近年來，移動互聯網應用程序（App）的廣泛應用，在促進經濟社會(hui) 發展、服務民生等方麵發揮了重要作用。但App強製授權、過度索權、超範圍收集個(ge) 人信息的現象仍有存在，不僅(jin) 侵犯個(ge) 人財產(chan) 和隱私安全，也給社會(hui) 治理和國家安全帶來挑戰。

　　前不久，由安天移動安全牽頭編製的GB/T 42884-2023《信息安全技術 移動互聯網應用程序（App）生命周期安全管理指南》國家標準（以下簡稱“《指南》”）正式發布，記者就《指南》出台的背景意義(yi) 、技術內(nei) 容、應用群體(ti) 、如何貫徹落實等問題，采訪了安天移動安全CEO陳家林。

　　記者：《指南》製訂的背景和主要考慮是什麽(me) ？

　　陳家林：首先，我們(men) 要明確一點，國標的製定離不開行業(ye) 現狀，以及政策、法規和技術的支持。

　　當前，我國移動互聯網發展呈現三大特點與(yu) 趨勢：用戶基數龐大、App背後是龐大的用戶隱私數據、App提供者安全意識弱導致埋下安全隱患。與(yu) 此同時，《網絡安全法》《個(ge) 人信息保護法》《移動互聯網應用程序信息服務管理規定》《電信和互聯網用戶個(ge) 人信息保護規定》等相關(guan) 政策法規的相繼出台，也對網絡安全和個(ge) 人隱私安全保護提出了更高要求。

　　基於(yu) 上述背景，2020年10月，編製組在武漢召開項目啟動會(hui) ；12月在北京召開專(zhuan) 家研討會(hui) ，確定了標準的框架、編寫(xie) 思路和解決(jue) 問題；2021年4月，本標準在國標委正式批準立項。

　　記者：正式發布實施的《指南》包含哪些核心內(nei) 容？

　　陳家林：《指南》從(cong) 安全威脅視角出發，提出了生命周期七個(ge) 階段安全管理要求和風險監測管理要求。這裏我們(men) 考慮的安全威脅包括：App惡意程序、App個(ge) 人信息風險、App應用行為(wei) 風險、App安全漏洞四個(ge) 方麵。

　　而App生命周期七個(ge) 階段則包括：需求分析、開發設計、測試驗證、上架發布、安裝運行、更新維護和終止運營。這七個(ge) 階段是我們(men) 與(yu) 手機廠商、應用商店廠商等一起討論總結的最佳實踐。它與(yu) 傳(chuan) 統的互聯網應用程序的主要區別是多了上架發布審核和安裝運行檢測等相關(guan) 活動。

　　而針對各類安全問題的角度來講的風險監測管理過程，則包括對個(ge) 人信息風險、應用行為(wei) 風險和安全漏洞進行監測、發現和處理。其中風險數據管理主要通過技術平台來實現安全，安全漏洞管理主要通過流程製度來實現安全。

　　記者：《指南》的發布將對我國移動互聯網應用行業(ye) 帶來什麽(me) 積極作用？

　　陳家林：安全是互聯網應用的基石，《指南》的發布將用於(yu) 指導移動互聯網應用程序（App）的提供者和運營者建立健康生命周期管理機製，提高移動互聯網應用程序（App）的安全防護能力，滿足應用程序安全、個(ge) 人隱私保護和數據合規等方麵的需求。從(cong) 而為(wei) 移動互聯網應用廠商的安全能力構建提供建議，從(cong) App源頭保障應用安全，節省安全成本。

　　記者：《指南》的應用群體(ti) 是哪些？能為(wei) 他們(men) 提供什麽(me) 技術指導？

　　陳家林：《指南》的應用群體(ti) 是App提供者、App分發平台管理者、移動智能終端廠商，各方可根據自身定位來確定相關(guan) 需求。例如，App提供者可參考本標準，實施對App開發、運營等生命周期的安全管理，在移動互聯網應用程序的源頭引入安全防護，降低安全成本。

　　記者：當下的移動應用生態存在哪些安全問題？針對這些問題，《指南》在指導和規範相關(guan) 行業(ye) 的過程中有哪些關(guan) 鍵技術手段，有何應用？

　　陳家林：伴隨著App應用的興(xing) 起，App也麵臨(lin) 著諸多安全風險，例如惡意程序、安全漏洞、隱私泄露等。根據工信部發布的《2022年上半年全國移動互聯網應用安全報告》的統計數據來看，“流氓行為(wei) ”類占惡意程序的87.05%；Janus漏洞占比56.04%；違規收集個(ge) 人信息的風險占比27.35%。雖然每種安全問題的特點各不相同。例如惡意程序的攻擊危害大，安全漏洞的挖掘難度大，隱私泄露和應用行為(wei) 風險在應用程序中的表現形式多樣，但都會(hui) 給用戶帶來困擾。

　　針對上述問題，《指南》在指導和規範相關(guan) 行業(ye) 的過程中應用了4大關(guan) 鍵技術：應用漏洞掃描技術、應用病毒檢測技術、應用行為(wei) 風險檢測技術、個(ge) 人信息風險檢測技術。其中，根據《指南》提出的指導App提供者規範性地實施App開發、運營等生命周期安全管理要求，安天移動安全為(wei) 幫助App提供者快速、精準定位違規問題，提前識別產(chan) 品存在的合規風險，並提供完善的整改建議及方案，專(zhuan) 門開發了違規預警平台。

　　記者：對《指南》順利實施有何建議？使用中應該注意哪些問題？

　　陳家林：安天移動安全十餘(yu) 年來始終立足於(yu) 移動網絡安全風險研究，持續關(guan) 注移動智能終端的安全態勢，在不良應用程序安全治理工作上有一定的技術優(you) 勢和專(zhuan) 長。作為(wei) 此次《指南》的牽頭編製單位，對於(yu) 其接下來順利實施這一問題，我們(men) 團隊有三個(ge) 方麵的建議，即進一步推廣標準宣貫和應用、加快推進標準符合性評估認證工作、加快App安全檢測相關(guan) 技術和檢測工具研發。

　　與(yu) 此同時，《指南》使用中，還應該注意以下四個(ge) 方麵的問題：一是通過多種形式、多個(ge) 方麵應用標準，協同實現App生命周期安全；二是技管結合，從(cong) App惡意程序檢測、App應用行為(wei) 風險檢測、App安全漏洞檢查、App個(ge) 人信息風險檢查、針對App廠商的安全管理檢查五個(ge) 方麵驗證標準符合性；三是示範效應，即通過模範企業(ye) 帶頭作用，形成標準落地應用示範，便於(yu) 其他企業(ye) 直接從(cong) 工程實現角度參考，同時鼓勵模範企業(ye) 帶頭落地應用標準的積極性；四是建立標準化工作常態機製，標準組織單位應進一步加強該標準的宣貫力度，編製配套的解讀說明性材料，舉(ju) 辦相應的標準培訓，擴大受眾(zhong) 麵，讓更多的企業(ye) 和用戶了解該標準。

　　（光明網記者 雷渺鑫）