国产黄A三级三级三级看三级-国产A级毛片久久久久久精品-A级毛片无码久久精品免费-中文字幕日韩三级片-中国婬乱a一级毛片多女-亚洲一级Av无码毛片久久精品
歡迎您來到浙江省機(jī)械工業(yè)聯(lián)合會網(wǎng)站
當(dāng)前位置:
質(zhì)量標(biāo)準(zhǔn) >> 關(guān)于App安全風(fēng)險(xiǎn)管理國家標(biāo)準(zhǔn),專家這樣解讀...
×

關(guān)于App安全風(fēng)險(xiǎn)管理國家標(biāo)準(zhǔn),專家這樣解讀

2023-09-07 16:38閱讀數(shù):529

近年來,移動互聯(lián)網(wǎng)應(yīng)用程序(App)的廣泛應(yīng)用,在促進(jìn)經(jīng)濟(jì)社會發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。但App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象仍有存在,不僅侵犯個人財(cái)產(chǎn)和隱私安全,也給社會治理和國家安全帶來挑戰(zhàn)。

圖片

前不久,由安天移動安全牽頭編制的GB/T 42884-2023《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序(App)生命周期安全管理指南》國家標(biāo)準(zhǔn)(以下簡稱“《指南》”)正式發(fā)布,記者就《指南》出臺的背景意義、技術(shù)內(nèi)容、應(yīng)用群體、如何貫徹落實(shí)等問題,采訪了安天移動安全CEO陳家林。



記者

《指南》制訂的背景和主要考慮是什么?

圖片

陳家林:首先,我們要明確一點(diǎn),國標(biāo)的制定離不開行業(yè)現(xiàn)狀,以及政策、法規(guī)和技術(shù)的支持。

當(dāng)前,我國移動互聯(lián)網(wǎng)發(fā)展呈現(xiàn)三大特點(diǎn)與趨勢:用戶基數(shù)龐大、App背后是龐大的用戶隱私數(shù)據(jù)、App提供者安全意識弱導(dǎo)致埋下安全隱患。與此同時,《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等相關(guān)政策法規(guī)的相繼出臺,也對網(wǎng)絡(luò)安全和個人隱私安全保護(hù)提出了更高要求。

基于上述背景,2020年10月,編制組在武漢召開項(xiàng)目啟動會;12月在北京召開專家研討會,確定了標(biāo)準(zhǔn)的框架、編寫思路和解決問題;2021年4月,本標(biāo)準(zhǔn)在國標(biāo)委正式批準(zhǔn)立項(xiàng)。


記者

正式發(fā)布實(shí)施的《指南》包含哪些核心內(nèi)容?

圖片

陳家林:《指南》從安全威脅視角出發(fā),提出了生命周期七個階段安全管理要求和風(fēng)險(xiǎn)監(jiān)測管理要求。這里我們考慮的安全威脅包括:App惡意程序、App個人信息風(fēng)險(xiǎn)、App應(yīng)用行為風(fēng)險(xiǎn)、App安全漏洞四個方面。

而App生命周期七個階段則包括:需求分析、開發(fā)設(shè)計(jì)、測試驗(yàn)證、上架發(fā)布、安裝運(yùn)行、更新維護(hù)和終止運(yùn)營。這七個階段是我們與手機(jī)廠商、應(yīng)用商店廠商等一起討論總結(jié)的最佳實(shí)踐。它與傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用程序的主要區(qū)別是多了上架發(fā)布審核和安裝運(yùn)行檢測等相關(guān)活動。

而針對各類安全問題的角度來講的風(fēng)險(xiǎn)監(jiān)測管理過程,則包括對個人信息風(fēng)險(xiǎn)、應(yīng)用行為風(fēng)險(xiǎn)和安全漏洞進(jìn)行監(jiān)測、發(fā)現(xiàn)和處理。其中風(fēng)險(xiǎn)數(shù)據(jù)管理主要通過技術(shù)平臺來實(shí)現(xiàn)安全,安全漏洞管理主要通過流程制度來實(shí)現(xiàn)安全。


記者

《指南》的發(fā)布將對我國移動互聯(lián)網(wǎng)應(yīng)用行業(yè)帶來什么積極作用?

圖片

陳家林:安全是互聯(lián)網(wǎng)應(yīng)用的基石,《指南》的發(fā)布將用于指導(dǎo)移動互聯(lián)網(wǎng)應(yīng)用程序(App)的提供者和運(yùn)營者建立健康生命周期管理機(jī)制,提高移動互聯(lián)網(wǎng)應(yīng)用程序(App)的安全防護(hù)能力,滿足應(yīng)用程序安全、個人隱私保護(hù)和數(shù)據(jù)合規(guī)等方面的需求。從為移動互聯(lián)網(wǎng)應(yīng)用廠商的安全能力構(gòu)建提供建議,從App源頭保障應(yīng)用安全,節(jié)省安全成本。


記者

《指南》的應(yīng)用群體是哪些?能為他們提供什么技術(shù)指導(dǎo)?

