据披露,由于发现有58个恶意程序被上传至谷歌应用商店,2011年3月4日谷歌批量下架21款存在恶意行为的手机软件,这些软件已被约26万用户下载。由此引发业界对移动智能终端及应用软件安全的进一步关注。
智能终端安全问题不断暴露
随着iPhone等移动智能终端功能日益强大,移动智能终端应用软件数量激增,移动智能终端用户数量快速增多。据Gartner统计,2010年全球智能手机销量约为3亿部,较2009年增长72.1%。CNNIC统计显示,截至2010年12月,手机网民已达3.03亿,占总体网民的66.2%。
加强移动智能终端的安全监管
目前政府和企业等层面已经开始关注并采取措施应对移动智能终端的网络与信息安全问题。如工信部开展手机淫秽色情整治专项行动,2011年联合三大基础运营商以及腾讯等增值企业围剿“病毒集团”,借助12321网络不良与垃圾信息举报受理平台加强社会监督;各终端操作系统均内置API权限控制、数字签名等安全策略,各应用商店经营者根据产品特点、业务发展策略等审核应用软件安全情况,奇虎360、网秦等安全企业提供免费手机病毒查杀软件。
针对移动智能终端日益严重的安全问题,建议从移动智能终端、移动应用商店、第三方应用服务器三个环节加强安全保护。
- 加强对移动智能终端进网的安全评估。
第一,应将内置移动通信模块的平板电脑、电子阅读器等新型智能终端纳入进网检测范畴。
第二,在移动智能终端进网环节加强安全评估。补充完善移动智能终端安全标准中的技术要求和检测要求,尤其针对操作系统、预置应用软件的权限设置和API调用等提出安全要求。智能终端进网时需评估其是否满足标准中的“基线安全”要求,各终端厂家在“基线安全”基础上还可采取更高级别的安全策略。加强对相关评估方法和配套技术手段的研究,促进安全评估工作高效客观深入开展。
第三,开展智能终端进网后的监督评估。要求终端厂家跟进研究终端操作系统、预置应用软件等的安全性,及时提供操作系统漏洞修复和版本升级等服务,及时清理损害用户利益的预置软件。由政府部门定期对进网后的智能终端安全情况进行抽查,如评估厂家是否跟踪、研究操作系统各版本安全漏洞(例如系统组件漏洞、缓冲区溢出漏洞等)并及时向用户提供操作系统漏洞修复和版本升级服务。
- 开展对移动应用商店的安全监管。
第一,研究制定行业内统一的移动应用商店及应用软件安全要求和检测要求,规范应用的安全审核尺度,研发高效的应用软件安全性评估工具,对应用软件信息内容、API调用、应用软件漏洞、恶意代码和应用开发者资质等进行严格评估。
第二,建立针对移动应用商店的监督管理机制。要求应用商店经营者必须在应用软件上线前依照国内法律规章和技术标准等进行严格审核。建立应用软件上线后的安全监控和处置机制,政府部门定期开展对应用商店平台及其销售的应用软件安全性的检查评估。建立应用软件的黑名单及行业内共享机制,建立行业内应用软件提供者的资质审查和信用管理体系。
- 加强对第三方应用服务器的安全监管。
第一,通过通信网络安全防护工作开展对ISP运营的增值业务系统的安全检查,加强对承载第三方增值业务系统的IDC的安全管理。
第二,开展对ISP企业及其业务的信息安全评估。如评测ISP业务上线前是否配套建立信息安全保障机制并满足国家安全需求,定期对在线业务开展信息安全评估,建立应用软件提供者的安全信用体系。
第三,针对境外应用服务器,除与其积极协商,要求其遵守国内的法律法规并将服务器设置在我国境内,还需着力研究建立我国有效监管外资企业SP的配套管理制度,提高我国评估、发现和处置其所提供业务的网络与信息安全风险的能力。
人民邮电报
