移動(dòng)智能終端的安全誰來保衛(wèi)��?
魏薇 卜哲 2011/10/13
據(jù)披露,由于發(fā)現(xiàn)有58個(gè)惡意程序被上傳至谷歌應(yīng)用商店���,2011年3月4日谷歌批量下架21款存在惡意行為的手機(jī)軟件�,這些軟件已被約26萬用戶下載��。由此引發(fā)業(yè)界對(duì)移動(dòng)智能終端及應(yīng)用軟件安全的進(jìn)一步關(guān)注���。
智能終端安全問題不斷暴露
隨著iPhone等移動(dòng)智能終端功能日益強(qiáng)大����,移動(dòng)智能終端應(yīng)用軟件數(shù)量激增����,移動(dòng)智能終端用戶數(shù)量快速增多�����。據(jù)Gartner統(tǒng)計(jì)�����,2010年全球智能手機(jī)銷量約為3億部��,較2009年增長(zhǎng)72.1%��。CNNIC統(tǒng)計(jì)顯示,截至2010年12月�����,手機(jī)網(wǎng)民已達(dá)3.03億�,占總體網(wǎng)民的66.2%。
移動(dòng)智能終端與移動(dòng)應(yīng)用商店在向用戶提供豐富多彩的應(yīng)用軟件和數(shù)字內(nèi)容的同時(shí)����,智能終端病毒、應(yīng)用軟件吸費(fèi)����、非法信息傳播等安全問題不斷暴露。移動(dòng)智能終端已經(jīng)成了病毒發(fā)威的新戰(zhàn)場(chǎng)��,手機(jī)僵尸��、給你米等手機(jī)病毒破壞終端功能����,惡意吸取資費(fèi),竊取用戶隱私��,極大地?fù)p害了用戶利益��。據(jù)網(wǎng)秦統(tǒng)計(jì),2010年新增的手機(jī)病毒數(shù)是2004~2009年手機(jī)病毒總數(shù)的近兩倍(見表1)���,預(yù)計(jì)共感染手機(jī)800萬部以上����。據(jù)報(bào)道���,我國(guó)至少有10家Android平臺(tái)的吸費(fèi)SP或渠道公司����,抽樣顯示近40%的Android常見應(yīng)用程序被植入惡意吸費(fèi)代碼���。在信息內(nèi)容安全方面�����,包含色情暴力、反動(dòng)言論等信息的應(yīng)用軟件曾出現(xiàn)在App Store中��,危害青少年健康成長(zhǎng)�,影響社會(huì)穩(wěn)定團(tuán)結(jié)。2010年10月��,美國(guó)杜克大學(xué)等對(duì)30款A(yù)ndroid應(yīng)用進(jìn)行分析,發(fā)現(xiàn)其中有三分之二的應(yīng)用通過分享用戶地理定位數(shù)據(jù)或信息的方式侵犯用戶隱私��,半數(shù)應(yīng)用未經(jīng)用戶允許將用戶地理定位信息發(fā)送給廣告網(wǎng)絡(luò)或數(shù)據(jù)分析公司��。我國(guó)還存在智能手機(jī)終端內(nèi)置應(yīng)用軟件和第三方應(yīng)用軟件涉黃或吸費(fèi)��、手機(jī)WAP網(wǎng)站涉黃等問題����。另外,黑莓獨(dú)特的加密技術(shù)引發(fā)擔(dān)憂���,德國(guó)等紛紛要求監(jiān)控黑莓通信服務(wù)����。
加強(qiáng)移動(dòng)智能終端的安全監(jiān)管
目前政府和企業(yè)等層面已經(jīng)開始關(guān)注并采取措施應(yīng)對(duì)移動(dòng)智能終端的網(wǎng)絡(luò)與信息安全問題�����。如工信部開展手機(jī)淫穢色情整治專項(xiàng)行動(dòng)����,2011年聯(lián)合三大基礎(chǔ)運(yùn)營(yíng)商以及騰訊等增值企業(yè)圍剿“病毒集團(tuán)”,借助12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理平臺(tái)加強(qiáng)社會(huì)監(jiān)督�����;各終端操作系統(tǒng)均內(nèi)置API權(quán)限控制、數(shù)字簽名等安全策略��,各應(yīng)用商店經(jīng)營(yíng)者根據(jù)產(chǎn)品特點(diǎn)��、業(yè)務(wù)發(fā)展策略等審核應(yīng)用軟件安全情況���,奇虎360���、網(wǎng)秦等安全企業(yè)提供免費(fèi)手機(jī)病毒查殺軟件。
針對(duì)移動(dòng)智能終端日益嚴(yán)重的安全問題�����,建議從移動(dòng)智能終端���、移動(dòng)應(yīng)用商店���、第三方應(yīng)用服務(wù)器三個(gè)環(huán)節(jié)加強(qiáng)安全保護(hù)�������!
