移动APP安全及等级保护测评研究
来源:用户上传
作者:
摘 要:随着我国网络基础设施和通信技术的高速发展,人们的日常工作、学习和生活使用移动终端和移动APP越来越普遍,个人信息安全问题也得到了社会的广泛关注。国家标准化管理委员会针对移动互联安全的扩展要求,发布了《信息安全技术网络安全等级保护基本要求》,标志着我国网络安全等级保护工作正式进入“2.0时代”。本文研究了新版等级防护针对移动APP的防护要点,对如何提高移动APP等级保护对象的信息可靠性提出若干问题和有效建议。
关键词:移动APP;信息安全技术;等级保护
进入移动互联时代以来,移动终端的数量和用户群体不断增长。截止2018年12月,我国移动智能终端规模突破14.5亿台。更加丰富多样的移动APP也在人们的学习、工作和生活中得到广泛的应用,信息安全也面临着严峻的考验。网络诈骗、信息泄露、恶意扣费、流量损失等事件不断发生,对移动APP用户的正常使用产生了不良的影响。在此背景下,国家标准化管理委员会针对移动互联安全的扩展要求,发布了《信息安全技术网络安全等级保护基本要求》(简称“网络安全等级保护标准”),标志着我国网络安全等级保护工作正式进入“2.0时代”。
1 移动APP新版网络安全等级保护要点
新版网络安全等级保护标准中将使用移动互联技术的保护对象进行统一定级,移动终端、移动APP和无线网络等要素不再单独定级,与其他采用移动互联技术的设备、应用和网络环境一起定级为移动互联技术保护对象。新标准对移动互联技术保护对象的环境安全、物理安全、网络安全、软件安全、通信安全、计算安全、数据安全等内容进行扩展,分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个方面的技术层面类别。在管理层面则分为安全制度、安全组织、安全建设、安全运维4个类别。本文列举以下几个新标准提出的等级保护新内容:
1.1 移动终端安全等级保护
新标准針对移动终端的安全,对其安装环境、自身可靠性和运行环境进行了新标准制定,比如指定了不同等级保护对象的访问要进行应用级隔离,采用黑白名单方式来控制软件的自动安装和运行方式;指定移动终端管理服务端的设备周期、远程控制权限、安全管控机制等。
1.2 移动APP代码安全等级保护
新标准针对移动应用代码泄露、被篡改和冒用等问题,提出了新的代码校验技术要求,以达到保证代码可靠性和完整性。规定等级保护对象的移动应用软件在出厂前要经省级以上专业评测机构可靠性检测通过后方可上线,在移动APP发布、安装和运行过程中要采用可靠的数字证书签名和分发渠道等技术来保证移动APP的代码安全。
1.3 无线网络安全等级保护
新标准对移动终端的无线网络接入和传输提出了可靠接入、入侵防范、通信保障等安全要求。如无线接入设备的过程要被检测、记录和定位,要管控接入设备的SSID广播、WPS等高风险功能的开关状态,对等级保护对象无线通信中的敏感报文进行加密处理等。
1.4 移动互联安全管理
新标准要求建立针对移动互联的安全管理制度,对终端、网络、APP和用户行为进行统一管理。设置移动互联管理组织和人员体系,明确管理制度和管理员职责,加强对终端、数据和网络环境的软硬件管理力度,建设有效实施安全管理制度的信息系统,将其纳入移动互联安全方案的总体设计中去。
2 移动APP等级保护对象的防护策略
在网络安全等级保护标准落地实施研究过程中,要在以下几个方面着重考虑移动APP等级保护对象的防护策略。
(1)新标准要求将终端、应用和网络环境视为一个整体对象,与其他采用移动互联技术的保护对象一起来定级。但在现有的移动互联应用体系中,APP应用、网络、终端的运维负责单位是不同个体,如银行类APP就存在银行网络、银行服务器、用户个人终端、银行柜台终端、无线WIFI网络、移动运营商网络、软件程序等多个等级保护对象,这些对象隶属的单位或个人是完全不同的,涉及面甚广,在实施等级保护对象防御系统设计和应用时,谁来负责设计、实施和应用是很大的难题。
(2)目前新标准针对移动APP等级保护对象的通信网络要求强调的是无线网络,但在实际应用时存在使用转接设备实现有线上网或蓝牙共享上网的情况。移动终端和其它设备的多样性和复杂性都会对移动APP等级保护对象的防护造成影响,很难指定统一的标准和管理制度。
(3)新标准对移动APP获取用户或业务敏感信息的授权、存储、传输和计算等方面进行了详细要求,但是对移动APP获取用户隐私信息的数量、途径和利用方式没有明确规定。目前移动APP在首次应用时会有用户须知手册提示,但对具体的敏感信息类别没有明确标识,用户也不能指定不可被获取的个人隐私信息。例如通讯录、定位、生活习惯等敏感信息是部分移动APP的必备数据,但用户无法自主设定哪些数据可以提供和被分析。
(4)新标准明确提出移动APP的发行需要具有资质的检测机构评测合格后才可以发布。但目前移动APP的下载渠道较多,不同型号的终端、操作系统都要有兼容性的安装程序。部分辅助工具提供的APP下载已经是旧版本或不兼容版本,安全厂商提供的检测结果也存在结果不一致或版本不全等问题。检测的权威性也无法得到保证,检测方法不同导致检测结果不同情况较为普遍。
(5)新标准要求移动APP等级保护对象“应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别”。但这个要求只是规定了用户身份鉴别的方法数量,并没有对准确性、可靠性进行约束,比如采取数字密码和图案密码的形式是类似的但算是2种鉴别方法,这经常被软件厂商利用来应付检测,但实质上安全性并没有显著提高。
3 结语
《信息安全技术网络安全等级保护基本要求》的发布标志着我国网络安全等级保护工作正式进入“2.0时代”,对移动互联类等级保护对象的新内容也会对移动APP的研发、推广、应用和维护造成深渊的影响。新标准的提出和落地还需要一定时间,建议在工信部、公安部等政府部门牵头,制定行之有效的移动APP测评标准,建设全国范围的科技测评机构体系,开展广泛的产品测评、系统评估、漏洞修复和法律标准研究工作,对授权方的业务水平和相关资质进行有效评估。总之就是要在新标准的基础上进行有效建设,提高移动APP等级保护对象的评测水平,保证移动APP应用的安全性和可维护性。
参考文献:
[1]赵晶晶.基于等级保护的网络安全建设之研究[J].网络安全技术与应用,2017(4):17-19.
[2]王坤.移动APP安全及等级保护测评实践研究[J].电脑编程技巧与维护,2017(1):40-41.
[3]蒋健健.移动APP的现状与发展[J].现代工业经济和信息化,2017(3):74-75.
转载注明来源:https://www.xzbu.com/1/view-15231026.htm
