久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

“互聯(lián)網(wǎng)+”形勢(shì)下，移動(dòng)應(yīng)用安全威脅呈現(xiàn)新態(tài)勢(shì)。一是移動(dòng)惡意應(yīng)用治理初見成效，但開發(fā)環(huán)節(jié)安全問題凸顯;二是隱私大數(shù)據(jù)攻擊模式顯現(xiàn)，漏洞潛在威脅攻擊面擴(kuò)大;三是移動(dòng)新業(yè)態(tài)不斷驅(qū)動(dòng)出現(xiàn)，安全防護(hù)基礎(chǔ)亟需夯實(shí)。為此，相關(guān)行業(yè)主管部門應(yīng)積極引導(dǎo)提升移動(dòng)應(yīng)用安全防護(hù)能力水平，強(qiáng)化企業(yè)移動(dòng)應(yīng)用安全防護(hù)能力審查力度，推動(dòng)相關(guān)技術(shù)標(biāo)準(zhǔn)貫徹實(shí)施，鼓勵(lì)第三方機(jī)構(gòu)建立專業(yè)移動(dòng)應(yīng)用安全漏洞應(yīng)急響應(yīng)通報(bào)平臺(tái)，促進(jìn)行業(yè)健康發(fā)展。

一、 安全新態(tài)勢(shì)

自2010年8月，Android平臺(tái)首度發(fā)現(xiàn)公認(rèn)病毒起，移動(dòng)應(yīng)用安全問題不斷爆發(fā)涌現(xiàn)，多年來經(jīng)過各方長期博弈，移動(dòng)應(yīng)用威脅逐步呈現(xiàn)新態(tài)勢(shì)。

(一)惡意應(yīng)用治理初見成效，正面戰(zhàn)場(chǎng)風(fēng)險(xiǎn)部分控制

2015年惡意應(yīng)用數(shù)量依然龐大，但增速逐步呈現(xiàn)放緩態(tài)勢(shì)。阿里聚安全發(fā)布的《移動(dòng)安全病毒年報(bào)》統(tǒng)計(jì)，2015年下半年病毒查殺量比上半年下降23%，下半年感染設(shè)備量比上半年下降38%，移動(dòng)惡意代碼量和用戶感染量均呈下降趨勢(shì)。長期以來，國內(nèi)移動(dòng)安全關(guān)注點(diǎn)較多聚焦于惡意應(yīng)用，隨著相關(guān)管理部門綜合治理及國內(nèi)安全檢測(cè)技術(shù)、標(biāo)準(zhǔn)日趨成熟，針對(duì)惡意應(yīng)用的安全對(duì)抗體系逐步建立，安全風(fēng)險(xiǎn)得到部分控制。

(二)開發(fā)環(huán)節(jié)安全問題凸顯，安全漏洞引發(fā)木桶效應(yīng)

移動(dòng)應(yīng)用開發(fā)環(huán)節(jié)引入的漏洞等問題被黑產(chǎn)廣泛利用，致各類安全威脅趨增且未得到有效控制，成移動(dòng)應(yīng)用安全脆弱點(diǎn)。2016年7月，通付盾移動(dòng)安全實(shí)驗(yàn)室發(fā)布的《2016第二季度移動(dòng)應(yīng)用安全監(jiān)告》監(jiān)測(cè)到3,343,986個(gè)高危漏洞;阿里聚安全發(fā)布的《2015互聯(lián)網(wǎng)安全年報(bào)》顯示，97%熱門APP存漏洞，安卓系統(tǒng)漏洞同比去年暴增10倍，iOS系統(tǒng)安全漏洞同比增長1.28倍。在移動(dòng)安全大事記中，蘋果XcodeGhost及威脅數(shù)億用戶的百度系SDK漏洞事件給業(yè)界敲響了安全警鐘，移動(dòng)開發(fā)環(huán)節(jié)引入的安全問題不斷升級(jí)演變，成為制約移動(dòng)生態(tài)從源頭健康發(fā)展的一大掣肘。

(三)隱私大數(shù)據(jù)攻擊模式顯現(xiàn)，漏洞潛在攻擊面擴(kuò)大

移動(dòng)應(yīng)用安全攻防呈愈演愈烈之勢(shì)，一是威脅攻擊手段持續(xù)進(jìn)化，更具針對(duì)性的隱私大數(shù)據(jù)攻擊模式顯現(xiàn)。移動(dòng)應(yīng)用黑色產(chǎn)業(yè)鏈迅猛發(fā)展，其將積累的數(shù)據(jù)與移動(dòng)平臺(tái)隱私信息進(jìn)行大數(shù)據(jù)關(guān)聯(lián)分析，深入建立受害者檔案畫像，對(duì)目標(biāo)進(jìn)行針對(duì)性攻擊。二是移動(dòng)應(yīng)用尚處安全防護(hù)空窗期，漏洞潛在威脅攻擊面持續(xù)擴(kuò)大。移動(dòng)智能終端缺少傳統(tǒng)信息系統(tǒng)安全防護(hù)機(jī)制和安全產(chǎn)品，助力于用戶建立堅(jiān)固安全防線，用戶安全意識(shí)也普遍薄弱，惡意攻擊者將利用此防護(hù)空窗期發(fā)起更多攻擊。