- 加強(qiáng)對(duì)移動(dòng)智能終端進(jìn)網(wǎng)的安全評(píng)估。
針對(duì)移動(dòng)智能終端的安全管理可利用終端進(jìn)網(wǎng)環(huán)節(jié)的優(yōu)勢(shì)加強(qiáng)監(jiān)管���。
第一�����,應(yīng)將內(nèi)置移動(dòng)通信模塊的平板電腦����、電子閱讀器等新型智能終端納入進(jìn)網(wǎng)檢測(cè)范疇���。
第二���,在移動(dòng)智能終端進(jìn)網(wǎng)環(huán)節(jié)加強(qiáng)安全評(píng)估。補(bǔ)充完善移動(dòng)智能終端安全標(biāo)準(zhǔn)中的技術(shù)要求和檢測(cè)要求�����,尤其針對(duì)操作系統(tǒng)��、預(yù)置應(yīng)用軟件的權(quán)限設(shè)置和API調(diào)用等提出安全要求���。智能終端進(jìn)網(wǎng)時(shí)需評(píng)估其是否滿足標(biāo)準(zhǔn)中的“基線安全”要求���,各終端廠家在“基線安全”基礎(chǔ)上還可采取更高級(jí)別的安全策略�����。加強(qiáng)對(duì)相關(guān)評(píng)估方法和配套技術(shù)手段的研究�����,促進(jìn)安全評(píng)估工作高效客觀深入開展����。
第三���,開展智能終端進(jìn)網(wǎng)后的監(jiān)督評(píng)估�。要求終端廠家跟進(jìn)研究終端操作系統(tǒng)�、預(yù)置應(yīng)用軟件等的安全性,及時(shí)提供操作系統(tǒng)漏洞修復(fù)和版本升級(jí)等服務(wù)�����,及時(shí)清理?yè)p害用戶利益的預(yù)置軟件。由政府部門定期對(duì)進(jìn)網(wǎng)后的智能終端安全情況進(jìn)行抽查�,如評(píng)估廠家是否跟蹤���、研究操作系統(tǒng)各版本安全漏洞(例如系統(tǒng)組件漏洞��、緩沖區(qū)溢出漏洞等)并及時(shí)向用戶提供操作系統(tǒng)漏洞修復(fù)和版本升級(jí)服務(wù)��。
第四�,配套建立智能終端安全管理的其他措施�����。借鑒目前定期發(fā)布PC操作系統(tǒng)漏洞的做法�����,由指定研究機(jī)構(gòu)跟蹤國(guó)內(nèi)外的智能終端操作系統(tǒng)漏洞發(fā)布信息�����,定期發(fā)布官方的智能終端漏洞信息��,建設(shè)官方智能終端漏洞庫(kù)����。向用戶宣傳智能終端安全相關(guān)知識(shí)�,鼓勵(lì)安裝移動(dòng)智能終端安全軟件�����,在終端廠商的指導(dǎo)下及時(shí)升級(jí)操作系統(tǒng)��,進(jìn)行安全配置����。
- 開展對(duì)移動(dòng)應(yīng)用商店的安全監(jiān)管。
針對(duì)日益擴(kuò)大的應(yīng)用軟件市場(chǎng)以及日漸嚴(yán)重的移動(dòng)終端應(yīng)用軟件安全問題�����,有必要對(duì)應(yīng)用軟件進(jìn)行嚴(yán)格的安全評(píng)估���。
