移動智能終端的安全誰來保衛(wèi)？

魏薇卜哲 2011/10/13

　　據(jù)披露，由于發(fā)現(xiàn)有58個惡意程序被上傳至谷歌應用商店，2011年3月4日谷歌批量下架21款存在惡意行為的手機軟件，這些軟件已被約26萬用戶下載。由此引發(fā)業(yè)界對移動智能終端及應用軟件安全的進一步關注。

　　智能終端安全問題不斷暴露

　　隨著iPhone等移動智能終端功能日益強大，移動智能終端應用軟件數(shù)量激增，移動智能終端用戶數(shù)量快速增多。據(jù)Gartner統(tǒng)計，2010年全球智能手機銷量約為3億部，較2009年增長72.1%。CNNIC統(tǒng)計顯示，截至2010年12月，手機網(wǎng)民已達3.03億，占總體網(wǎng)民的66.2%。

　　移動智能終端與移動應用商店在向用戶提供豐富多彩的應用軟件和數(shù)字內(nèi)容的同時，智能終端病毒、應用軟件吸費、非法信息傳播等安全問題不斷暴露。移動智能終端已經(jīng)成了病毒發(fā)威的新戰(zhàn)場，手機僵尸、給你米等手機病毒破壞終端功能，惡意吸取資費，竊取用戶隱私，極大地損害了用戶利益。據(jù)網(wǎng)秦統(tǒng)計，2010年新增的手機病毒數(shù)是2004～2009年手機病毒總數(shù)的近兩倍（見表1），預計共感染手機800萬部以上。據(jù)報道，我國至少有10家Android平臺的吸費SP或渠道公司，抽樣顯示近40%的Android常見應用程序被植入惡意吸費代碼。在信息內(nèi)容安全方面，包含色情暴力、反動言論等信息的應用軟件曾出現(xiàn)在App Store中，危害青少年健康成長，影響社會穩(wěn)定團結(jié)。2010年10月，美國杜克大學等對30款Android應用進行分析，發(fā)現(xiàn)其中有三分之二的應用通過分享用戶地理定位數(shù)據(jù)或信息的方式侵犯用戶隱私，半數(shù)應用未經(jīng)用戶允許將用戶地理定位信息發(fā)送給廣告網(wǎng)絡或數(shù)據(jù)分析公司。我國還存在智能手機終端內(nèi)置應用軟件和第三方應用軟件涉黃或吸費、手機WAP網(wǎng)站涉黃等問題。另外，黑莓獨特的加密技術引發(fā)擔憂，德國等紛紛要求監(jiān)控黑莓通信服務。

　　加強移動智能終端的安全監(jiān)管

　　目前政府和企業(yè)等層面已經(jīng)開始關注并采取措施應對移動智能終端的網(wǎng)絡與信息安全問題。如工信部開展手機淫穢色情整治專項行動，2011年聯(lián)合三大基礎運營商以及騰訊等增值企業(yè)圍剿“病毒集團”，借助12321網(wǎng)絡不良與垃圾信息舉報受理平臺加強社會監(jiān)督；各終端操作系統(tǒng)均內(nèi)置API權限控制、數(shù)字簽名等安全策略，各應用商店經(jīng)營者根據(jù)產(chǎn)品特點、業(yè)務發(fā)展策略等審核應用軟件安全情況，奇虎360、網(wǎng)秦等安全企業(yè)提供免費手機病毒查殺軟件。

　　針對移動智能終端日益嚴重的安全問題，建議從移動智能終端、移動應用商店、第三方應用服務器三個環(huán)節(jié)加強安全保護。　　

加強對移動智能終端進網(wǎng)的安全評估。

　　針對移動智能終端的安全管理可利用終端進網(wǎng)環(huán)節(jié)的優(yōu)勢加強監(jiān)管。

　　第一，應將內(nèi)置移動通信模塊的平板電腦、電子閱讀器等新型智能終端納入進網(wǎng)檢測范疇。

　　第二，在移動智能終端進網(wǎng)環(huán)節(jié)加強安全評估。補充完善移動智能終端安全標準中的技術要求和檢測要求，尤其針對操作系統(tǒng)、預置應用軟件的權限設置和API調(diào)用等提出安全要求。智能終端進網(wǎng)時需評估其是否滿足標準中的“基線安全”要求，各終端廠家在“基線安全”基礎上還可采取更高級別的安全策略。加強對相關評估方法和配套技術手段的研究，促進安全評估工作高效客觀深入開展。

