樹彬
摘 要:隨著我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信技術(shù)的高速發(fā)展,人們的日常工作、學(xué)習(xí)和生活使用移動(dòng)終端和移動(dòng)APP越來(lái)越普遍,個(gè)人信息安全問(wèn)題也得到了社會(huì)的廣泛關(guān)注。國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)針對(duì)移動(dòng)互聯(lián)安全的擴(kuò)展要求,發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入“2.0時(shí)代”。本文研究了新版等級(jí)防護(hù)針對(duì)移動(dòng)APP的防護(hù)要點(diǎn),對(duì)如何提高移動(dòng)APP等級(jí)保護(hù)對(duì)象的信息可靠性提出若干問(wèn)題和有效建議。
關(guān)鍵詞:移動(dòng)APP;信息安全技術(shù);等級(jí)保護(hù)
進(jìn)入移動(dòng)互聯(lián)時(shí)代以來(lái),移動(dòng)終端的數(shù)量和用戶群體不斷增長(zhǎng)。截止2018年12月,我國(guó)移動(dòng)智能終端規(guī)模突破14.5億臺(tái)。更加豐富多樣的移動(dòng)APP也在人們的學(xué)習(xí)、工作和生活中得到廣泛的應(yīng)用,信息安全也面臨著嚴(yán)峻的考驗(yàn)。網(wǎng)絡(luò)詐騙、信息泄露、惡意扣費(fèi)、流量損失等事件不斷發(fā)生,對(duì)移動(dòng)APP用戶的正常使用產(chǎn)生了不良的影響。在此背景下,國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)針對(duì)移動(dòng)互聯(lián)安全的擴(kuò)展要求,發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(簡(jiǎn)稱“網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)”),標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入“2.0時(shí)代”。
1 移動(dòng)APP新版網(wǎng)絡(luò)安全等級(jí)保護(hù)要點(diǎn)
新版網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)中將使用移動(dòng)互聯(lián)技術(shù)的保護(hù)對(duì)象進(jìn)行統(tǒng)一定級(jí),移動(dòng)終端、移動(dòng)APP和無(wú)線網(wǎng)絡(luò)等要素不再單獨(dú)定級(jí),與其他采用移動(dòng)互聯(lián)技術(shù)的設(shè)備、應(yīng)用和網(wǎng)絡(luò)環(huán)境一起定級(jí)為移動(dòng)互聯(lián)技術(shù)保護(hù)對(duì)象。新標(biāo)準(zhǔn)對(duì)移動(dòng)互聯(lián)技術(shù)保護(hù)對(duì)象的環(huán)境安全、物理安全、網(wǎng)絡(luò)安全、軟件安全、通信安全、計(jì)算安全、數(shù)據(jù)安全等內(nèi)容進(jìn)行擴(kuò)展,分為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全4個(gè)方面的技術(shù)層面類別。在管理層面則分為安全制度、安全組織、安全建設(shè)、安全運(yùn)維4個(gè)類別。本文列舉以下幾個(gè)新標(biāo)準(zhǔn)提出的等級(jí)保護(hù)新內(nèi)容:
1.1 移動(dòng)終端安全等級(jí)保護(hù)
新標(biāo)準(zhǔn)針對(duì)移動(dòng)終端的安全,對(duì)其安裝環(huán)境、自身可靠性和運(yùn)行環(huán)境進(jìn)行了新標(biāo)準(zhǔn)制定,比如指定了不同等級(jí)保護(hù)對(duì)象的訪問(wèn)要進(jìn)行應(yīng)用級(jí)隔離,采用黑白名單方式來(lái)控制軟件的自動(dòng)安裝和運(yùn)行方式;指定移動(dòng)終端管理服務(wù)端的設(shè)備周期、遠(yuǎn)程控制權(quán)限、安全管控機(jī)制等。
