关于App安全风险管理“国家标准”,业界这样解读
近年来,移动互联网应用程序(App)的广泛应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但App强制授权、过度索权、超范围收集个人信息的现象仍有存在,不仅侵犯个人财产和隐私安全,也给社会治理和国家安全带来挑战。
前不久,由安天移动安全牵头编制的GB/T 42884-2023《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南》国家标准(以下简称“《指南》”)正式发布,记者就《指南》出台的背景意义、技术内容、应用群体、如何贯彻落实等问题,采访了安天移动安全CEO陈家林。
记者:《指南》制订的背景和主要考虑是什么?
陈家林:首先,我们要明确一点,国标的制定离不开行业现状,以及政策、法规和技术的支持。
当前,我国移动互联网发展呈现三大特点与趋势:用户基数庞大、App背后是庞大的用户隐私数据、App提供者安全意识弱导致埋下安全隐患。与此同时,《网络安全法》《个人信息保护法》《移动互联网应用程序信息服务管理规定》《电信和互联网用户个人信息保护规定》等相关政策法规的相继出台,也对网络安全和个人隐私安全保护提出了更高要求。
基于上述背景,2020年10月,编制组在武汉召开项目启动会;12月在北京召开专家研讨会,确定了标准的框架、编写思路和解决问题;2021年4月,本标准在国标委正式批准立项。
记者:正式发布实施的《指南》包含哪些核心内容?
陈家林:《指南》从安全威胁视角出发,提出了生命周期七个阶段安全管理要求和风险监测管理要求。这里我们考虑的安全威胁包括:App恶意程序、App个人信息风险、App应用行为风险、App安全漏洞四个方面。
而App生命周期七个阶段则包括:需求分析、开发设计、测试验证、上架发布、安装运行、更新维护和终止运营。这七个阶段是我们与手机厂商、应用商店厂商等一起讨论总结的最佳实践。它与传统的互联网应用程序的主要区别是多了上架发布审核和安装运行检测等相关活动。
而针对各类安全问题的角度来讲的风险监测管理过程,则包括对个人信息风险、应用行为风险和安全漏洞进行监测、发现和处理。其中风险数据管理主要通过技术平台来实现安全,安全漏洞管理主要通过流程制度来实现安全。
记者:《指南》的发布将对我国移动互联网应用行业带来什么积极作用?
陈家林:安全是互联网应用的基石,《指南》的发布将用于指导移动互联网应用程序(App)的提供者和运营者建立健康生命周期管理机制,提高移动互联网应用程序(App)的安全防护能力,满足应用程序安全、个人隐私保护和数据合规等方面的需求。从而为移动互联网应用厂商的安全能力构建提供建议,从App源头保障应用安全,节省安全成本。
记者:《指南》的应用群体是哪些?能为他们提供什么技术指导?
陈家林:《指南》的应用群体是App提供者、App分发平台管理者、移动智能终端厂商,各方可根据自身定位来确定相关需求。例如,App提供者可参考本标准,实施对App开发、运营等生命周期的安全管理,在移动互联网应用程序的源头引入安全防护,降低安全成本。
记者:当下的移动应用生态存在哪些安全问题?针对这些问题,《指南》在指导和规范相关行业的过程中有哪些关键技术手段,有何应用?
陈家林:伴随着App应用的兴起,App也面临着诸多安全风险,例如恶意程序、安全漏洞、隐私泄露等。根据工信部发布的《2022年上半年全国移动互联网应用安全报告》的统计数据来看,“流氓行为”类占恶意程序的87.05%;Janus漏洞占比56.04%;违规收集个人信息的风险占比27.35%。虽然每种安全问题的特点各不相同。例如恶意程序的攻击危害大,安全漏洞的挖掘难度大,隐私泄露和应用行为风险在应用程序中的表现形式多样,但都会给用户带来困扰。
针对上述问题,《指南》在指导和规范相关行业的过程中应用了4大关键技术:应用漏洞扫描技术、应用病毒检测技术、应用行为风险检测技术、个人信息风险检测技术。其中,根据《指南》提出的指导App提供者规范性地实施App开发、运营等生命周期安全管理要求,安天移动安全为帮助App提供者快速、精准定位违规问题,提前识别产品存在的合规风险,并提供完善的整改建议及方案,专门开发了违规预警平台。
记者:对《指南》顺利实施有何建议?使用中应该注意哪些问题?
陈家林:安天移动安全十余年来始终立足于移动网络安全风险研究,持续关注移动智能终端的安全态势,在不良应用程序安全治理工作上有一定的技术优势和专长。作为此次《指南》的牵头编制单位,对于其接下来顺利实施这一问题,我们团队有三个方面的建议,即进一步推广标准宣贯和应用、加快推进标准符合性评估认证工作、加快App安全检测相关技术和检测工具研发。
与此同时,《指南》使用中,还应该注意以下四个方面的问题:一是通过多种形式、多个方面应用标准,协同实现App生命周期安全;二是技管结合,从App恶意程序检测、App应用行为风险检测、App安全漏洞检查、App个人信息风险检查、针对App厂商的安全管理检查五个方面验证标准符合性;三是示范效应,即通过模范企业带头作用,形成标准落地应用示范,便于其他企业直接从工程实现角度参考,同时鼓励模范企业带头落地应用标准的积极性;四是建立标准化工作常态机制,标准组织单位应进一步加强该标准的宣贯力度,编制配套的解读说明性材料,举办相应的标准培训,扩大受众面,让更多的企业和用户了解该标准。
(光明网记者 雷渺鑫)
(编辑:旦增尼玛)