移动应用安全监管的主要难点与应对之道
日期:2022年11月11日 阅:108
随着移动互联网的快速发展,我国移动互联网用户数量急剧增长,移动应用已经实现了生活场景的全覆盖,形成了围绕个人需求的完整闭环,渗透到了各个领域。而移动应用的无序扩张也带来了诸如数据违规收集、数据恶意滥用、数据非法获取、数据恶意散播等安全风险。这些安全风险广泛存在于当前主流APP中,严重威胁数据安全与个人信息安全。鉴于移动应用使用的普遍性与安全风险的突出性,监管机构已着手对移动应用进行全面规范化监管。国家监管部门及行业监管部门依据《网络安全法》《个人信息保护法》《数据安全法》从不同角度均对移动应用开发者提出了相应的要求,然而管理制度在落地的过程中,缺乏有效技术支撑,导致管理制度的落地效果差,移动应用监管无法有效执行。
移动应用安全监管难点
01
缺乏全量收集移动应用能力
截止2020年12月,我国国内市场上监测到的移动应用程序(APP)在架数量为302万款。据不完全统计,截至2022年6月,国内持续活跃的Android应用市场有400多家。如何快速将全量APP纳入监管范围并持续追踪是监管部门需要面临的问题。
02
缺乏监管数据整合能力
监管部门对移动应用安全风险及个人信息合规风险进行多轮专项治理,已产生大量移动应用的相关数据,包含:开发者信息、运营方信息、应用市场信息,应用程序信息以及相关安全风险信息。各部委主管机关单位也会同步相关监管数据用于指导各级监管机构执行监管任务。但海量的数据来源无法进行有效信息整合,存在大量重叠、割裂、碎片化数据,无法形成被监管目标的信息画像,不利于快速有效及可持续性监管。03
缺乏鉴别归属地能力
由于互联网空间没有明显的地域边界,移动应用分布在众多的应用市场,且互联网企业具有跨地域运营的特性,使得监管机构对移动应用的归属辖区无法清晰界定,严重影响监管机构履行监管职能。04
缺乏专业技术审核能力
APP数量众多,审核强度大,无法依靠纯人工审核。移动互联网恶意程序存在多种恶意行为,包括:恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈和流氓行为。这些恶意行为人工较难辨别,需要使用自动化分析工具来提高审核的专业度和效率。同时,APP违规采集用户隐私数据、违规向境外传输数据、存在重大安全漏洞影响使用者安全等多种问题都必须依赖于自动化、专业化的工具提升监管效率。05
缺乏移动应用风险全局研判能力
由于移动应用分布广泛,缺乏地域性特征,移动应用安全风险研判需要移动专业技术能力支撑。大量零散碎片化信息无法让监管部门对移动应用全局风险形成全面的感知,无法对属地内移动应用的上线、分布、安全、合规情况进行全面、有效、真实的掌握,不利于监管工作顺利开展。
移动应用安全监管解决方案
梆梆安全推出 “以政府监管机构为监管主导、以国家政策法规为监管执行依据、以移动应用资产报备与探测为数据基础、以移动应用安全检测,移动应用合规检测为监管技术核心、以信息技术平台为监管运营支撑,以人工辅助验证,监管流程梳理为抓手”的技管结合方案,协助监管部门形成常态化的移动应用治理与监管体系。
移动应用安全监管治理框架
移动应用安全监管平台
移动应用安全监管平台能够协助管理者建立应用报备、审核、监管的全生命周期监管机制。监管平台采用全球自动化数据采集系统,实时采集活跃应用市场上的移动应用程序,利用大数据处理和分析平台,调用不同类型检测引擎,快速进行应用分析,及时掌握应用风险和违规状况。同时平台具备前端展示能力通过数据检索、图形化展现,帮助管理者及时掌握辖区内APP归属区域、类型、应用市场的分布及安全状况,并且可根据平台提供的应用信息进行溯源,确保监管落地。通过与报备系统进行关联分析,建立应用系统备案监管体系,帮助监管单位建立全面的监管体系和规范的监管流程。
移动应用监管运营服务
提供技术人员驻场服务,通过人工辅助验证,技术报告输出,现场巡检技术支撑,监管平台数据治理运维等服务内容,协助监管单位完成移动应用监管任务。
梆梆安全已为多个省市监管机构提供应用监管服务与技术支撑,帮助监管单位提升监管审查效率,降低移动应用市场的风险问题、健全监管机构的管理体制、促进APP监管产业的稳定发展。
未来,梆梆安全将继续坚守成为“全球软件安全领跑者”的愿景,勇担“保护您的软件”使命,致力于通过专业的安全服务竭诚为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境。
梆梆安全正在以当今网络重心移动互联网为源点,逐渐将安全防护能力向传统互联网以及未来物联网延伸,并参考共享经济模式创新性提出“共享安全”理念,围绕业务安全、数据安全帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全整体纵深防御系统。