近年來，移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）的廣泛應(yīng)用，在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。但App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象仍有存在，不僅侵犯個(gè)人財(cái)產(chǎn)和隱私安全，也給社會(huì)治理和國家安全帶來挑戰(zhàn)。

　　前不久，由安天移動(dòng)安全牽頭編制的GB/T 42884-2023《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）生命周期安全管理指南》國家標(biāo)準(zhǔn)（以下簡稱“《指南》”）正式發(fā)布，記者就《指南》出臺(tái)的背景意義、技術(shù)內(nèi)容、應(yīng)用群體、如何貫徹落實(shí)等問題，采訪了安天移動(dòng)安全CEO陳家林。

　　記者：《指南》制訂的背景和主要考慮是什么？

　　陳家林：首先，我們要明確一點(diǎn)，國標(biāo)的制定離不開行業(yè)現(xiàn)狀，以及政策、法規(guī)和技術(shù)的支持。

　　當(dāng)前，我國移動(dòng)互聯(lián)網(wǎng)發(fā)展呈現(xiàn)三大特點(diǎn)與趨勢：用戶基數(shù)龐大、App背后是龐大的用戶隱私數(shù)據(jù)、App提供者安全意識(shí)弱導(dǎo)致埋下安全隱患。與此同時(shí)，《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等相關(guān)政策法規(guī)的相繼出臺(tái)，也對(duì)網(wǎng)絡(luò)安全和個(gè)人隱私安全保護(hù)提出了更高要求。

　　基于上述背景，2020年10月，編制組在武漢召開項(xiàng)目啟動(dòng)會(huì)；12月在北京召開專家研討會(huì)，確定了標(biāo)準(zhǔn)的框架、編寫思路和解決問題；2021年4月，本標(biāo)準(zhǔn)在國標(biāo)委正式批準(zhǔn)立項(xiàng)。

　　記者：正式發(fā)布實(shí)施的《指南》包含哪些核心內(nèi)容？

　　陳家林：《指南》從安全威脅視角出發(fā)，提出了生命周期七個(gè)階段安全管理要求和風(fēng)險(xiǎn)監(jiān)測管理要求。這里我們考慮的安全威脅包括：App惡意程序、App個(gè)人信息風(fēng)險(xiǎn)、App應(yīng)用行為風(fēng)險(xiǎn)、App安全漏洞四個(gè)方面。

　　而App生命周期七個(gè)階段則包括：需求分析、開發(fā)設(shè)計(jì)、測試驗(yàn)證、上架發(fā)布、安裝運(yùn)行、更新維護(hù)和終止運(yùn)營。這七個(gè)階段是我們與手機(jī)廠商、應(yīng)用商店廠商等一起討論總結(jié)的最佳實(shí)踐。它與傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用程序的主要區(qū)別是多了上架發(fā)布審核和安裝運(yùn)行檢測等相關(guān)活動(dòng)。

　　而針對(duì)各類安全問題的角度來講的風(fēng)險(xiǎn)監(jiān)測管理過程，則包括對(duì)個(gè)人信息風(fēng)險(xiǎn)、應(yīng)用行為風(fēng)險(xiǎn)和安全漏洞進(jìn)行監(jiān)測、發(fā)現(xiàn)和處理。其中風(fēng)險(xiǎn)數(shù)據(jù)管理主要通過技術(shù)平臺(tái)來實(shí)現(xiàn)安全，安全漏洞管理主要通過流程制度來實(shí)現(xiàn)安全。

　　記者：《指南》的發(fā)布將對(duì)我國移動(dòng)互聯(lián)網(wǎng)應(yīng)用行業(yè)帶來什么積極作用？

　　陳家林：安全是互聯(lián)網(wǎng)應(yīng)用的基石，《指南》的發(fā)布將用于指導(dǎo)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）的提供者和運(yùn)營者建立健康生命周期管理機(jī)制，提高移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）的安全防護(hù)能力，滿足應(yīng)用程序安全、個(gè)人隱私保護(hù)和數(shù)據(jù)合規(guī)等方面的需求。從而為移動(dòng)互聯(lián)網(wǎng)應(yīng)用廠商的安全能力構(gòu)建提供建議，從App源頭保障應(yīng)用安全，節(jié)省安全成本。

　　記者：《指南》的應(yīng)用群體是哪些？能為他們提供什么技術(shù)指導(dǎo)？

　　陳家林：《指南》的應(yīng)用群體是App提供者、App分發(fā)平臺(tái)管理者、移動(dòng)智能終端廠商，各方可根據(jù)自身定位來確定相關(guān)需求。例如，App提供者可參考本標(biāo)準(zhǔn)，實(shí)施對(duì)App開發(fā)、運(yùn)營等生命周期的安全管理，在移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的源頭引入安全防護(hù)，降低安全成本。