圖片

陳家林:《指南》的應(yīng)用群體是App提供者、App分發(fā)平臺管理者、移動智能終端廠商,各方可根據(jù)自身定位來確定相關(guān)需求。例如,App提供者可參考本標(biāo)準(zhǔn),實(shí)施對App開發(fā)、運(yùn)營等生命周期的安全管理,在移動互聯(lián)網(wǎng)應(yīng)用程序的源頭引入安全防護(hù),降低安全成本。


記者

當(dāng)下的移動應(yīng)用生態(tài)存在哪些安全問題?針對這些問題,《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中有哪些關(guān)鍵技術(shù)手段,有何應(yīng)用?

圖片

陳家林:伴隨著App應(yīng)用的興起,App也面臨著諸多安全風(fēng)險(xiǎn),例如惡意程序、安全漏洞、隱私泄露等。根據(jù)工信部發(fā)布的《2022年上半年全國移動互聯(lián)網(wǎng)應(yīng)用安全報(bào)告》的統(tǒng)計(jì)數(shù)據(jù)來看,“流氓行為”類占惡意程序的87.05%;Janus漏洞占比56.04%;違規(guī)收集個人信息的風(fēng)險(xiǎn)占比27.35%。雖然每種安全問題的特點(diǎn)各不相同。例如惡意程序的攻擊危害大,安全漏洞的挖掘難度大,隱私泄露和應(yīng)用行為風(fēng)險(xiǎn)在應(yīng)用程序中的表現(xiàn)形式多樣,但都會給用戶帶來困擾。

針對上述問題,《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中應(yīng)用了4大關(guān)鍵技術(shù):應(yīng)用漏洞掃描技術(shù)、應(yīng)用病毒檢測技術(shù)、應(yīng)用行為風(fēng)險(xiǎn)檢測技術(shù)、個人信息風(fēng)險(xiǎn)檢測技術(shù)。其中,根據(jù)《指南》提出的指導(dǎo)App提供者規(guī)范性地實(shí)施App開發(fā)、運(yùn)營等生命周期安全管理要求,安天移動安全為幫助App提供者快速、精準(zhǔn)定位違規(guī)問題,提前識別產(chǎn)品存在的合規(guī)風(fēng)險(xiǎn),并提供完善的整改建議及方案,專門開發(fā)了違規(guī)預(yù)警平臺。


記者

對《指南》順利實(shí)施有何建議?使用中應(yīng)該注意哪些問題?

圖片

陳家林:安天移動安天十余年來始終立足于移動網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究,持續(xù)關(guān)注移動智能終端的安全態(tài)勢,在不良應(yīng)用程序安全治理工作上有一定的技術(shù)優(yōu)勢和專長。作為此次《指南》的牽頭編制單位,對于其接下來順利實(shí)施這一問題,我們團(tuán)隊(duì)有三個方面的建議,即進(jìn)一步推廣標(biāo)準(zhǔn)宣貫和應(yīng)用、加快推進(jìn)標(biāo)準(zhǔn)符合性評估認(rèn)證工作、加快App安全檢測相關(guān)技術(shù)和檢測工具研發(fā)。

與此同時,《指南》使用中,還應(yīng)該注意以下四個方面的問題:一是通過多種形式、多個方面應(yīng)用標(biāo)準(zhǔn),協(xié)同實(shí)現(xiàn)App生命周期安全;二是技管結(jié)合,從App惡意程序檢測、App應(yīng)用行為風(fēng)險(xiǎn)檢測、App安全漏洞檢查、App個人信息風(fēng)險(xiǎn)檢查、針對App廠商的安全管理檢查五個方面驗(yàn)證標(biāo)準(zhǔn)符合性;三是示范效應(yīng),即通過模范企業(yè)帶頭作用,形成標(biāo)準(zhǔn)落地應(yīng)用示范,便于其他企業(yè)直接從工程實(shí)現(xiàn)角度參考,同時鼓勵模范企業(yè)帶頭落地應(yīng)用標(biāo)準(zhǔn)的積極性;四是建立標(biāo)準(zhǔn)化工作常態(tài)機(jī)制,標(biāo)準(zhǔn)組織單位應(yīng)進(jìn)一步加強(qiáng)該標(biāo)準(zhǔn)的宣貫力度,編制配套的解讀說明性材料,舉辦相應(yīng)的標(biāo)準(zhǔn)培訓(xùn),擴(kuò)大受眾面,讓更多的企業(yè)和用戶了解該標(biāo)準(zhǔn)。


圖片-THE END-素材來源 | 光明網(wǎng)
登錄|注冊
国产黄A三级三级三级看三级-国产A级毛片久久久久久精品-A级毛片无码久久精品免费-中文字幕日韩三级片-中国婬乱a一级毛片多女-亚洲一级Av无码毛片久久精品