欧美老妇性午夜小视频_国产97最新在线视频_亚洲精品免费Ww久久_日韩三级在线成人网站

中國西藏網(wǎng) > 即時新聞 > 時政

關(guān)于App安全風(fēng)險管理“國家標(biāo)準(zhǔn)”,業(yè)界這樣解讀

發(fā)布時間:2023-09-11 10:14:00來源: 光明網(wǎng)

  近年來,移動互聯(lián)網(wǎng)應(yīng)用程序(App)的廣泛應(yīng)用,在促進(jìn)經(jīng)濟(jì)社會發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。但App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象仍有存在,不僅侵犯個人財產(chǎn)和隱私安全,也給社會治理和國家安全帶來挑戰(zhàn)。

  前不久,由安天移動安全牽頭編制的GB/T 42884-2023《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序(App)生命周期安全管理指南》國家標(biāo)準(zhǔn)(以下簡稱“《指南》”)正式發(fā)布,記者就《指南》出臺的背景意義、技術(shù)內(nèi)容、應(yīng)用群體、如何貫徹落實(shí)等問題,采訪了安天移動安全CEO陳家林。

  記者:《指南》制訂的背景和主要考慮是什么?

  陳家林:首先,我們要明確一點(diǎn),國標(biāo)的制定離不開行業(yè)現(xiàn)狀,以及政策、法規(guī)和技術(shù)的支持。

  當(dāng)前,我國移動互聯(lián)網(wǎng)發(fā)展呈現(xiàn)三大特點(diǎn)與趨勢:用戶基數(shù)龐大、App背后是龐大的用戶隱私數(shù)據(jù)、App提供者安全意識弱導(dǎo)致埋下安全隱患。與此同時,《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等相關(guān)政策法規(guī)的相繼出臺,也對網(wǎng)絡(luò)安全和個人隱私安全保護(hù)提出了更高要求。

  基于上述背景,2020年10月,編制組在武漢召開項目啟動會;12月在北京召開專家研討會,確定了標(biāo)準(zhǔn)的框架、編寫思路和解決問題;2021年4月,本標(biāo)準(zhǔn)在國標(biāo)委正式批準(zhǔn)立項。

  記者:正式發(fā)布實(shí)施的《指南》包含哪些核心內(nèi)容?

  陳家林:《指南》從安全威脅視角出發(fā),提出了生命周期七個階段安全管理要求和風(fēng)險監(jiān)測管理要求。這里我們考慮的安全威脅包括:App惡意程序、App個人信息風(fēng)險、App應(yīng)用行為風(fēng)險、App安全漏洞四個方面。

  而App生命周期七個階段則包括:需求分析、開發(fā)設(shè)計、測試驗證、上架發(fā)布、安裝運(yùn)行、更新維護(hù)和終止運(yùn)營。這七個階段是我們與手機(jī)廠商、應(yīng)用商店廠商等一起討論總結(jié)的最佳實(shí)踐。它與傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用程序的主要區(qū)別是多了上架發(fā)布審核和安裝運(yùn)行檢測等相關(guān)活動。

  而針對各類安全問題的角度來講的風(fēng)險監(jiān)測管理過程,則包括對個人信息風(fēng)險、應(yīng)用行為風(fēng)險和安全漏洞進(jìn)行監(jiān)測、發(fā)現(xiàn)和處理。其中風(fēng)險數(shù)據(jù)管理主要通過技術(shù)平臺來實(shí)現(xiàn)安全,安全漏洞管理主要通過流程制度來實(shí)現(xiàn)安全。

  記者:《指南》的發(fā)布將對我國移動互聯(lián)網(wǎng)應(yīng)用行業(yè)帶來什么積極作用?

  陳家林:安全是互聯(lián)網(wǎng)應(yīng)用的基石,《指南》的發(fā)布將用于指導(dǎo)移動互聯(lián)網(wǎng)應(yīng)用程序(App)的提供者和運(yùn)營者建立健康生命周期管理機(jī)制,提高移動互聯(lián)網(wǎng)應(yīng)用程序(App)的安全防護(hù)能力,滿足應(yīng)用程序安全、個人隱私保護(hù)和數(shù)據(jù)合規(guī)等方面的需求。從而為移動互聯(lián)網(wǎng)應(yīng)用廠商的安全能力構(gòu)建提供建議,從App源頭保障應(yīng)用安全,節(jié)省安全成本。

  記者:《指南》的應(yīng)用群體是哪些?能為他們提供什么技術(shù)指導(dǎo)?

