加强移动应用安全保障,助力移动互联网产业健康发展

时间:2018-10-24     信息来源:

      近年来,我国移动互联网取得快速发展,特别是在4G网络的全面应用以及移动终端设备高速增长下,移动应用数量持续增长,移动互联已深入到民生各个领域并取得不断创新。在移动互联网产业实现飞跃式发展下,移动应用的安全性变得越来越重要。

       一、移动互联网发展现状及趋势

   (一)移动互联网规模快速增长

   截止到2018年上半年,我国移动互联网用户总数达到13.4亿户,同比增长14.5%,手机上网用户数达12.3亿户。移动互联网经济快速增长,2017年交易规模达5.28万亿元,占GDP比重为8.3%,增速是GDP增速的3.25倍,人均单日的移动应用的使用时长已经接近5个小时,移动数据流量消费同比上升了162%。移动应用已成为各领域业务开展的主流业务形式。

   (二)移动应用规模保持快速增长

   截止2018年4月,我国市场移动应用数量超过414万个,其中安卓市场移动应用231万个,苹果市场移动应用183万个。游戏、系统工具、社交通讯、影音播放四类应用规模最大,下载数量超千亿次。其次是日常工具、生活服务、资讯月度、电子商务、金融等领域应用规模也较大。

   (三)移动应用加速创新,推动民生、政务创新发展

   移动应用已进入日常生活方方面面,包括移动支付、购物、餐饮、出行等各类上网需要以及商业创新,潜移默化的改变了人们生活和生产方式。与此同时,移动电子政务也成为重要的趋势,移动端成为政府服务的重要载体。有关统计,全国各级政府的各类政务服务移动应用已经超过2000个,超过半数以上的中央政府部门发布了面向公众服务的移动应用。

   (四)数据是移动应用市场的核心资产

   随着移动互联网经济的快速发展,移动应用市场的数据规模和数据价值呈现“双高”增长,数据已经成为移动应用领域的核心资产,数据安全是移动应用安全的核心内容。

   (五)移动应用安全与数字经济发展紧密相关

   我国移动互联网快速的发展,对数字经济发展提供了重要的推动力,而移动应用领域的安全威胁也给数字经济发展带来了日益严峻的挑战,移动应用安全作为网络安全一个越来越重要的组成部分,对数字经济健康发展起着举足轻重的作用,只有持续的提升移动应用安全的保障能力,才能更好的为数字经济健康发展保驾护航。

   二、当前移动应用安全形势严峻

   (一)移动互联网恶意程序数量规模庞大、增长很快

   2017年,CNCERT通过自主捕获和厂商提交的移动互联网恶意程序数量达253万余个,相比2016年增长23.4%。排名前五的恶意应用行为为流氓行为(37%)、恶意扣费(35%)、资费消耗(11%)、隐私窃取(8%)、远程控制(7%),这些恶意程序覆盖大量的移动互联网用户。

   (二)移动应用渠道众多,内容流量大,监管困难

   据统计,我国现有安卓应用市场及下载渠道约600家,需具备“全渠道”的捕获监测能力才能了解全面的移动应用安全状况,用户无法判断应用的安全性,给不良应用带来可乘之机。而内容监管需要对移动应用包文件进行深度解析,采用真机或沙盒方式获取服务端的信息内容,对应用发布的文字、图片、视频内容进行违规内容检测,内容数据量十分庞大,监管工作难度较大。

   (三)隐私信息泄露问题持续,数据安全问题日益突出

   中国消费者协会通过调研显示,85.2%用户遭遇过个人信息泄露。隐私信息保护目前面对两大问题,一是隐私滥用问题,包含过度、强制性收集用户信息,非法交易获得用户数据等;二是隐私泄露,包含由于终端或云端安全漏洞造成的泄露,以及因为人员和权限管理方面的问题引发的泄露。

   (四)移动应用的网络安全事件应急处置难

   移动应用的开发者信息、企业地域归属信息、SDK的调用等需要长期稳定的流程机制来保障,才能在发生网络安全事件时及时应急应对。

   (五)移动应用开发者对网络安全的重视度不够

   移动应用开发者在满足业务发展需求的同时,很少对安全做完整的考虑,因此对开发的应用的质量、存在的风险都是未知的状态。

   (六)移动办公安全风险呈上升趋势

   移动互联网在政府部门、重要行业、企业办公中的应用逐步深入,但是办公类移动应用自身安全性较为脆弱,应用所有者和使用者安全意识薄弱,未对移动应用进行有效地加固防护。近年来,移动办公平台日益成为黑客攻击的战场,各种病毒、木马攻击态势有增无减,重要数据和个人信息窃取成为常态,安全风险逐渐扩大。

   三、多方面加强移动应用安全体系建设

   (一)加快健全法律法规制度

   加快研究出台个人信息保护和数据安全保护方面的法律法规,健全产业健康发展的法律保障。隐私信息泄露是当前移动互联网发展中存在的突出问题,急需完善的法律制度予以保障。

   (二)针对移动应用实施全生命周期管理

   移动应用在开发阶段注重编码规范与代码审计,在上线前严格执行安全检测,及时进行安全加固。在运营阶段利用大数据分析技术加强移动应用数据采集,提升安全态势感知能力。

   (三)加强渠道的安全监测与管理

   加强移动应用渠道的安全监测与预警,严厉打击移动应用的串改、盗取、仿冒的行为,快速反应用户安全诉求,及时取证和处置安全问题,构建安全、便捷、高效的移动应用渠道市场。

   (四)开展安全监测联动管理工作

   建立开发者、渠道管理者、监管者多方联动、权责衔接的安全责任体系,加强监管执法,监督渠道自律,推动开发者安全认证,实现一体化安全管理。

   (五)积极利用技术手段,加强数据安全保障

   推动相关技术标准建设,建立移动应用开发及运营的技术规范措施。建立动态监测平台,积极防范大规模隐私泄露和欺诈数据融合,保障数据安全。

   (六)为隐私信息保护建立保障和弥补机制

   倡议实施有限实名制或替代实名制管理,控制个人隐私信息采集范围和途径,减少隐私信息泄露风险。建立“终身信息”泄露的弥补措施与机制,避免一旦泄露、终身置于风险的窘况。

 

(本文根据第六期网络安全创新发展高端论坛成果总结)