關于App安全風險管理“國家標準”,業(yè)界這樣解讀
近年來,移動互聯(lián)網(wǎng)應用程序(App)的廣泛應用,在促進經(jīng)濟社會發(fā)展、服務民生等方面發(fā)揮了重要作用。但App強制授權、過度索權、超范圍收集個人信息的現(xiàn)象仍有存在,不僅侵犯個人財產(chǎn)和隱私安全,也給社會治理和國家安全帶來挑戰(zhàn)。
前不久,由安天移動安全牽頭編制的GB/T 42884-2023《信息安全技術 移動互聯(lián)網(wǎng)應用程序(App)生命周期安全管理指南》國家標準(以下簡稱“《指南》”)正式發(fā)布,記者就《指南》出臺的背景意義、技術內(nèi)容、應用群體、如何貫徹落實等問題,采訪了安天移動安全CEO陳家林。
記者:《指南》制訂的背景和主要考慮是什么?
陳家林:首先,我們要明確一點,國標的制定離不開行業(yè)現(xiàn)狀,以及政策、法規(guī)和技術的支持。
當前,我國移動互聯(lián)網(wǎng)發(fā)展呈現(xiàn)三大特點與趨勢:用戶基數(shù)龐大、App背后是龐大的用戶隱私數(shù)據(jù)、App提供者安全意識弱導致埋下安全隱患。與此同時,《網(wǎng)絡安全法》《個人信息保護法》《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等相關政策法規(guī)的相繼出臺,也對網(wǎng)絡安全和個人隱私安全保護提出了更高要求。
基于上述背景,2020年10月,編制組在武漢召開項目啟動會;12月在北京召開專家研討會,確定了標準的框架、編寫思路和解決問題;2021年4月,本標準在國標委正式批準立項。
記者:正式發(fā)布實施的《指南》包含哪些核心內(nèi)容?
陳家林:《指南》從安全威脅視角出發(fā),提出了生命周期七個階段安全管理要求和風險監(jiān)測管理要求。這里我們考慮的安全威脅包括:App惡意程序、App個人信息風險、App應用行為風險、App安全漏洞四個方面。
而App生命周期七個階段則包括:需求分析、開發(fā)設計、測試驗證、上架發(fā)布、安裝運行、更新維護和終止運營。這七個階段是我們與手機廠商、應用商店廠商等一起討論總結的最佳實踐。它與傳統(tǒng)的互聯(lián)網(wǎng)應用程序的主要區(qū)別是多了上架發(fā)布審核和安裝運行檢測等相關活動。
而針對各類安全問題的角度來講的風險監(jiān)測管理過程,則包括對個人信息風險、應用行為風險和安全漏洞進行監(jiān)測、發(fā)現(xiàn)和處理。其中風險數(shù)據(jù)管理主要通過技術平臺來實現(xiàn)安全,安全漏洞管理主要通過流程制度來實現(xiàn)安全。
記者:《指南》的發(fā)布將對我國移動互聯(lián)網(wǎng)應用行業(yè)帶來什么積極作用?
陳家林:安全是互聯(lián)網(wǎng)應用的基石,《指南》的發(fā)布將用于指導移動互聯(lián)網(wǎng)應用程序(App)的提供者和運營者建立健康生命周期管理機制,提高移動互聯(lián)網(wǎng)應用程序(App)的安全防護能力,滿足應用程序安全、個人隱私保護和數(shù)據(jù)合規(guī)等方面的需求。從而為移動互聯(lián)網(wǎng)應用廠商的安全能力構建提供建議,從App源頭保障應用安全,節(jié)省安全成本。
記者:《指南》的應用群體是哪些?能為他們提供什么技術指導?
陳家林:《指南》的應用群體是App提供者、App分發(fā)平臺管理者、移動智能終端廠商,各方可根據(jù)自身定位來確定相關需求。例如,App提供者可參考本標準,實施對App開發(fā)、運營等生命周期的安全管理,在移動互聯(lián)網(wǎng)應用程序的源頭引入安全防護,降低安全成本。
記者:當下的移動應用生態(tài)存在哪些安全問題?針對這些問題,《指南》在指導和規(guī)范相關行業(yè)的過程中有哪些關鍵技術手段,有何應用?
陳家林:伴隨著App應用的興起,App也面臨著諸多安全風險,例如惡意程序、安全漏洞、隱私泄露等。根據(jù)工信部發(fā)布的《2022年上半年全國移動互聯(lián)網(wǎng)應用安全報告》的統(tǒng)計數(shù)據(jù)來看,“流氓行為”類占惡意程序的87.05%;Janus漏洞占比56.04%;違規(guī)收集個人信息的風險占比27.35%。雖然每種安全問題的特點各不相同。例如惡意程序的攻擊危害大,安全漏洞的挖掘難度大,隱私泄露和應用行為風險在應用程序中的表現(xiàn)形式多樣,但都會給用戶帶來困擾。
針對上述問題,《指南》在指導和規(guī)范相關行業(yè)的過程中應用了4大關鍵技術:應用漏洞掃描技術、應用病毒檢測技術、應用行為風險檢測技術、個人信息風險檢測技術。其中,根據(jù)《指南》提出的指導App提供者規(guī)范性地實施App開發(fā)、運營等生命周期安全管理要求,安天移動安全為幫助App提供者快速、精準定位違規(guī)問題,提前識別產(chǎn)品存在的合規(guī)風險,并提供完善的整改建議及方案,專門開發(fā)了違規(guī)預警平臺。
記者:對《指南》順利實施有何建議?使用中應該注意哪些問題?
陳家林:安天移動安全十余年來始終立足于移動網(wǎng)絡安全風險研究,持續(xù)關注移動智能終端的安全態(tài)勢,在不良應用程序安全治理工作上有一定的技術優(yōu)勢和專長。作為此次《指南》的牽頭編制單位,對于其接下來順利實施這一問題,我們團隊有三個方面的建議,即進一步推廣標準宣貫和應用、加快推進標準符合性評估認證工作、加快App安全檢測相關技術和檢測工具研發(fā)。
與此同時,《指南》使用中,還應該注意以下四個方面的問題:一是通過多種形式、多個方面應用標準,協(xié)同實現(xiàn)App生命周期安全;二是技管結合,從App惡意程序檢測、App應用行為風險檢測、App安全漏洞檢查、App個人信息風險檢查、針對App廠商的安全管理檢查五個方面驗證標準符合性;三是示范效應,即通過模范企業(yè)帶頭作用,形成標準落地應用示范,便于其他企業(yè)直接從工程實現(xiàn)角度參考,同時鼓勵模范企業(yè)帶頭落地應用標準的積極性;四是建立標準化工作常態(tài)機制,標準組織單位應進一步加強該標準的宣貫力度,編制配套的解讀說明性材料,舉辦相應的標準培訓,擴大受眾面,讓更多的企業(yè)和用戶了解該標準。
?。ü饷骶W(wǎng)記者 雷渺鑫)
版權聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權歸高原(北京)文化傳播有限公司。任何媒體轉載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關法律責任。