1.2 移動(dòng)APP代碼安全等級(jí)保護(hù)
新標(biāo)準(zhǔn)針對(duì)移動(dòng)應(yīng)用代碼泄露、被篡改和冒用等問(wèn)題,提出了新的代碼校驗(yàn)技術(shù)要求,以達(dá)到保證代碼可靠性和完整性。規(guī)定等級(jí)保護(hù)對(duì)象的移動(dòng)應(yīng)用軟件在出廠前要經(jīng)省級(jí)以上專業(yè)評(píng)測(cè)機(jī)構(gòu)可靠性檢測(cè)通過(guò)后方可上線,在移動(dòng)APP發(fā)布、安裝和運(yùn)行過(guò)程中要采用可靠的數(shù)字證書簽名和分發(fā)渠道等技術(shù)來(lái)保證移動(dòng)APP的代碼安全。
1.3 無(wú)線網(wǎng)絡(luò)安全等級(jí)保護(hù)
新標(biāo)準(zhǔn)對(duì)移動(dòng)終端的無(wú)線網(wǎng)絡(luò)接入和傳輸提出了可靠接入、入侵防范、通信保障等安全要求。如無(wú)線接入設(shè)備的過(guò)程要被檢測(cè)、記錄和定位,要管控接入設(shè)備的SSID廣播、WPS等高風(fēng)險(xiǎn)功能的開關(guān)狀態(tài),對(duì)等級(jí)保護(hù)對(duì)象無(wú)線通信中的敏感報(bào)文進(jìn)行加密處理等。
1.4 移動(dòng)互聯(lián)安全管理
新標(biāo)準(zhǔn)要求建立針對(duì)移動(dòng)互聯(lián)的安全管理制度,對(duì)終端、網(wǎng)絡(luò)、APP和用戶行為進(jìn)行統(tǒng)一管理。設(shè)置移動(dòng)互聯(lián)管理組織和人員體系,明確管理制度和管理員職責(zé),加強(qiáng)對(duì)終端、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境的軟硬件管理力度,建設(shè)有效實(shí)施安全管理制度的信息系統(tǒng),將其納入移動(dòng)互聯(lián)安全方案的總體設(shè)計(jì)中去。
2 移動(dòng)APP等級(jí)保護(hù)對(duì)象的防護(hù)策略
在網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)落地實(shí)施研究過(guò)程中,要在以下幾個(gè)方面著重考慮移動(dòng)APP等級(jí)保護(hù)對(duì)象的防護(hù)策略。
(1)新標(biāo)準(zhǔn)要求將終端、應(yīng)用和網(wǎng)絡(luò)環(huán)境視為一個(gè)整體對(duì)象,與其他采用移動(dòng)互聯(lián)技術(shù)的保護(hù)對(duì)象一起來(lái)定級(jí)。但在現(xiàn)有的移動(dòng)互聯(lián)應(yīng)用體系中,APP應(yīng)用、網(wǎng)絡(luò)、終端的運(yùn)維負(fù)責(zé)單位是不同個(gè)體,如銀行類APP就存在銀行網(wǎng)絡(luò)、銀行服務(wù)器、用戶個(gè)人終端、銀行柜臺(tái)終端、無(wú)線WIFI網(wǎng)絡(luò)、移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)、軟件程序等多個(gè)等級(jí)保護(hù)對(duì)象,這些對(duì)象隸屬的單位或個(gè)人是完全不同的,涉及面甚廣,在實(shí)施等級(jí)保護(hù)對(duì)象防御系統(tǒng)設(shè)計(jì)和應(yīng)用時(shí),誰(shuí)來(lái)負(fù)責(zé)設(shè)計(jì)、實(shí)施和應(yīng)用是很大的難題。
(2)目前新標(biāo)準(zhǔn)針對(duì)移動(dòng)APP等級(jí)保護(hù)對(duì)象的通信網(wǎng)絡(luò)要求強(qiáng)調(diào)的是無(wú)線網(wǎng)絡(luò),但在實(shí)際應(yīng)用時(shí)存在使用轉(zhuǎn)接設(shè)備實(shí)現(xiàn)有線上網(wǎng)或藍(lán)牙共享上網(wǎng)的情況。移動(dòng)終端和其它設(shè)備的多樣性和復(fù)雜性都會(huì)對(duì)移動(dòng)APP等級(jí)保護(hù)對(duì)象的防護(hù)造成影響,很難指定統(tǒng)一的標(biāo)準(zhǔn)和管理制度。
