樹彬

摘 要：隨著我國網絡基礎設施和通信技術的高速發(fā)展，人們的日常工作、學習和生活使用移動終端和移動APP越來越普遍，個人信息安全問題也得到了社會的廣泛關注。國家標準化管理委員會針對移動互聯(lián)安全的擴展要求，發(fā)布了《信息安全技術網絡安全等級保護基本要求》，標志著我國網絡安全等級保護工作正式進入“2.0時代”。本文研究了新版等級防護針對移動APP的防護要點，對如何提高移動APP等級保護對象的信息可靠性提出若干問題和有效建議。

關鍵詞：移動APP;信息安全技術;等級保護

進入移動互聯(lián)時代以來，移動終端的數(shù)量和用戶群體不斷增長。截止2018年12月，我國移動智能終端規(guī)模突破14.5億臺。更加豐富多樣的移動APP也在人們的學習、工作和生活中得到廣泛的應用，信息安全也面臨著嚴峻的考驗。網絡詐騙、信息泄露、惡意扣費、流量損失等事件不斷發(fā)生，對移動APP用戶的正常使用產生了不良的影響。在此背景下，國家標準化管理委員會針對移動互聯(lián)安全的擴展要求，發(fā)布了《信息安全技術網絡安全等級保護基本要求》（簡稱“網絡安全等級保護標準”），標志著我國網絡安全等級保護工作正式進入“2.0時代”。

1 移動APP新版網絡安全等級保護要點

新版網絡安全等級保護標準中將使用移動互聯(lián)技術的保護對象進行統(tǒng)一定級，移動終端、移動APP和無線網絡等要素不再單獨定級，與其他采用移動互聯(lián)技術的設備、應用和網絡環(huán)境一起定級為移動互聯(lián)技術保護對象。新標準對移動互聯(lián)技術保護對象的環(huán)境安全、物理安全、網絡安全、軟件安全、通信安全、計算安全、數(shù)據安全等內容進行擴展，分為物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全4個方面的技術層面類別。在管理層面則分為安全制度、安全組織、安全建設、安全運維4個類別。本文列舉以下幾個新標準提出的等級保護新內容：

1.1 移動終端安全等級保護

新標準針對移動終端的安全，對其安裝環(huán)境、自身可靠性和運行環(huán)境進行了新標準制定，比如指定了不同等級保護對象的訪問要進行應用級隔離，采用黑白名單方式來控制軟件的自動安裝和運行方式;指定移動終端管理服務端的設備周期、遠程控制權限、安全管控機制等。

1.2 移動APP代碼安全等級保護

新標準針對移動應用代碼泄露、被篡改和冒用等問題，提出了新的代碼校驗技術要求，以達到保證代碼可靠性和完整性。規(guī)定等級保護對象的移動應用軟件在出廠前要經省級以上專業(yè)評測機構可靠性檢測通過后方可上線，在移動APP發(fā)布、安裝和運行過程中要采用可靠的數(shù)字證書簽名和分發(fā)渠道等技術來保證移動APP的代碼安全。

1.3 無線網絡安全等級保護

新標準對移動終端的無線網絡接入和傳輸提出了可靠接入、入侵防范、通信保障等安全要求。如無線接入設備的過程要被檢測、記錄和定位，要管控接入設備的SSID廣播、WPS等高風險功能的開關狀態(tài)，對等級保護對象無線通信中的敏感報文進行加密處理等。

1.4 移動互聯(lián)安全管理

新標準要求建立針對移動互聯(lián)的安全管理制度，對終端、網絡、APP和用戶行為進行統(tǒng)一管理。設置移動互聯(lián)管理組織和人員體系，明確管理制度和管理員職責，加強對終端、數(shù)據和網絡環(huán)境的軟硬件管理力度，建設有效實施安全管理制度的信息系統(tǒng)，將其納入移動互聯(lián)安全方案的總體設計中去。

