樹彬

摘 要：隨著我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信技術(shù)的高速發(fā)展，人們的日常工作、學(xué)習(xí)和生活使用移動終端和移動APP越來越普遍，個人信息安全問題也得到了社會的廣泛關(guān)注。國家標準化管理委員會針對移動互聯(lián)安全的擴展要求，發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，標志著我國網(wǎng)絡(luò)安全等級保護工作正式進入“2.0時代”。本文研究了新版等級防護針對移動APP的防護要點，對如何提高移動APP等級保護對象的信息可靠性提出若干問題和有效建議。

關(guān)鍵詞：移動APP;信息安全技術(shù);等級保護

進入移動互聯(lián)時代以來，移動終端的數(shù)量和用戶群體不斷增長。截止2018年12月，我國移動智能終端規(guī)模突破14.5億臺。更加豐富多樣的移動APP也在人們的學(xué)習(xí)、工作和生活中得到廣泛的應(yīng)用，信息安全也面臨著嚴峻的考驗。網(wǎng)絡(luò)詐騙、信息泄露、惡意扣費、流量損失等事件不斷發(fā)生，對移動APP用戶的正常使用產(chǎn)生了不良的影響。在此背景下，國家標準化管理委員會針對移動互聯(lián)安全的擴展要求，發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（簡稱“網(wǎng)絡(luò)安全等級保護標準”），標志著我國網(wǎng)絡(luò)安全等級保護工作正式進入“2.0時代”。

1 移動APP新版網(wǎng)絡(luò)安全等級保護要點

新版網(wǎng)絡(luò)安全等級保護標準中將使用移動互聯(lián)技術(shù)的保護對象進行統(tǒng)一定級，移動終端、移動APP和無線網(wǎng)絡(luò)等要素不再單獨定級，與其他采用移動互聯(lián)技術(shù)的設(shè)備、應(yīng)用和網(wǎng)絡(luò)環(huán)境一起定級為移動互聯(lián)技術(shù)保護對象。新標準對移動互聯(lián)技術(shù)保護對象的環(huán)境安全、物理安全、網(wǎng)絡(luò)安全、軟件安全、通信安全、計算安全、數(shù)據(jù)安全等內(nèi)容進行擴展，分為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全4個方面的技術(shù)層面類別。在管理層面則分為安全制度、安全組織、安全建設(shè)、安全運維4個類別。本文列舉以下幾個新標準提出的等級保護新內(nèi)容：

1.1 移動終端安全等級保護

新標準針對移動終端的安全，對其安裝環(huán)境、自身可靠性和運行環(huán)境進行了新標準制定，比如指定了不同等級保護對象的訪問要進行應(yīng)用級隔離，采用黑白名單方式來控制軟件的自動安裝和運行方式;指定移動終端管理服務(wù)端的設(shè)備周期、遠程控制權(quán)限、安全管控機制等。

1.2 移動APP代碼安全等級保護

新標準針對移動應(yīng)用代碼泄露、被篡改和冒用等問題，提出了新的代碼校驗技術(shù)要求，以達到保證代碼可靠性和完整性。規(guī)定等級保護對象的移動應(yīng)用軟件在出廠前要經(jīng)省級以上專業(yè)評測機構(gòu)可靠性檢測通過后方可上線，在移動APP發(fā)布、安裝和運行過程中要采用可靠的數(shù)字證書簽名和分發(fā)渠道等技術(shù)來保證移動APP的代碼安全。

1.3 無線網(wǎng)絡(luò)安全等級保護

新標準對移動終端的無線網(wǎng)絡(luò)接入和傳輸提出了可靠接入、入侵防范、通信保障等安全要求。如無線接入設(shè)備的過程要被檢測、記錄和定位，要管控接入設(shè)備的SSID廣播、WPS等高風(fēng)險功能的開關(guān)狀態(tài)，對等級保護對象無線通信中的敏感報文進行加密處理等。

1.4 移動互聯(lián)安全管理

新標準要求建立針對移動互聯(lián)的安全管理制度，對終端、網(wǎng)絡(luò)、APP和用戶行為進行統(tǒng)一管理。設(shè)置移動互聯(lián)管理組織和人員體系，明確管理制度和管理員職責(zé)，加強對終端、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境的軟硬件管理力度，建設(shè)有效實施安全管理制度的信息系統(tǒng)，將其納入移動互聯(lián)安全方案的總體設(shè)計中去。

