11月3日，由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。中国信息通信研究院副主任袁琦以《移动App网络和数据安全防护实践》为主题进行了分享。

移动App的安全发展和监管现状

移动应用是指可在移动终端上运行，且具备独立功能的程序，包括移动智能终端预置应用软件，以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。

移动应用软件包括几种常见的形态，即移动端App、软件开发工具包SDK以及小程序快应用等无需安装的新型应用等。

目前，移动应用价值呈指数级上升，应用产业快速发展，经济影响力日益凸显，但安全形式也日益严峻。据Cncert数据统计，2020年上半年发现新增移动互联网恶意程序163万余个，同比增长58.3%。近年来央视也连续曝光手机恶意程序吸话费、泄露用户信息等问题。

袁琦表示，针对日益严峻的移动应用安全问题，国家出台了相关法律法规，主管部门高度重视，个人信息保护法提交审议，网络和数据安全法律制度框架已逐步形成。

比如，2017年6月《中华人民共和国网络安全法》正式实施，第十七条显示，国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

2013年发布《关于加强移动智能终端进网管理的通知》，开辟移动智能终端安全自律自控里程碑。2015年11月发布《移动智能终端应用软件预置和分发管理暂行规定》(征求意见稿），2016年6月，国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》等。

另外《电信和互联网用户个人信息保护规定》工业和信息化部令第24号，第九条中规定未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。2020年10月16日，十三届全国人大常委会第二十二次会议分组审议《个人信息保护法（草案）》。

从2010年以来工信部陆续制定了移动App监管类、开发管理类、评估测试类、应用商店类网络安全技术标准，为移动App监管提供技术依据。

移动App的网络和数据安全问题分析

随着我国移动App继续持续增长，移动App网络安全问题突出，严重威胁用户安全和隐私，甚至影响国家网络和信息安全。其中App的恶意行为包括资费消耗、隐私窃取、诱骗欺诈、恶意扣费、远程监控、系统破坏、恶意传播、流氓行为等八大危害类型。

2020年上半年新增移动互联网恶意程序163万余个，同比增长58.3%，新出现的仿冒App下载链接180个。2020年第二季度新增恶意程序的应用12379款，其中恶意程序类型还是以流氓行为为主，流氓行为以81%的比例位居首位，但是不法分子为了获得更大的利益，隐私获取类呈现上升趋势，以16%的比例位列第二名。

而据袁琦介绍，移动恶意App的网络传播渠道主要有两个来源，一个是预置应用，用户在购机时就已经安装，这主要是由于终端厂商缺乏自律，对预置应用疏于管理；另一个是通过移动互联网应用，用户主动下载安装，这一方面主要是应用商店审核机制欠缺，对上架应用疏于管理。

另外她还列举了前几年爆发的“××神奇”手机病毒案例，用户收到短信后，点开链接会自动下载一个名为“XXshenqi.apk”的文件。如果用户点击安装，手机将自动向通讯录内联系人各发一条类似短信，散播病毒的同时导致大量话费损失。事件发生之后，工信部应急中心立刻启动预案，后期实验表明在2013年11月智能终端管理之后，通过检测的手机都能对超级手机病毒进行拦截。

除了移动App本身的安全，数据安全问题也愈发突出。袁琦总结了以下几点：1、收集使用规则内容不清晰，过度收集问题广泛存在；2应用收集行为不合理不规范；3、数据共享行为不规范，缺乏强有力的第三方约束措施；4、未经用户同意频繁调用API接口获取用户信息的行为；5、未经用户同意存在窃听用户隐私进行定向推送的行为；6、未经用户同意频繁自启动及链式启动的行为。

移动App的网络和数据安全防护

袁琦介绍，针对移动App的网络和数据安全问题，工信部对移动App的网络安全技术也提出了相应的要求，包括应用软件管理、业务功能调用、外围接口调用、用户数据调用、信息内容安全、漏洞分析验证等几大方面。

依据最小权限、可知可控、安全保障的原则，开发者、移动应用生产企业、终端生产企业、运营商讨论后将移动应用安全性划分为5个等级，并分别提出了安全评估要求，第5级为最高等级。

第一级是最基本安全终端能力要求中应用层安全要求。第二级增加对于数据存储敏感性、存储性要求。第三级推送管理登录方面评估。第四级是反编译、反动态、权限滥用等要求。第五级增加对漏洞评估要求。

袁琦表示，目前移动App安全解决方案和检测也已经较为成熟。解决方案主要是对移动应用安全加固，进行内存保护、反调试保护、本地数据加密等安全防护，或者通过代码虚拟化、代码混淆等手段安全防护，防止应用被破解。

移动App安全检测采用特征码扫描、静态源码分析、动态行为监控和深度分析等多维度评测手段。对每个待测应用软件，依据评测深度、评测时间、评测手段要求，选用定制化安全评测方案，四种评测方式相互结合，优势互补。

对于移动App数据安全的要求，主要包含权限管理、告知同意、数据保存、数据使用、安全能力及个人信息保护机制等相关方面。而移动App数据安全测评体系则是以现有技术手段为参考，结合我国的标准体系框架，研究针对移动App数据保护检测方法。联合移动应用产业链各方，共同推进移动移动App数据安全评估能力建设。

她表示，数据安全防护体系必须是涵盖全生命周期的数据安全保护，不可能是在某一个事前、事中、事后，某一个小阶段或者是数据使用传输某一个阶段，必须是覆盖数据安全全生命周期。应该是覆盖用户数据事前、事中、事后全产业链数据全生命安全的保护措施。

她强调，App数据安全不但是技术问题，更多也是管理方面问题，需要技术管理两个方面同时结合，才能够保障App全产业链和全周期的管理。