(四)移動(dòng)新業(yè)態(tài)驅(qū)動(dòng)出現(xiàn)，安全防護(hù)基礎(chǔ)亟需夯實(shí)

“互聯(lián)網(wǎng)+”形勢(shì)下，在開發(fā)環(huán)節(jié)減少應(yīng)用安全缺陷，提升其防攻擊、防篡改、防病毒等安全防護(hù)能力(簡稱“移動(dòng)應(yīng)用安全防護(hù)能力”)的需求日益迫切。一是移動(dòng)互聯(lián)網(wǎng)與大數(shù)據(jù)、云計(jì)算深度融合，安全問題涵蓋信道、系統(tǒng)、應(yīng)用等各方面，移動(dòng)應(yīng)用漏洞安全風(fēng)險(xiǎn)的木桶效應(yīng)將被進(jìn)一步放大。二是在大數(shù)據(jù)生態(tài)環(huán)境下，移動(dòng)應(yīng)用更多承載實(shí)體經(jīng)濟(jì)、社會(huì)管理功能，涉及個(gè)人隱私、商業(yè)秘密和國家安全重要數(shù)據(jù)，由漏洞衍生的大規(guī)模數(shù)據(jù)泄露、遠(yuǎn)程攻擊后果不可估量。

二、 國內(nèi)外情況

在移動(dòng)應(yīng)用安全防護(hù)能力凸顯不足形勢(shì)下，如何在設(shè)計(jì)、編碼、發(fā)布等環(huán)節(jié)控制風(fēng)險(xiǎn)，提升安全防護(hù)能力引關(guān)注。

從國外來看，各國主要以法律規(guī)范和行業(yè)標(biāo)準(zhǔn)引導(dǎo)為主，旨在減少移動(dòng)應(yīng)用開發(fā)過程產(chǎn)生的安全缺陷。2012年10月，加拿大隱私專員辦公室與阿拉伯塔省和不列顛哥倫比亞省隱私專員辦公室聯(lián)合發(fā)布《移動(dòng)APP開發(fā)隱私指南》，該指南指出開發(fā)者在APP設(shè)計(jì)和開發(fā)過程，應(yīng)如何加強(qiáng)個(gè)人隱私數(shù)據(jù)的安全保障;2014年4月，日本智能終端安全社JSSEC發(fā)布《Android 應(yīng)用軟件安全設(shè)計(jì)/安全代碼指導(dǎo)書》，指導(dǎo)書對(duì)Android應(yīng)用安全開發(fā)組件和用戶權(quán)限安全使用作出規(guī)定;2014年8月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST從管理角度出臺(tái)NIST SP 800 163，規(guī)范企業(yè)評(píng)估移動(dòng)應(yīng)用自身安全性流程方法，供企業(yè)參考。

從國內(nèi)來看，阿里聚安全、江蘇通付盾等安全企業(yè)業(yè)務(wù)范圍逐步覆蓋移動(dòng)應(yīng)用安全開發(fā)，CCSA等行業(yè)標(biāo)準(zhǔn)組織亦開始關(guān)注相關(guān)安全標(biāo)準(zhǔn)。2015年11月，阿里巴巴等在CCSA，聯(lián)合牽頭立項(xiàng)標(biāo)準(zhǔn)《移動(dòng)應(yīng)用開發(fā)安全能力技術(shù)要求》;12月，中國移動(dòng)終端公司發(fā)布新《終端應(yīng)用開發(fā)指南》，通付盾在移動(dòng)智能終端峰會(huì)上分享《移動(dòng)APP安全開發(fā)手冊(cè)》;2016年1月28日，中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟EMCC工作組，編制了《EMCG應(yīng)用軟件審核指南》和《EMCG應(yīng)用軟件開發(fā)安全指南》。2018年7月，中國信息通信研究院等在CCSA聯(lián)合牽頭立項(xiàng)標(biāo)準(zhǔn)《移動(dòng)應(yīng)用開發(fā)安全能力評(píng)估方法》。

三、 問題與挑戰(zhàn)

(一)行業(yè)聚焦移動(dòng)惡意程序治理，開發(fā)環(huán)節(jié)監(jiān)管缺位

當(dāng)前我國移動(dòng)應(yīng)用行業(yè)監(jiān)管主要聚焦在惡意程序治理上，移動(dòng)開發(fā)生態(tài)基礎(chǔ)環(huán)節(jié)安全仍缺乏整體行業(yè)引導(dǎo)和管控。監(jiān)管機(jī)構(gòu)需協(xié)調(diào)產(chǎn)業(yè)發(fā)展和安全關(guān)系，堅(jiān)持“把握源頭”和“全程監(jiān)控”原則，充分認(rèn)識(shí)由開發(fā)環(huán)節(jié)引入的安全風(fēng)險(xiǎn)和當(dāng)前面臨的挑戰(zhàn)，對(duì)移動(dòng)應(yīng)用進(jìn)行全生命周期安全管理，提升其安全防護(hù)能力。