2 移動APP等級保護對象的防護策略

在網(wǎng)絡(luò)安全等級保護標準落地實施研究過程中，要在以下幾個方面著重考慮移動APP等級保護對象的防護策略。

（1）新標準要求將終端、應(yīng)用和網(wǎng)絡(luò)環(huán)境視為一個整體對象，與其他采用移動互聯(lián)技術(shù)的保護對象一起來定級。但在現(xiàn)有的移動互聯(lián)應(yīng)用體系中，APP應(yīng)用、網(wǎng)絡(luò)、終端的運維負責(zé)單位是不同個體，如銀行類APP就存在銀行網(wǎng)絡(luò)、銀行服務(wù)器、用戶個人終端、銀行柜臺終端、無線WIFI網(wǎng)絡(luò)、移動運營商網(wǎng)絡(luò)、軟件程序等多個等級保護對象，這些對象隸屬的單位或個人是完全不同的，涉及面甚廣，在實施等級保護對象防御系統(tǒng)設(shè)計和應(yīng)用時，誰來負責(zé)設(shè)計、實施和應(yīng)用是很大的難題。

（2）目前新標準針對移動APP等級保護對象的通信網(wǎng)絡(luò)要求強調(diào)的是無線網(wǎng)絡(luò)，但在實際應(yīng)用時存在使用轉(zhuǎn)接設(shè)備實現(xiàn)有線上網(wǎng)或藍牙共享上網(wǎng)的情況。移動終端和其它設(shè)備的多樣性和復(fù)雜性都會對移動APP等級保護對象的防護造成影響，很難指定統(tǒng)一的標準和管理制度。

（3）新標準對移動APP獲取用戶或業(yè)務(wù)敏感信息的授權(quán)、存儲、傳輸和計算等方面進行了詳細要求，但是對移動APP獲取用戶隱私信息的數(shù)量、途徑和利用方式?jīng)]有明確規(guī)定。目前移動APP在首次應(yīng)用時會有用戶須知手冊提示，但對具體的敏感信息類別沒有明確標識，用戶也不能指定不可被獲取的個人隱私信息。例如通訊錄、定位、生活習(xí)慣等敏感信息是部分移動APP的必備數(shù)據(jù)，但用戶無法自主設(shè)定哪些數(shù)據(jù)可以提供和被分析。

（4）新標準明確提出移動APP的發(fā)行需要具有資質(zhì)的檢測機構(gòu)評測合格后才可以發(fā)布。但目前移動APP的下載渠道較多，不同型號的終端、操作系統(tǒng)都要有兼容性的安裝程序。部分輔助工具提供的APP下載已經(jīng)是舊版本或不兼容版本，安全廠商提供的檢測結(jié)果也存在結(jié)果不一致或版本不全等問題。檢測的權(quán)威性也無法得到保證，檢測方法不同導(dǎo)致檢測結(jié)果不同情況較為普遍。

（5）新標準要求移動APP等級保護對象“應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別”。但這個要求只是規(guī)定了用戶身份鑒別的方法數(shù)量，并沒有對準確性、可靠性進行約束，比如采取數(shù)字密碼和圖案密碼的形式是類似的但算是2種鑒別方法，這經(jīng)常被軟件廠商利用來應(yīng)付檢測，但實質(zhì)上安全性并沒有顯著提高。

3 結(jié)語

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》的發(fā)布標志著我國網(wǎng)絡(luò)安全等級保護工作正式進入“2.0時代”，對移動互聯(lián)類等級保護對象的新內(nèi)容也會對移動APP的研發(fā)、推廣、應(yīng)用和維護造成深淵的影響。新標準的提出和落地還需要一定時間，建議在工信部、公安部等政府部門牽頭，制定行之有效的移動APP測評標準，建設(shè)全國范圍的科技測評機構(gòu)體系，開展廣泛的產(chǎn)品測評、系統(tǒng)評估、漏洞修復(fù)和法律標準研究工作，對授權(quán)方的業(yè)務(wù)水平和相關(guān)資質(zhì)進行有效評估?？傊褪且谛聵藴实幕A(chǔ)上進行有效建設(shè)，提高移動APP等級保護對象的評測水平，保證移動APP應(yīng)用的安全性和可維護性。

參考文獻：

[1]趙晶晶.基于等級保護的網(wǎng)絡(luò)安全建設(shè)之研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）：17-19.

[2]王坤.移動APP安全及等級保護測評實踐研究[J].電腦編程技巧與維護，2017（1）：40-41.

[3]蔣健健.移動APP的現(xiàn)狀與發(fā)展[J].現(xiàn)代工業(yè)經(jīng)濟和信息化，2017（3）：74-75.