(3)新標(biāo)準(zhǔn)對(duì)移動(dòng)APP獲取用戶或業(yè)務(wù)敏感信息的授權(quán)、存儲(chǔ)、傳輸和計(jì)算等方面進(jìn)行了詳細(xì)要求,但是對(duì)移動(dòng)APP獲取用戶隱私信息的數(shù)量、途徑和利用方式?jīng)]有明確規(guī)定。目前移動(dòng)APP在首次應(yīng)用時(shí)會(huì)有用戶須知手冊(cè)提示,但對(duì)具體的敏感信息類別沒(méi)有明確標(biāo)識(shí),用戶也不能指定不可被獲取的個(gè)人隱私信息。例如通訊錄、定位、生活習(xí)慣等敏感信息是部分移動(dòng)APP的必備數(shù)據(jù),但用戶無(wú)法自主設(shè)定哪些數(shù)據(jù)可以提供和被分析。
(4)新標(biāo)準(zhǔn)明確提出移動(dòng)APP的發(fā)行需要具有資質(zhì)的檢測(cè)機(jī)構(gòu)評(píng)測(cè)合格后才可以發(fā)布。但目前移動(dòng)APP的下載渠道較多,不同型號(hào)的終端、操作系統(tǒng)都要有兼容性的安裝程序。部分輔助工具提供的APP下載已經(jīng)是舊版本或不兼容版本,安全廠商提供的檢測(cè)結(jié)果也存在結(jié)果不一致或版本不全等問(wèn)題。檢測(cè)的權(quán)威性也無(wú)法得到保證,檢測(cè)方法不同導(dǎo)致檢測(cè)結(jié)果不同情況較為普遍。
(5)新標(biāo)準(zhǔn)要求移動(dòng)APP等級(jí)保護(hù)對(duì)象“應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別”。但這個(gè)要求只是規(guī)定了用戶身份鑒別的方法數(shù)量,并沒(méi)有對(duì)準(zhǔn)確性、可靠性進(jìn)行約束,比如采取數(shù)字密碼和圖案密碼的形式是類似的但算是2種鑒別方法,這經(jīng)常被軟件廠商利用來(lái)應(yīng)付檢測(cè),但實(shí)質(zhì)上安全性并沒(méi)有顯著提高。
3 結(jié)語(yǔ)
《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的發(fā)布標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入“2.0時(shí)代”,對(duì)移動(dòng)互聯(lián)類等級(jí)保護(hù)對(duì)象的新內(nèi)容也會(huì)對(duì)移動(dòng)APP的研發(fā)、推廣、應(yīng)用和維護(hù)造成深淵的影響。新標(biāo)準(zhǔn)的提出和落地還需要一定時(shí)間,建議在工信部、公安部等政府部門牽頭,制定行之有效的移動(dòng)APP測(cè)評(píng)標(biāo)準(zhǔn),建設(shè)全國(guó)范圍的科技測(cè)評(píng)機(jī)構(gòu)體系,開展廣泛的產(chǎn)品測(cè)評(píng)、系統(tǒng)評(píng)估、漏洞修復(fù)和法律標(biāo)準(zhǔn)研究工作,對(duì)授權(quán)方的業(yè)務(wù)水平和相關(guān)資質(zhì)進(jìn)行有效評(píng)估??傊褪且谛聵?biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行有效建設(shè),提高移動(dòng)APP等級(jí)保護(hù)對(duì)象的評(píng)測(cè)水平,保證移動(dòng)APP應(yīng)用的安全性和可維護(hù)性。
參考文獻(xiàn):
[1]趙晶晶.基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全建設(shè)之研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(4):17-19.
[2]王坤.移動(dòng)APP安全及等級(jí)保護(hù)測(cè)評(píng)實(shí)踐研究[J].電腦編程技巧與維護(hù),2017(1):40-41.
[3]蔣健健.移動(dòng)APP的現(xiàn)狀與發(fā)展[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化,2017(3):74-75.