　　記者：當(dāng)下的移動(dòng)應(yīng)用生態(tài)存在哪些安全問題？針對(duì)這些問題，《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中有哪些關(guān)鍵技術(shù)手段，有何應(yīng)用？

　　陳家林：伴隨著App應(yīng)用的興起，App也面臨著諸多安全風(fēng)險(xiǎn)，例如惡意程序、安全漏洞、隱私泄露等。根據(jù)工信部發(fā)布的《2022年上半年全國移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全報(bào)告》的統(tǒng)計(jì)數(shù)據(jù)來看，“流氓行為”類占惡意程序的87.05%；Janus漏洞占比56.04%；違規(guī)收集個(gè)人信息的風(fēng)險(xiǎn)占比27.35%。雖然每種安全問題的特點(diǎn)各不相同。例如惡意程序的攻擊危害大，安全漏洞的挖掘難度大，隱私泄露和應(yīng)用行為風(fēng)險(xiǎn)在應(yīng)用程序中的表現(xiàn)形式多樣，但都會(huì)給用戶帶來困擾。

　　針對(duì)上述問題，《指南》在指導(dǎo)和規(guī)范相關(guān)行業(yè)的過程中應(yīng)用了4大關(guān)鍵技術(shù)：應(yīng)用漏洞掃描技術(shù)、應(yīng)用病毒檢測技術(shù)、應(yīng)用行為風(fēng)險(xiǎn)檢測技術(shù)、個(gè)人信息風(fēng)險(xiǎn)檢測技術(shù)。其中，根據(jù)《指南》提出的指導(dǎo)App提供者規(guī)范性地實(shí)施App開發(fā)、運(yùn)營等生命周期安全管理要求，安天移動(dòng)安全為幫助App提供者快速、精準(zhǔn)定位違規(guī)問題，提前識(shí)別產(chǎn)品存在的合規(guī)風(fēng)險(xiǎn)，并提供完善的整改建議及方案，專門開發(fā)了違規(guī)預(yù)警平臺(tái)。

　　記者：對(duì)《指南》順利實(shí)施有何建議？使用中應(yīng)該注意哪些問題？

　　陳家林：安天移動(dòng)安全十余年來始終立足于移動(dòng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究，持續(xù)關(guān)注移動(dòng)智能終端的安全態(tài)勢，在不良應(yīng)用程序安全治理工作上有一定的技術(shù)優(yōu)勢和專長。作為此次《指南》的牽頭編制單位，對(duì)于其接下來順利實(shí)施這一問題，我們團(tuán)隊(duì)有三個(gè)方面的建議，即進(jìn)一步推廣標(biāo)準(zhǔn)宣貫和應(yīng)用、加快推進(jìn)標(biāo)準(zhǔn)符合性評(píng)估認(rèn)證工作、加快App安全檢測相關(guān)技術(shù)和檢測工具研發(fā)。

　　與此同時(shí)，《指南》使用中，還應(yīng)該注意以下四個(gè)方面的問題：一是通過多種形式、多個(gè)方面應(yīng)用標(biāo)準(zhǔn)，協(xié)同實(shí)現(xiàn)App生命周期安全；二是技管結(jié)合，從App惡意程序檢測、App應(yīng)用行為風(fēng)險(xiǎn)檢測、App安全漏洞檢查、App個(gè)人信息風(fēng)險(xiǎn)檢查、針對(duì)App廠商的安全管理檢查五個(gè)方面驗(yàn)證標(biāo)準(zhǔn)符合性；三是示范效應(yīng)，即通過模范企業(yè)帶頭作用，形成標(biāo)準(zhǔn)落地應(yīng)用示范，便于其他企業(yè)直接從工程實(shí)現(xiàn)角度參考，同時(shí)鼓勵(lì)模范企業(yè)帶頭落地應(yīng)用標(biāo)準(zhǔn)的積極性；四是建立標(biāo)準(zhǔn)化工作常態(tài)機(jī)制，標(biāo)準(zhǔn)組織單位應(yīng)進(jìn)一步加強(qiáng)該標(biāo)準(zhǔn)的宣貫力度，編制配套的解讀說明性材料，舉辦相應(yīng)的標(biāo)準(zhǔn)培訓(xùn)，擴(kuò)大受眾面，讓更多的企業(yè)和用戶了解該標(biāo)準(zhǔn)。

　　（光明網(wǎng)記者 雷渺鑫）