近年來,移動互聯網應用程序(App)的廣泛應用,在促進經濟社會發展、服務民生等方面發揮了重要作用。但App強制授權、過度索權、超范圍收集個人信息的現象仍有存在,不僅侵犯個人財產和隱私安全,也給社會治理和國家安全帶來挑戰。
前不久,由安天移動安全牽頭編制的GB/T 42884-2023《信息安全技術 移動互聯網應用程序(App)生命周期安全管理指南》國家標準(以下簡稱“《指南》”)正式發布,記者就《指南》出臺的背景意義、技術內容、應用群體、如何貫徹落實等問題,采訪了安天移動安全CEO陳家林。
記者
《指南》制訂的背景和主要考慮是什么?
陳家林:首先,我們要明確一點,國標的制定離不開行業現狀,以及政策、法規和技術的支持。
當前,我國移動互聯網發展呈現三大特點與趨勢:用戶基數龐大、App背后是龐大的用戶隱私數據、App提供者安全意識弱導致埋下安全隱患。與此同時,《網絡安全法》《個人信息保護法》《移動互聯網應用程序信息服務管理規定》《電信和互聯網用戶個人信息保護規定》等相關政策法規的相繼出臺,也對網絡安全和個人隱私安全保護提出了更高要求。
基于上述背景,2020年10月,編制組在武漢召開項目啟動會;12月在北京召開專家研討會,確定了標準的框架、編寫思路和解決問題;2021年4月,本標準在國標委正式批準立項。
記者
正式發布實施的《指南》包含哪些核心內容?
陳家林:《指南》從安全威脅視角出發,提出了生命周期七個階段安全管理要求和風險監測管理要求。這里我們考慮的安全威脅包括:App惡意程序、App個人信息風險、App應用行為風險、App安全漏洞四個方面。
而App生命周期七個階段則包括:需求分析、開發設計、測試驗證、上架發布、安裝運行、更新維護和終止運營。這七個階段是我們與手機廠商、應用商店廠商等一起討論總結的最佳實踐。它與傳統的互聯網應用程序的主要區別是多了上架發布審核和安裝運行檢測等相關活動。
而針對各類安全問題的角度來講的風險監測管理過程,則包括對個人信息風險、應用行為風險和安全漏洞進行監測、發現和處理。其中風險數據管理主要通過技術平臺來實現安全,安全漏洞管理主要通過流程制度來實現安全。
記者
《指南》的發布將對我國移動互聯網應用行業帶來什么積極作用?
陳家林:安全是互聯網應用的基石,《指南》的發布將用于指導移動互聯網應用程序(App)的提供者和運營者建立健康生命周期管理機制,提高移動互聯網應用程序(App)的安全防護能力,滿足應用程序安全、個人隱私保護和數據合規等方面的需求。從為移動互聯網應用廠商的安全能力構建提供建議,從App源頭保障應用安全,節省安全成本。
記者
《指南》的應用群體是哪些?能為他們提供什么技術指導?
陳家林:《指南》的應用群體是App提供者、App分發平臺管理者、移動智能終端廠商,各方可根據自身定位來確定相關需求。例如,App提供者可參考本標準,實施對App開發、運營等生命周期的安全管理,在移動互聯網應用程序的源頭引入安全防護,降低安全成本。
記者
當下的移動應用生態存在哪些安全問題?針對這些問題,《指南》在指導和規范相關行業的過程中有哪些關鍵技術手段,有何應用?
陳家林:伴隨著App應用的興起,App也面臨著諸多安全風險,例如惡意程序、安全漏洞、隱私泄露等。根據工信部發布的《2022年上半年全國移動互聯網應用安全報告》的統計數據來看,“流氓行為”類占惡意程序的87.05%;Janus漏洞占比56.04%;違規收集個人信息的風險占比27.35%。雖然每種安全問題的特點各不相同。例如惡意程序的攻擊危害大,安全漏洞的挖掘難度大,隱私泄露和應用行為風險在應用程序中的表現形式多樣,但都會給用戶帶來困擾。
針對上述問題,《指南》在指導和規范相關行業的過程中應用了4大關鍵技術:應用漏洞掃描技術、應用病毒檢測技術、應用行為風險檢測技術、個人信息風險檢測技術。其中,根據《指南》提出的指導App提供者規范性地實施App開發、運營等生命周期安全管理要求,安天移動安全為幫助App提供者快速、精準定位違規問題,提前識別產品存在的合規風險,并提供完善的整改建議及方案,專門開發了違規預警平臺。
記者
對《指南》順利實施有何建議?使用中應該注意哪些問題?
陳家林:安天移動安天十余年來始終立足于移動網絡安全風險研究,持續關注移動智能終端的安全態勢,在不良應用程序安全治理工作上有一定的技術優勢和專長。作為此次《指南》的牽頭編制單位,對于其接下來順利實施這一問題,我們團隊有三個方面的建議,即進一步推廣標準宣貫和應用、加快推進標準符合性評估認證工作、加快App安全檢測相關技術和檢測工具研發。
與此同時,《指南》使用中,還應該注意以下四個方面的問題:一是通過多種形式、多個方面應用標準,協同實現App生命周期安全;二是技管結合,從App惡意程序檢測、App應用行為風險檢測、App安全漏洞檢查、App個人信息風險檢查、針對App廠商的安全管理檢查五個方面驗證標準符合性;三是示范效應,即通過模范企業帶頭作用,形成標準落地應用示范,便于其他企業直接從工程實現角度參考,同時鼓勵模范企業帶頭落地應用標準的積極性;四是建立標準化工作常態機制,標準組織單位應進一步加強該標準的宣貫力度,編制配套的解讀說明性材料,舉辦相應的標準培訓,擴大受眾面,讓更多的企業和用戶了解該標準。