(二)相關(guān)標(biāo)準(zhǔn)體系尚未形成，安全生態(tài)呈孤島局面

移動(dòng)應(yīng)用安全防護(hù)能力匱乏問題雖已引發(fā)行業(yè)關(guān)注，但安全生態(tài)仍呈孤島局面。一是統(tǒng)一有效安全開發(fā)、檢測(cè)行業(yè)標(biāo)準(zhǔn)尚未建立，開發(fā)者仍缺乏基本安全要求和安全技術(shù)指導(dǎo);二是開發(fā)者、應(yīng)用分發(fā)平臺(tái)、安全企業(yè)聯(lián)動(dòng)配合匱乏，覆蓋移動(dòng)應(yīng)用編碼、發(fā)布、流通全生命周期服務(wù)體系仍未建立，產(chǎn)業(yè)協(xié)會(huì)、聯(lián)盟未形成強(qiáng)有力的牽引力量，促進(jìn)移動(dòng)安全生態(tài)健康發(fā)展。

(三)開發(fā)者安全意識(shí)與技術(shù)薄弱，企業(yè)安全投入不足

為搶占移動(dòng)互聯(lián)網(wǎng)入口，企業(yè)各方不遺余力地推廣與更新自身應(yīng)用。然而，一是開發(fā)者安全意識(shí)薄弱，安全威脅認(rèn)識(shí)不足，面對(duì)產(chǎn)品更新壓力放寬安全要求簡便操作;二是多數(shù)開發(fā)者安全技術(shù)水平匱乏，無法對(duì)移動(dòng)應(yīng)用開發(fā)環(huán)節(jié)安全風(fēng)險(xiǎn)進(jìn)行有效控制;三是企業(yè)普遍無意加大安全投入，重用戶體驗(yàn)而輕安全保保障，移動(dòng)應(yīng)用安全防護(hù)能力虛弱。

四、 應(yīng)對(duì)策略

(一)強(qiáng)化移動(dòng)應(yīng)用安全防護(hù)能力審查機(jī)制

我國相關(guān)主管部門應(yīng)積極引導(dǎo)提升移動(dòng)應(yīng)用安全防護(hù)能力水平，增加企業(yè)移動(dòng)應(yīng)用安全防護(hù)能力審查力度。一是將其作為基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任制考核要點(diǎn)，積極推動(dòng)工作落實(shí);二是深入貫徹《國務(wù)院關(guān)于積極推進(jìn)"互聯(lián)網(wǎng)+"行動(dòng)的指導(dǎo)意見》，重點(diǎn)開展“互聯(lián)網(wǎng)+”普惠金融、“互聯(lián)網(wǎng)+”益民服務(wù)、“互聯(lián)網(wǎng)+”電子商務(wù)、“互聯(lián)網(wǎng)+”高效物流等典型互聯(lián)網(wǎng)企業(yè)移動(dòng)應(yīng)用安全防護(hù)審查試點(diǎn)示范工作，健全行業(yè)網(wǎng)絡(luò)安全防護(hù)審查機(jī)制。

(二)增強(qiáng)監(jiān)管標(biāo)準(zhǔn)技術(shù)支撐能力，強(qiáng)化平臺(tái)主體責(zé)任

一是完善相關(guān)標(biāo)準(zhǔn)體系，切實(shí)推動(dòng)“移動(dòng)應(yīng)用開發(fā)安全能力技術(shù)要求/評(píng)估”等標(biāo)準(zhǔn)貫徹實(shí)施，為安全開發(fā)、測(cè)評(píng)提供指導(dǎo);二是增強(qiáng)監(jiān)管技術(shù)支撐能力，支持國內(nèi)第三方檢測(cè)、評(píng)估、認(rèn)證相關(guān)技術(shù)手段建設(shè)，為行業(yè)監(jiān)管提供有力抓手;三是引入平臺(tái)治理模式，移動(dòng)應(yīng)用分發(fā)平臺(tái)在應(yīng)用上架前的安全審核中，應(yīng)增加移動(dòng)應(yīng)用安全防護(hù)能力測(cè)試評(píng)估，安全防控分發(fā)源頭。

(三)提升開發(fā)者安全意識(shí)和能力，激勵(lì)安全技術(shù)創(chuàng)新

一是展開“移動(dòng)應(yīng)用安全開發(fā)”宣傳周活動(dòng)，推進(jìn)網(wǎng)絡(luò)安全文化建設(shè)，增強(qiáng)開發(fā)者安全意識(shí);二是開展APP安全開發(fā)培訓(xùn)、競(jìng)賽，提高開發(fā)者安全開發(fā)能力;三是組織產(chǎn)業(yè)峰會(huì)、學(xué)術(shù)沙龍，加強(qiáng)技術(shù)交流，鼓勵(lì)安全技術(shù)創(chuàng)新。