第一��,研究制定行業(yè)內(nèi)統(tǒng)一的移動(dòng)應(yīng)用商店及應(yīng)用軟件安全要求和檢測(cè)要求����,規(guī)范應(yīng)用的安全審核尺度�,研發(fā)高效的應(yīng)用軟件安全性評(píng)估工具����,對(duì)應(yīng)用軟件信息內(nèi)容���、API調(diào)用、應(yīng)用軟件漏洞�、惡意代碼和應(yīng)用開發(fā)者資質(zhì)等進(jìn)行嚴(yán)格評(píng)估。
第二�����,建立針對(duì)移動(dòng)應(yīng)用商店的監(jiān)督管理機(jī)制��。要求應(yīng)用商店經(jīng)營(yíng)者必須在應(yīng)用軟件上線前依照國(guó)內(nèi)法律規(guī)章和技術(shù)標(biāo)準(zhǔn)等進(jìn)行嚴(yán)格審核�。建立應(yīng)用軟件上線后的安全監(jiān)控和處置機(jī)制,政府部門定期開展對(duì)應(yīng)用商店平臺(tái)及其銷售的應(yīng)用軟件安全性的檢查評(píng)估���。建立應(yīng)用軟件的黑名單及行業(yè)內(nèi)共享機(jī)制,建立行業(yè)內(nèi)應(yīng)用軟件提供者的資質(zhì)審查和信用管理體系����。
- 加強(qiáng)對(duì)第三方應(yīng)用服務(wù)器的安全監(jiān)管�。
已經(jīng)上線的合法應(yīng)用可能通過從第三方應(yīng)用服務(wù)器下載更新內(nèi)容的方式來傳播非法內(nèi)容信息,這種非法內(nèi)容的傳播形式更加隱蔽和難以管理��。例如,電子書客戶端在更新電子書內(nèi)容時(shí)可能獲得非法內(nèi)容�。因此在目前針對(duì)第三方應(yīng)用服務(wù)器平臺(tái)管理措施的基礎(chǔ)上,建議加強(qiáng)對(duì)第三方應(yīng)用服務(wù)器平臺(tái)網(wǎng)絡(luò)安全和信息安全的監(jiān)督檢查��。
第一��,通過通信網(wǎng)絡(luò)安全防護(hù)工作開展對(duì)ISP運(yùn)營(yíng)的增值業(yè)務(wù)系統(tǒng)的安全檢查�,加強(qiáng)對(duì)承載第三方增值業(yè)務(wù)系統(tǒng)的IDC的安全管理。
第二�,開展對(duì)ISP企業(yè)及其業(yè)務(wù)的信息安全評(píng)估。如評(píng)測(cè)ISP業(yè)務(wù)上線前是否配套建立信息安全保障機(jī)制并滿足國(guó)家安全需求�,定期對(duì)在線業(yè)務(wù)開展信息安全評(píng)估,建立應(yīng)用軟件提供者的安全信用體系�。
第三,針對(duì)境外應(yīng)用服務(wù)器����,除與其積極協(xié)商,要求其遵守國(guó)內(nèi)的法律法規(guī)并將服務(wù)器設(shè)置在我國(guó)境內(nèi)����,還需著力研究建立我國(guó)有效監(jiān)管外資企業(yè)SP的配套管理制度,提高我國(guó)評(píng)估��、發(fā)現(xiàn)和處置其所提供業(yè)務(wù)的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)的能力�。
人民郵電報(bào)
相關(guān)閱讀: