移动 APP 安全及等级保护测评研究

进入移动互联时代以来，移动终端的数量和用户群体不断增长。截止2018 年 12 月，我国移动智能终端规模突破 14．5 亿台。更加丰富多样的移动APP也在人们的学习、工作和生活中得到广泛的应用，信息安全也面临着严峻的考验。网络诈骗、信息泄露、恶意扣费、流量损失等事件不断发生，对移动 APP 用户的正常使用产生了不良的影响。在此背景下，国家标准化管理委员会针对移动互联安全的扩展要求，发布了《信息安全技术网络安全等级保护基本要求》 ( 简称“网络安全等级保护标准”) ， 标志着我国网络安全等级保护工作正式进入“2．0 时代”。 

1、移动 APP 新版网络安全等级保护要点 

新版网络安全等级保护标准中将使用移动互联技术的保护对象进行统一定级，移动终端、移动 APP 和无线网络等要素不再单独定级，与其他采用移动互联技术的设备、应用和网络环境一起定级为移动互联技术保护对象。新标准对移动互联技术保护对象的环境安全、物理安全、网络安全、软件安全、通信安全、计算安全、数据安全等内容进行扩展，分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全 4 个方面的技术层面类别。在管理层面则分为安全制度、安全组织、安全建设、安全运维 4 个类别。本文列举以下几个新标准提出的等级保护新内容: 

1.1移动终端安全等级保护

新标准针对移动终端的安全，对其安装环境、自身可靠性和运行环境进行了新标准制定，比如指定了不同等级保护对象的访问要进行应用级隔离，采用黑白名单方式来控制软件的自动安装和运行方式; 指定移动终端管理服务端的设备周期、远程控制权限、安全管控机制等。 

1.2、移动 APP 代码安全等级保护 

新标准针对移动应用代码泄露、被篡改和冒用等问题，提出了新的代码校验技术要求，以达到保证代码可靠性和完整性。规定等级保护对象的移动应用软件在出厂前要经省级以专业评测机构可靠性检测通过后方可上线，在移动 APP 发布、安装和运行过程中要采用可靠的数字证书签名和分发渠道等技术来保证移动 APP 的代码安全。 

1.3、无线网络安全等级保护 

新标准对移动终端的无线网络接入和传输提出了可靠接入、入侵防范、通信保障等安全要求。如无线接入设备的过程要被检测、记录和定位，要管控接入设备的 SSID 广播、WPS 等高风险功能的开关状态，对等级保护对象无线通信中的敏感报文进行加密处理等。 

1.4、移动互联安全管理

新标准要求建立针对移动互联的安全管理制度，对终端、网络、APP 和用户行为进行统一管理。设置移动互联管理组织和人员体系，明确管理制度和管理员职责，加强对终端、数据和网络环境的软硬件管理力度，建设有效实施安全管理制度的信息系统，将其纳入移动互联安全方案的总体设计中去。 

2、移动 APP 等级保护对象的防护策略 

在网络安全等级保护标准落地实施研究过程中，要在以下几个方面着重考虑移动 APP 等级保护对象的防护策略。 

( 1) 新标准要求将终端、应用和网络环境视为一个整体对象，与其他采用移动互联技术的保护对象一起来定级。但在现有的移动互联应用体系中， APP 应用、网络、终端的运维负责单 位是不同个体，如银行类 APP 就存在银行网络、银行服务器、 用户个人终端、银行柜台终端、无线 WIFI 网络、移动运营商网络、软件程序等多个等级保护对象，这些对象隶属的单位或个人是完全不同的，涉及面甚广，在实施等级保护对象防御系统设计和应用时，谁来负责设计、实施和应用是很大的难题。

( 2) 目前新标准针对移动 APP 等级保护对象的通信网络 要求强调的是无线网络，但在实际应用时存在使用转接设备实现有线上网或蓝牙共享上网的情况。移动终端和其它设备的多样性和复杂性都会对移动 APP 等级保护对象的防护造成影响，很难指定统一的标准和管理制度。 

( 3) 新标准对移动 APP 获取用户或业务敏感信息的授权、 存储、传输和计算等方面进行了详细要求，但是对移动 APP 获取用户隐私信息的数量、途径和利用方式没有明确规定。目前移动 APP在首次应用时会有用户须知手册提示，但对具体的敏感信息类别没有明确标识，用户也不能指定不可被获取的个人隐私信息。例如通讯录、定位、生活习惯等敏感信息是部分移动 APP 的必备数据，但用户无法自主设定哪些数据可以提供和被分析。 

( 4) 新标准明确提出移动 APP 的发行需要具有资质的检 测机构评测合格后才可以发布。但目前移动 APP 的下载渠道较多，不同型号的终端、操作系统都要有兼容性的安装程序。 部分辅助工具提供的 APP 下载已经是旧版本或不兼容版本，安全厂商提供的检测结果也存在结果不一致或版本不全等问题。检测的权威性也无法得到保证，检测方法不同导致检测结果不同情况较为普遍。