近年來(lái)，移動(dòng)互聯(lián)網(wǎng)應用程序（App）的廣泛應用，在促進(jìn)經(jīng)濟社會(huì )發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。但App強制授權、過(guò)度索權、超范圍收集個(gè)人信息的現象仍有存在，不僅侵犯個(gè)人財產(chǎn)和隱私安全，也給社會(huì )治理和國家安全帶來(lái)挑戰。

　　前不久，由安天移動(dòng)安全牽頭編制的GB/T 42884-2023《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應用程序（App）生命周期安全管理指南》國家標準（以下簡(jiǎn)稱(chēng)“《指南》”）正式發(fā)布，記者就《指南》出臺的背景意義、技術(shù)內容、應用群體、如何貫徹落實(shí)等問(wèn)題，采訪(fǎng)了安天移動(dòng)安全CEO陳家林。

　　記者：《指南》制訂的背景和主要考慮是什么？

　　陳家林：首先，我們要明確一點(diǎn)，國標的制定離不開(kāi)行業(yè)現狀，以及政策、法規和技術(shù)的支持。

　　當前，我國移動(dòng)互聯(lián)網(wǎng)發(fā)展呈現三大特點(diǎn)與趨勢：用戶(hù)基數龐大、App背后是龐大的用戶(hù)隱私數據、App提供者安全意識弱導致埋下安全隱患。與此同時(shí)，《網(wǎng)絡(luò )安全法》《個(gè)人信息保護法》《移動(dòng)互聯(lián)網(wǎng)應用程序信息服務(wù)管理規定》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護規定》等相關(guān)政策法規的相繼出臺，也對網(wǎng)絡(luò )安全和個(gè)人隱私安全保護提出了更高要求。

　　基于上述背景，2020年10月，編制組在武漢召開(kāi)項目啟動(dòng)會(huì )；12月在北京召開(kāi)專(zhuān)家研討會(huì )，確定了標準的框架、編寫(xiě)思路和解決問(wèn)題；2021年4月，本標準在國標委正式批準立項。

　　記者：正式發(fā)布實(shí)施的《指南》包含哪些核心內容？

　　陳家林：《指南》從安全威脅視角出發(fā)，提出了生命周期七個(gè)階段安全管理要求和風(fēng)險監測管理要求。這里我們考慮的安全威脅包括：App惡意程序、App個(gè)人信息風(fēng)險、App應用行為風(fēng)險、App安全漏洞四個(gè)方面。

　　而App生命周期七個(gè)階段則包括：需求分析、開(kāi)發(fā)設計、測試驗證、上架發(fā)布、安裝運行、更新維護和終止運營(yíng)。這七個(gè)階段是我們與手機廠(chǎng)商、應用商店廠(chǎng)商等一起討論總結的最佳實(shí)踐。它與傳統的互聯(lián)網(wǎng)應用程序的主要區別是多了上架發(fā)布審核和安裝運行檢測等相關(guān)活動(dòng)。

　　而針對各類(lèi)安全問(wèn)題的角度來(lái)講的風(fēng)險監測管理過(guò)程，則包括對個(gè)人信息風(fēng)險、應用行為風(fēng)險和安全漏洞進(jìn)行監測、發(fā)現和處理。其中風(fēng)險數據管理主要通過(guò)技術(shù)平臺來(lái)實(shí)現安全，安全漏洞管理主要通過(guò)流程制度來(lái)實(shí)現安全。

　　記者：《指南》的發(fā)布將對我國移動(dòng)互聯(lián)網(wǎng)應用行業(yè)帶來(lái)什么積極作用？

　　陳家林：安全是互聯(lián)網(wǎng)應用的基石，《指南》的發(fā)布將用于指導移動(dòng)互聯(lián)網(wǎng)應用程序（App）的提供者和運營(yíng)者建立健康生命周期管理機制，提高移動(dòng)互聯(lián)網(wǎng)應用程序（App）的安全防護能力，滿(mǎn)足應用程序安全、個(gè)人隱私保護和數據合規等方面的需求。從而為移動(dòng)互聯(lián)網(wǎng)應用廠(chǎng)商的安全能力構建提供建議，從App源頭保障應用安全，節省安全成本。

