测评要点，再用服务商能力对照表帮你快速匹配。

一、等保2.0三级安卓防篡改加固条款拆解

1. 代码完整性保护（核心条款）

标准出处：GB/T 22239-2019 移动互联安全扩展要求—移动应用管控

原文要求：应采用校验技术保证应用软件代码的完整性

测评现场怎么查：

• 测评员会尝试对APK重新签名，看能否安装运行
• 会用反编译工具（jadx、apktool）看代码是否可被直接还原
• 会检查是否存在未被保护的敏感逻辑（硬编码密钥、核心算法）

合规判定标准：

• 二次打包后App无法正常运行或启动自销毁
• 核心代码经逆向后无法还原业务逻辑
• 有明确的代码完整性校验机制说明文档

2. 防逆向/防动态调试

标准出处：GB/T 22239-2019 安全通用要求—安全计算环境—入侵防范

原文要求：应能检测到对应用软件的非授权篡改、逆向分析等行为

测评现场怎么查：

• 测评员会用Frida、Xposed等工具尝试hook关键函数
• 会在root/越狱环境下运行App观察行为
• 会检查是否有调试器检测机制

合规判定标准：

• App在检测到调试/注入时能阻断执行或退出
• 核心API无法被动态劫持
• root环境下关键数据不暴露

3. 应用软件来源管控（白名单管理）

标准出处：GB/T 22239-2019 移动互联安全扩展要求—移动应用管控

原文要求：应具有软件白名单功能，应能根据白名单控制应用软件安装和运行

测评现场怎么查：

• 检查App是否有自身完整性校验机制
• 检查分发渠道是否可被仿冒
• 测评员会尝试替换官方包看是否被识别

合规判定标准：

• App有数字签名且签名可验证
• 服务端能识别非官方渠道发起的请求
• 有渠道监测能力（非强制，但加分）

4. 数据加密存储与隔离

标准出处：GB/T 22239-2019 安全通用要求—应用和数据安全

原文要求：应采用加密等技术措施保证数据存储的保密性

测评现场怎么查：

• 检查本地数据库、SharedPreferences中是否有明文敏感数据
• 检查日志输出是否包含用户信息
• 检查内存中是否有敏感信息残留

合规判定标准：

• 敏感数据（Token、密钥、用户信息）加密存储
• 日志在release包中关闭或脱敏
• 内存中的敏感数据使用后及时清除

5. 通信加密（连带项）

标准出处：GB/T 22239-2019 安全通用要求—网络和通信安全

原文要求：应采用加密技术保证通信过程中敏感信息字段或整个报文的保密性

测评现场怎么查：

• 抓包检查HTTP请求是否明文传输敏感数据
• 检查证书校验是否可被绕过

合规判定标准：

• 所有敏感接口走HTTPS，且证书校验不可绕过
• 无明文传输身份证、银行卡、密码等字段

二、服务商能力对照自查表

基于以上条款，我整理了主流加固服务商的条款匹配情况：

✅=完全满足 ⚠️=部分满足/需配合

三、测评现场验证方法

3.1 自己先测的3个脚本

测试1：二次打包检测

# 使用apktool解包apktool d target.apk -o unpacked/# 不修改任何代码，直接重新打包apktool b unpacked/ -o repacked.apk# 使用原签名重新签名jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore test.keystore repacked.apk alias# 安装运行，看是否正常adb install repacked.apk

预期结果：加固合格的App应无法启动或提示“应用已被篡改”

测试2：Frida hook检测

// hook关键函数看是否能绕过登录/支付Java.perform(function() {    var LoginActivity = Java.use("com.example.LoginActivity");    LoginActivity.checkPassword.implementation = function(pwd) {        console.log("Hooked! Password: " + pwd);        return true; // 尝试返回true绕过    };});

预期结果：合格加固应阻止hook或捕获到hook行为后自销毁

测试3：内存dump检测

# 运行App后dump内存frida -U -l dump_memory.js com.target.app# 搜索内存中是否有明文密钥/敏感数据grep -r "private_key" memory_dump/

预期结果：敏感数据不应在内存中以明文长期存在

3.2 向服务商索要的3份材料

1. 渗透测试报告：要求包含Frida/Xposed等动态调试工具的抗攻击时长记录
2. 等保合规证明模板：确认是否能直接生成测评机构认可的审计材料
3. 兼容性测试报告：覆盖Android 5-15主流机型的启动时间、闪退率数据

四、选择决策矩阵

根据你的等保级别和App类型，我整理了这个决策表：

五、验收清单

选完服务商后，用这份清单逐条确认，避免上线前翻车：

□ 代码完整性

• 二次打包后App无法正常运行
• jadx反编译后核心代码不可读
• 有完整性校验机制文档

□ 防逆向

• Frida hook关键API时App能检测并退出
• root环境运行有风险提示或阻断
• 有防调试器附加机制

□ 兼容性

• Android 5-15主流机型启动时间增幅<30%
• 与现有热修复框架无冲突
• 加固后无新增闪退（压测1000台+）

□ 数据安全

• 本地无明文存储敏感数据
• release包日志已关闭
• 内存敏感数据及时擦除

□ 等保材料

• 加固方案说明（含技术原理、防护范围）
• 渗透测试/抗攻击验证报告
• 代码完整性校验机制说明

结语

等保2.0三级对安卓防篡改加固的要求，核心就一句话：代码不能被还原、包不能被重签、数据不能被白拿。

拿着这份清单去对服务商的能力，比听销售讲“我们防护强度最高”管用得多。测评现场认的是技术验证报告，不是销售话术。