關(guān)于App安全風(fēng)險(xiǎn)管理“國(guó)家標(biāo)準(zhǔn)”,業(yè)界這樣解讀
近年來(lái),移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)的廣泛應(yīng)用,在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。但App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象仍有存在,不僅侵犯?jìng)€(gè)人財(cái)產(chǎn)和隱私安全,也給社會(huì)治理和國(guó)家安全帶來(lái)挑戰(zhàn)。
前不久,由安天移動(dòng)安全牽頭編制的GB/T 42884-2023《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)生命周期安全管理指南》國(guó)家標(biāo)準(zhǔn)(以下簡(jiǎn)稱“《指南》”)正式發(fā)布,記者就《指南》出臺(tái)的背景意義、技術(shù)內(nèi)容、應(yīng)用群體、如何貫徹落實(shí)等問題,采訪了安天移動(dòng)安全CEO陳家林。
記者:《指南》制訂的背景和主要考慮是什么?
陳家林:首先,我們要明確一點(diǎn),國(guó)標(biāo)的制定離不開行業(yè)現(xiàn)狀,以及政策、法規(guī)和技術(shù)的支持。
當(dāng)前,我國(guó)移動(dòng)互聯(lián)網(wǎng)發(fā)展呈現(xiàn)三大特點(diǎn)與趨勢(shì):用戶基數(shù)龐大、App背后是龐大的用戶隱私數(shù)據(jù)、App提供者安全意識(shí)弱導(dǎo)致埋下安全隱患。與此同時(shí),《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等相關(guān)政策法規(guī)的相繼出臺(tái),也對(duì)網(wǎng)絡(luò)安全和個(gè)人隱私安全保護(hù)提出了更高要求。
基于上述背景,2020年10月,編制組在武漢召開項(xiàng)目啟動(dòng)會(huì);12月在北京召開專家研討會(huì),確定了標(biāo)準(zhǔn)的框架、編寫思路和解決問題;2021年4月,本標(biāo)準(zhǔn)在國(guó)標(biāo)委正式批準(zhǔn)立項(xiàng)。
記者:正式發(fā)布實(shí)施的《指南》包含哪些核心內(nèi)容?
陳家林:《指南》從安全威脅視角出發(fā),提出了生命周期七個(gè)階段安全管理要求和風(fēng)險(xiǎn)監(jiān)測(cè)管理要求。這里我們考慮的安全威脅包括:App惡意程序、App個(gè)人信息風(fēng)險(xiǎn)、App應(yīng)用行為風(fēng)險(xiǎn)、App安全漏洞四個(gè)方面。
而App生命周期七個(gè)階段則包括:需求分析、開發(fā)設(shè)計(jì)、測(cè)試驗(yàn)證、上架發(fā)布、安裝運(yùn)行、更新維護(hù)和終止運(yùn)營(yíng)。這七個(gè)階段是我們與手機(jī)廠商、應(yīng)用商店廠商等一起討論總結(jié)的最佳實(shí)踐。它與傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用程序的主要區(qū)別是多了上架發(fā)布審核和安裝運(yùn)行檢測(cè)等相關(guān)活動(dòng)。
而針對(duì)各類安全問題的角度來(lái)講的風(fēng)險(xiǎn)監(jiān)測(cè)管理過程,則包括對(duì)個(gè)人信息風(fēng)險(xiǎn)、應(yīng)用行為風(fēng)險(xiǎn)和安全漏洞進(jìn)行監(jiān)測(cè)、發(fā)現(xiàn)和處理。其中風(fēng)險(xiǎn)數(shù)據(jù)管理主要通過技術(shù)平臺(tái)來(lái)實(shí)現(xiàn)安全,安全漏洞管理主要通過流程制度來(lái)實(shí)現(xiàn)安全。
記者:《指南》的發(fā)布將對(duì)我國(guó)移動(dòng)互聯(lián)網(wǎng)應(yīng)用行業(yè)帶來(lái)什么積極作用?
陳家林:安全是互聯(lián)網(wǎng)應(yīng)用的基石,《指南》的發(fā)布將用于指導(dǎo)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)的提供者和運(yùn)營(yíng)者建立健康生命周期管理機(jī)制,提高移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)的安全防護(hù)能力,滿足應(yīng)用程序安全、個(gè)人隱私保護(hù)和數(shù)據(jù)合規(guī)等方面的需求。從而為移動(dòng)互聯(lián)網(wǎng)應(yīng)用廠商的安全能力構(gòu)建提供建議,從App源頭保障應(yīng)用安全,節(jié)省安全成本。
記者:《指南》的應(yīng)用群體是哪些?能為他們提供什么技術(shù)指導(dǎo)?