　　記者：《指南》的應用群體是哪些？能為他們提供什么技術(shù)指導？

　　陳家林：《指南》的應用群體是App提供者、App分發(fā)平臺管理者、移動(dòng)智能終端廠(chǎng)商，各方可根據自身定位來(lái)確定相關(guān)需求。例如，App提供者可參考本標準，實(shí)施對App開(kāi)發(fā)、運營(yíng)等生命周期的安全管理，在移動(dòng)互聯(lián)網(wǎng)應用程序的源頭引入安全防護，降低安全成本。

　　記者：當下的移動(dòng)應用生態(tài)存在哪些安全問(wèn)題？針對這些問(wèn)題，《指南》在指導和規范相關(guān)行業(yè)的過(guò)程中有哪些關(guān)鍵技術(shù)手段，有何應用？

　　陳家林：伴隨著(zhù)App應用的興起，App也面臨著(zhù)諸多安全風(fēng)險，例如惡意程序、安全漏洞、隱私泄露等。根據工信部發(fā)布的《2022年上半年全國移動(dòng)互聯(lián)網(wǎng)應用安全報告》的統計數據來(lái)看，“流氓行為”類(lèi)占惡意程序的87.05%；Janus漏洞占比56.04%；違規收集個(gè)人信息的風(fēng)險占比27.35%。雖然每種安全問(wèn)題的特點(diǎn)各不相同。例如惡意程序的攻擊危害大，安全漏洞的挖掘難度大，隱私泄露和應用行為風(fēng)險在應用程序中的表現形式多樣，但都會(huì )給用戶(hù)帶來(lái)困擾。

　　針對上述問(wèn)題，《指南》在指導和規范相關(guān)行業(yè)的過(guò)程中應用了4大關(guān)鍵技術(shù)：應用漏洞掃描技術(shù)、應用病毒檢測技術(shù)、應用行為風(fēng)險檢測技術(shù)、個(gè)人信息風(fēng)險檢測技術(shù)。其中，根據《指南》提出的指導App提供者規范性地實(shí)施App開(kāi)發(fā)、運營(yíng)等生命周期安全管理要求，安天移動(dòng)安全為幫助App提供者快速、精準定位違規問(wèn)題，提前識別產(chǎn)品存在的合規風(fēng)險，并提供完善的整改建議及方案，專(zhuān)門(mén)開(kāi)發(fā)了違規預警平臺。

　　記者：對《指南》順利實(shí)施有何建議？使用中應該注意哪些問(wèn)題？

　　陳家林：安天移動(dòng)安全十余年來(lái)始終立足于移動(dòng)網(wǎng)絡(luò )安全風(fēng)險研究，持續關(guān)注移動(dòng)智能終端的安全態(tài)勢，在不良應用程序安全治理工作上有一定的技術(shù)優(yōu)勢和專(zhuān)長(cháng)。作為此次《指南》的牽頭編制單位，對于其接下來(lái)順利實(shí)施這一問(wèn)題，我們團隊有三個(gè)方面的建議，即進(jìn)一步推廣標準宣貫和應用、加快推進(jìn)標準符合性評估認證工作、加快App安全檢測相關(guān)技術(shù)和檢測工具研發(fā)。

　　與此同時(shí)，《指南》使用中，還應該注意以下四個(gè)方面的問(wèn)題：一是通過(guò)多種形式、多個(gè)方面應用標準，協(xié)同實(shí)現App生命周期安全；二是技管結合，從App惡意程序檢測、App應用行為風(fēng)險檢測、App安全漏洞檢查、App個(gè)人信息風(fēng)險檢查、針對App廠(chǎng)商的安全管理檢查五個(gè)方面驗證標準符合性；三是示范效應，即通過(guò)模范企業(yè)帶頭作用，形成標準落地應用示范，便于其他企業(yè)直接從工程實(shí)現角度參考，同時(shí)鼓勵模范企業(yè)帶頭落地應用標準的積極性；四是建立標準化工作常態(tài)機制，標準組織單位應進(jìn)一步加強該標準的宣貫力度，編制配套的解讀說(shuō)明性材料，舉辦相應的標準培訓，擴大受眾面，讓更多的企業(yè)和用戶(hù)了解該標準。

　　（光明網(wǎng)記者 雷渺鑫）