2 移動APP等級保護對象的防護策略

在網絡安全等級保護標準落地實施研究過程中，要在以下幾個方面著重考慮移動APP等級保護對象的防護策略。

（1）新標準要求將終端、應用和網絡環(huán)境視為一個整體對象，與其他采用移動互聯(lián)技術的保護對象一起來定級。但在現(xiàn)有的移動互聯(lián)應用體系中，APP應用、網絡、終端的運維負責單位是不同個體，如銀行類APP就存在銀行網絡、銀行服務器、用戶個人終端、銀行柜臺終端、無線WIFI網絡、移動運營商網絡、軟件程序等多個等級保護對象，這些對象隸屬的單位或個人是完全不同的，涉及面甚廣，在實施等級保護對象防御系統(tǒng)設計和應用時，誰來負責設計、實施和應用是很大的難題。

（2）目前新標準針對移動APP等級保護對象的通信網絡要求強調的是無線網絡，但在實際應用時存在使用轉接設備實現(xiàn)有線上網或藍牙共享上網的情況。移動終端和其它設備的多樣性和復雜性都會對移動APP等級保護對象的防護造成影響，很難指定統(tǒng)一的標準和管理制度。

（3）新標準對移動APP獲取用戶或業(yè)務敏感信息的授權、存儲、傳輸和計算等方面進行了詳細要求，但是對移動APP獲取用戶隱私信息的數(shù)量、途徑和利用方式沒有明確規(guī)定。目前移動APP在首次應用時會有用戶須知手冊提示，但對具體的敏感信息類別沒有明確標識，用戶也不能指定不可被獲取的個人隱私信息。例如通訊錄、定位、生活習慣等敏感信息是部分移動APP的必備數(shù)據，但用戶無法自主設定哪些數(shù)據可以提供和被分析。

（4）新標準明確提出移動APP的發(fā)行需要具有資質的檢測機構評測合格后才可以發(fā)布。但目前移動APP的下載渠道較多，不同型號的終端、操作系統(tǒng)都要有兼容性的安裝程序。部分輔助工具提供的APP下載已經是舊版本或不兼容版本，安全廠商提供的檢測結果也存在結果不一致或版本不全等問題。檢測的權威性也無法得到保證，檢測方法不同導致檢測結果不同情況較為普遍。

（5）新標準要求移動APP等級保護對象“應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別”。但這個要求只是規(guī)定了用戶身份鑒別的方法數(shù)量，并沒有對準確性、可靠性進行約束，比如采取數(shù)字密碼和圖案密碼的形式是類似的但算是2種鑒別方法，這經常被軟件廠商利用來應付檢測，但實質上安全性并沒有顯著提高。

3 結語

《信息安全技術網絡安全等級保護基本要求》的發(fā)布標志著我國網絡安全等級保護工作正式進入“2.0時代”，對移動互聯(lián)類等級保護對象的新內容也會對移動APP的研發(fā)、推廣、應用和維護造成深淵的影響。新標準的提出和落地還需要一定時間，建議在工信部、公安部等政府部門牽頭，制定行之有效的移動APP測評標準，建設全國范圍的科技測評機構體系，開展廣泛的產品測評、系統(tǒng)評估、漏洞修復和法律標準研究工作，對授權方的業(yè)務水平和相關資質進行有效評估?？傊褪且谛聵藴实幕A上進行有效建設，提高移動APP等級保護對象的評測水平，保證移動APP應用的安全性和可維護性。

參考文獻：

[1]趙晶晶.基于等級保護的網絡安全建設之研究[J].網絡安全技術與應用，2017（4）：17-19.

[2]王坤.移動APP安全及等級保護測評實踐研究[J].電腦編程技巧與維護，2017（1）：40-41.

[3]蔣健健.移動APP的現(xiàn)狀與發(fā)展[J].現(xiàn)代工業(yè)經濟和信息化，2017（3）：74-75.