陳家林:《指南》的應(yīng)用群體是App提供者、App分發(fā)平臺(tái)管理者、移動(dòng)智能終端廠商,各方可根據(jù)自身定位來(lái)確定相關(guān)需求。例如,App提供者可參考本標(biāo)準(zhǔn),實(shí)施對(duì)App開發(fā)、運(yùn)營(yíng)等生命周期的安全管理,在移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的源頭引入安全防護(hù),降低安全成本。
記者:當(dāng)下的移動(dòng)應(yīng)用生態(tài)存在哪些安全問題?針對(duì)這些問題,《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中有哪些關(guān)鍵技術(shù)手段,有何應(yīng)用?
陳家林:伴隨著App應(yīng)用的興起,App也面臨著諸多安全風(fēng)險(xiǎn),例如惡意程序、安全漏洞、隱私泄露等。根據(jù)工信部發(fā)布的《2022年上半年全國(guó)移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全報(bào)告》的統(tǒng)計(jì)數(shù)據(jù)來(lái)看,“流氓行為”類占惡意程序的87.05%;Janus漏洞占比56.04%;違規(guī)收集個(gè)人信息的風(fēng)險(xiǎn)占比27.35%。雖然每種安全問題的特點(diǎn)各不相同。例如惡意程序的攻擊危害大,安全漏洞的挖掘難度大,隱私泄露和應(yīng)用行為風(fēng)險(xiǎn)在應(yīng)用程序中的表現(xiàn)形式多樣,但都會(huì)給用戶帶來(lái)困擾。
針對(duì)上述問題,《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中應(yīng)用了4大關(guān)鍵技術(shù):應(yīng)用漏洞掃描技術(shù)、應(yīng)用病毒檢測(cè)技術(shù)、應(yīng)用行為風(fēng)險(xiǎn)檢測(cè)技術(shù)、個(gè)人信息風(fēng)險(xiǎn)檢測(cè)技術(shù)。其中,根據(jù)《指南》提出的指導(dǎo)App提供者規(guī)范性地實(shí)施App開發(fā)、運(yùn)營(yíng)等生命周期安全管理要求,安天移動(dòng)安全為幫助App提供者快速、精準(zhǔn)定位違規(guī)問題,提前識(shí)別產(chǎn)品存在的合規(guī)風(fēng)險(xiǎn),并提供完善的整改建議及方案,專門開發(fā)了違規(guī)預(yù)警平臺(tái)。
記者:對(duì)《指南》順利實(shí)施有何建議?使用中應(yīng)該注意哪些問題?
陳家林:安天移動(dòng)安全十余年來(lái)始終立足于移動(dòng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究,持續(xù)關(guān)注移動(dòng)智能終端的安全態(tài)勢(shì),在不良應(yīng)用程序安全治理工作上有一定的技術(shù)優(yōu)勢(shì)和專長(zhǎng)。作為此次《指南》的牽頭編制單位,對(duì)于其接下來(lái)順利實(shí)施這一問題,我們團(tuán)隊(duì)有三個(gè)方面的建議,即進(jìn)一步推廣標(biāo)準(zhǔn)宣貫和應(yīng)用、加快推進(jìn)標(biāo)準(zhǔn)符合性評(píng)估認(rèn)證工作、加快App安全檢測(cè)相關(guān)技術(shù)和檢測(cè)工具研發(fā)。
與此同時(shí),《指南》使用中,還應(yīng)該注意以下四個(gè)方面的問題:一是通過多種形式、多個(gè)方面應(yīng)用標(biāo)準(zhǔn),協(xié)同實(shí)現(xiàn)App生命周期安全;二是技管結(jié)合,從App惡意程序檢測(cè)、App應(yīng)用行為風(fēng)險(xiǎn)檢測(cè)、App安全漏洞檢查、App個(gè)人信息風(fēng)險(xiǎn)檢查、針對(duì)App廠商的安全管理檢查五個(gè)方面驗(yàn)證標(biāo)準(zhǔn)符合性;三是示范效應(yīng),即通過模范企業(yè)帶頭作用,形成標(biāo)準(zhǔn)落地應(yīng)用示范,便于其他企業(yè)直接從工程實(shí)現(xiàn)角度參考,同時(shí)鼓勵(lì)模范企業(yè)帶頭落地應(yīng)用標(biāo)準(zhǔn)的積極性;四是建立標(biāo)準(zhǔn)化工作常態(tài)機(jī)制,標(biāo)準(zhǔn)組織單位應(yīng)進(jìn)一步加強(qiáng)該標(biāo)準(zhǔn)的宣貫力度,編制配套的解讀說明性材料,舉辦相應(yīng)的標(biāo)準(zhǔn)培訓(xùn),擴(kuò)大受眾面,讓更多的企業(yè)和用戶了解該標(biāo)準(zhǔn)。
?。ü饷骶W(wǎng)記者 雷渺鑫)
版權(quán)聲明:凡注明“來(lái)源:中國(guó)西藏網(wǎng)”或“中國(guó)西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來(lái)源中國(guó)西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。