  陳家林:《指南》的應(yīng)用群體是App提供者、App分發(fā)平臺管理者、移動智能終端廠商,各方可根據(jù)自身定位來確定相關(guān)需求。例如,App提供者可參考本標(biāo)準(zhǔn),實(shí)施對App開發(fā)、運(yùn)營等生命周期的安全管理,在移動互聯(lián)網(wǎng)應(yīng)用程序的源頭引入安全防護(hù),降低安全成本。

  記者:當(dāng)下的移動應(yīng)用生態(tài)存在哪些安全問題?針對這些問題,《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中有哪些關(guān)鍵技術(shù)手段,有何應(yīng)用?

  陳家林:伴隨著App應(yīng)用的興起,App也面臨著諸多安全風(fēng)險,例如惡意程序、安全漏洞、隱私泄露等。根據(jù)工信部發(fā)布的《2022年上半年全國移動互聯(lián)網(wǎng)應(yīng)用安全報告》的統(tǒng)計數(shù)據(jù)來看,“流氓行為”類占惡意程序的87.05%;Janus漏洞占比56.04%;違規(guī)收集個人信息的風(fēng)險占比27.35%。雖然每種安全問題的特點(diǎn)各不相同。例如惡意程序的攻擊危害大,安全漏洞的挖掘難度大,隱私泄露和應(yīng)用行為風(fēng)險在應(yīng)用程序中的表現(xiàn)形式多樣,但都會給用戶帶來困擾。

  針對上述問題,《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中應(yīng)用了4大關(guān)鍵技術(shù):應(yīng)用漏洞掃描技術(shù)、應(yīng)用病毒檢測技術(shù)、應(yīng)用行為風(fēng)險檢測技術(shù)、個人信息風(fēng)險檢測技術(shù)。其中,根據(jù)《指南》提出的指導(dǎo)App提供者規(guī)范性地實(shí)施App開發(fā)、運(yùn)營等生命周期安全管理要求,安天移動安全為幫助App提供者快速、精準(zhǔn)定位違規(guī)問題,提前識別產(chǎn)品存在的合規(guī)風(fēng)險,并提供完善的整改建議及方案,專門開發(fā)了違規(guī)預(yù)警平臺。

  記者:對《指南》順利實(shí)施有何建議?使用中應(yīng)該注意哪些問題?

  陳家林:安天移動安全十余年來始終立足于移動網(wǎng)絡(luò)安全風(fēng)險研究,持續(xù)關(guān)注移動智能終端的安全態(tài)勢,在不良應(yīng)用程序安全治理工作上有一定的技術(shù)優(yōu)勢和專長。作為此次《指南》的牽頭編制單位,對于其接下來順利實(shí)施這一問題,我們團(tuán)隊有三個方面的建議,即進(jìn)一步推廣標(biāo)準(zhǔn)宣貫和應(yīng)用、加快推進(jìn)標(biāo)準(zhǔn)符合性評估認(rèn)證工作、加快App安全檢測相關(guān)技術(shù)和檢測工具研發(fā)。

  與此同時,《指南》使用中,還應(yīng)該注意以下四個方面的問題:一是通過多種形式、多個方面應(yīng)用標(biāo)準(zhǔn),協(xié)同實(shí)現(xiàn)App生命周期安全;二是技管結(jié)合,從App惡意程序檢測、App應(yīng)用行為風(fēng)險檢測、App安全漏洞檢查、App個人信息風(fēng)險檢查、針對App廠商的安全管理檢查五個方面驗證標(biāo)準(zhǔn)符合性;三是示范效應(yīng),即通過模范企業(yè)帶頭作用,形成標(biāo)準(zhǔn)落地應(yīng)用示范,便于其他企業(yè)直接從工程實(shí)現(xiàn)角度參考,同時鼓勵模范企業(yè)帶頭落地應(yīng)用標(biāo)準(zhǔn)的積極性;四是建立標(biāo)準(zhǔn)化工作常態(tài)機(jī)制,標(biāo)準(zhǔn)組織單位應(yīng)進(jìn)一步加強(qiáng)該標(biāo)準(zhǔn)的宣貫力度,編制配套的解讀說明性材料,舉辦相應(yīng)的標(biāo)準(zhǔn)培訓(xùn),擴(kuò)大受眾面,讓更多的企業(yè)和用戶了解該標(biāo)準(zhǔn)。

 ?。ü饷骶W(wǎng)記者 雷渺鑫)

(責(zé)編:李雨潼)

版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。