　　第三，開展智能終端進網(wǎng)后的監(jiān)督評估。要求終端廠家跟進研究終端操作系統(tǒng)、預置應用軟件等的安全性，及時提供操作系統(tǒng)漏洞修復和版本升級等服務，及時清理損害用戶利益的預置軟件。由政府部門定期對進網(wǎng)后的智能終端安全情況進行抽查，如評估廠家是否跟蹤、研究操作系統(tǒng)各版本安全漏洞（例如系統(tǒng)組件漏洞、緩沖區(qū)溢出漏洞等）并及時向用戶提供操作系統(tǒng)漏洞修復和版本升級服務。
　　
　　第四，配套建立智能終端安全管理的其他措施。借鑒目前定期發(fā)布PC操作系統(tǒng)漏洞的做法，由指定研究機構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞發(fā)布信息，定期發(fā)布官方的智能終端漏洞信息，建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識，鼓勵安裝移動智能終端安全軟件，在終端廠商的指導下及時升級操作系統(tǒng)，進行安全配置。

開展對移動應用商店的安全監(jiān)管。

　　針對日益擴大的應用軟件市場以及日漸嚴重的移動終端應用軟件安全問題，有必要對應用軟件進行嚴格的安全評估。

　　第一，研究制定行業(yè)內(nèi)統(tǒng)一的移動應用商店及應用軟件安全要求和檢測要求，規(guī)范應用的安全審核尺度，研發(fā)高效的應用軟件安全性評估工具，對應用軟件信息內(nèi)容、API調(diào)用、應用軟件漏洞、惡意代碼和應用開發(fā)者資質(zhì)等進行嚴格評估。

　　第二，建立針對移動應用商店的監(jiān)督管理機制。要求應用商店經(jīng)營者必須在應用軟件上線前依照國內(nèi)法律規(guī)章和技術標準等進行嚴格審核。建立應用軟件上線后的安全監(jiān)控和處置機制，政府部門定期開展對應用商店平臺及其銷售的應用軟件安全性的檢查評估。建立應用軟件的黑名單及行業(yè)內(nèi)共享機制,建立行業(yè)內(nèi)應用軟件提供者的資質(zhì)審查和信用管理體系。

加強對第三方應用服務器的安全監(jiān)管。

　　已經(jīng)上線的合法應用可能通過從第三方應用服務器下載更新內(nèi)容的方式來傳播非法內(nèi)容信息，這種非法內(nèi)容的傳播形式更加隱蔽和難以管理。例如，電子書客戶端在更新電子書內(nèi)容時可能獲得非法內(nèi)容。因此在目前針對第三方應用服務器平臺管理措施的基礎上，建議加強對第三方應用服務器平臺網(wǎng)絡安全和信息安全的監(jiān)督檢查。

　　第一，通過通信網(wǎng)絡安全防護工作開展對ISP運營的增值業(yè)務系統(tǒng)的安全檢查，加強對承載第三方增值業(yè)務系統(tǒng)的IDC的安全管理。

　　第二，開展對ISP企業(yè)及其業(yè)務的信息安全評估。如評測ISP業(yè)務上線前是否配套建立信息安全保障機制并滿足國家安全需求，定期對在線業(yè)務開展信息安全評估，建立應用軟件提供者的安全信用體系。

　　第三，針對境外應用服務器，除與其積極協(xié)商，要求其遵守國內(nèi)的法律法規(guī)并將服務器設置在我國境內(nèi)，還需著力研究建立我國有效監(jiān)管外資企業(yè)SP的配套管理制度，提高我國評估、發(fā)現(xiàn)和處置其所提供業(yè)務的網(wǎng)絡與信息安全風險的能力。

人民郵電報