據(jù)披露，由于發(fā)現(xiàn)有58個惡意程序被上傳至谷歌應(yīng)用商店，2011年3月4日谷歌批量下架21款存在惡意行為的手機(jī)軟件，這些軟件已被約26萬用戶下載。由此引發(fā)業(yè)界對移動智能終端及應(yīng)用軟件安全的進(jìn)一步關(guān)注。
　　智能終端安全問題不斷暴露
　　隨著iPhone等移動智能終端功能日益強(qiáng)大，移動智能終端應(yīng)用軟件數(shù)量激增，移動智能終端用戶數(shù)量快速增多。據(jù)Gartner統(tǒng)計，2010年全球智能手機(jī)銷量約為3億部，較2009年增長72.1%。CNNIC統(tǒng)計顯示，截至2010年12月，手機(jī)網(wǎng)民已達(dá)3.03億，占總體網(wǎng)民的66.2%。

　　加強(qiáng)移動智能終端的安全監(jiān)管
　　目前政府和企業(yè)等層面已經(jīng)開始關(guān)注并采取措施應(yīng)對移動智能終端的網(wǎng)絡(luò)與信息安全問題。如工信部開展手機(jī)淫穢色情整治專項(xiàng)行動，2011年聯(lián)合三大基礎(chǔ)運(yùn)營商以及騰訊等增值企業(yè)圍剿“病毒集團(tuán)”，借助12321網(wǎng)絡(luò)不良與垃圾信息舉報受理平臺加強(qiáng)社會監(jiān)督；各終端操作系統(tǒng)均內(nèi)置API權(quán)限控制、數(shù)字簽名等安全策略，各應(yīng)用商店經(jīng)營者根據(jù)產(chǎn)品特點(diǎn)、業(yè)務(wù)發(fā)展策略等審核應(yīng)用軟件安全情況，奇虎360、網(wǎng)秦等安全企業(yè)提供免費(fèi)手機(jī)病毒查殺軟件。
　　針對移動智能終端日益嚴(yán)重的安全問題，建議從移動智能終端、移動應(yīng)用商店、第三方應(yīng)用服務(wù)器三個環(huán)節(jié)加強(qiáng)安全保護(hù)�！　�

• 加強(qiáng)對移動智能終端進(jìn)網(wǎng)的安全評估。

　　針對移動智能終端的安全管理可利用終端進(jìn)網(wǎng)環(huán)節(jié)的優(yōu)勢加強(qiáng)監(jiān)管。
　　第一，應(yīng)將內(nèi)置移動通信模塊的平板電腦、電子閱讀器等新型智能終端納入進(jìn)網(wǎng)檢測范疇。
　　第二，在移動智能終端進(jìn)網(wǎng)環(huán)節(jié)加強(qiáng)安全評估。補(bǔ)充完善移動智能終端安全標(biāo)準(zhǔn)中的技術(shù)要求和檢測要求，尤其針對操作系統(tǒng)、預(yù)置應(yīng)用軟件的權(quán)限設(shè)置和API調(diào)用等提出安全要求。智能終端進(jìn)網(wǎng)時需評估其是否滿足標(biāo)準(zhǔn)中的“基線安全”要求，各終端廠家在“基線安全”基礎(chǔ)上還可采取更高級別的安全策略。加強(qiáng)對相關(guān)評估方法和配套技術(shù)手段的研究，促進(jìn)安全評估工作高效客觀深入開展。
　　第三，開展智能終端進(jìn)網(wǎng)后的監(jiān)督評估。要求終端廠家跟進(jìn)研究終端操作系統(tǒng)、預(yù)置應(yīng)用軟件等的安全性，及時提供操作系統(tǒng)漏洞修復(fù)和版本升級等服務(wù)，及時清理損害用戶利益的預(yù)置軟件。由政府部門定期對進(jìn)網(wǎng)后的智能終端安全情況進(jìn)行抽查，如評估廠家是否跟蹤、研究操作系統(tǒng)各版本安全漏洞（例如系統(tǒng)組件漏洞、緩沖區(qū)溢出漏洞等）并及時向用戶提供操作系統(tǒng)漏洞修復(fù)和版本升級服務(wù)。

• 開展對移動應(yīng)用商店的安全監(jiān)管。

　　針對日益擴(kuò)大的應(yīng)用軟件市場以及日漸嚴(yán)重的移動終端應(yīng)用軟件安全問題，有必要對應(yīng)用軟件進(jìn)行嚴(yán)格的安全評估。
　　第一，研究制定行業(yè)內(nèi)統(tǒng)一的移動應(yīng)用商店及應(yīng)用軟件安全要求和檢測要求，規(guī)范應(yīng)用的安全審核尺度，研發(fā)高效的應(yīng)用軟件安全性評估工具，對應(yīng)用軟件信息內(nèi)容、API調(diào)用、應(yīng)用軟件漏洞、惡意代碼和應(yīng)用開發(fā)者資質(zhì)等進(jìn)行嚴(yán)格評估。
　　第二，建立針對移動應(yīng)用商店的監(jiān)督管理機(jī)制。要求應(yīng)用商店經(jīng)營者必須在應(yīng)用軟件上線前依照國內(nèi)法律規(guī)章和技術(shù)標(biāo)準(zhǔn)等進(jìn)行嚴(yán)格審核。建立應(yīng)用軟件上線后的安全監(jiān)控和處置機(jī)制，政府部門定期開展對應(yīng)用商店平臺及其銷售的應(yīng)用軟件安全性的檢查評估。建立應(yīng)用軟件的黑名單及行業(yè)內(nèi)共享機(jī)制,建立行業(yè)內(nèi)應(yīng)用軟件提供者的資質(zhì)審查和信用管理體系。

• 加強(qiáng)對第三方應(yīng)用服務(wù)器的安全監(jiān)管。

　　已經(jīng)上線的合法應(yīng)用可能通過從第三方應(yīng)用服務(wù)器下載更新內(nèi)容的方式來傳播非法內(nèi)容信息，這種非法內(nèi)容的傳播形式更加隱蔽和難以管理。例如，電子書客戶端在更新電子書內(nèi)容時可能獲得非法內(nèi)容。因此在目前針對第三方應(yīng)用服務(wù)器平臺管理措施的基礎(chǔ)上，建議加強(qiáng)對第三方應(yīng)用服務(wù)器平臺網(wǎng)絡(luò)安全和信息安全的監(jiān)督檢查。
　　第一，通過通信網(wǎng)絡(luò)安全防護(hù)工作開展對ISP運(yùn)營的增值業(yè)務(wù)系統(tǒng)的安全檢查，加強(qiáng)對承載第三方增值業(yè)務(wù)系統(tǒng)的IDC的安全管理。
　　第二，開展對ISP企業(yè)及其業(yè)務(wù)的信息安全評估。如評測ISP業(yè)務(wù)上線前是否配套建立信息安全保障機(jī)制并滿足國家安全需求，定期對在線業(yè)務(wù)開展信息安全評估，建立應(yīng)用軟件提供者的安全信用體系。
　　第三，針對境外應(yīng)用服務(wù)器，除與其積極協(xié)商，要求其遵守國內(nèi)的法律法規(guī)并將服務(wù)器設(shè)置在我國境內(nèi)，還需著力研究建立我國有效監(jiān)管外資企業(yè)SP的配套管理制度，提高我國評估、發(fā)現(xiàn)和處置其所提供業(yè)務(wù)的網(wǎng)絡(luò)與信息安全風(fēng)險的能力。

人民郵電報