2016第三屆中國信息安全用戶大會(Ucon)于9月19日-20日在上海舉行,會上發(fā)布了首個移動互聯(lián)網(wǎng)安全標準《移動互聯(lián)網(wǎng)應用軟件安全通用技術規(guī)范(試行)》(以下簡稱《規(guī)范》),特別對第三方移動應用的信息保護要求提出了一些考核的要點。
上海市經(jīng)濟和信息化委員會信息安全處副處長劉山泉指出,正規(guī)的應用基本都是經(jīng)過第三方檢測的,如果掃描不正規(guī)的二維碼或者安裝不正規(guī)的應用,就相當于在手機中植入了病毒,個人的隱私信息就會被竊取盜用。因此,路邊、商場等處出現(xiàn)的推廣掃碼要謹慎參與。
據(jù)上海市信息安全測評認證中心主任蔣力群在介紹,移動互聯(lián)網(wǎng)已經(jīng)邁入全民時代。截至2015年,移動端用戶規(guī)模達12.8億,“90后”和“00后”年輕一代用戶在崛起,整體份額已超過移動網(wǎng)民的三分之一,且比例持續(xù)上升,“80后”用戶占比37.1%,三個年齡段用戶合計占比超過七成。然而,移動應用安全隱患和標準空白也給其發(fā)展帶來了挑戰(zhàn),信息泄露、惡意扣費甚至資金被盜等事件時有發(fā)生。2015年,我國因移動互聯(lián)網(wǎng)應用軟件漏洞遭受惡意程序攻擊的境內用戶高達1.74億戶。
《規(guī)范》從技術安全和安全管理兩方面,對移動互聯(lián)網(wǎng)應用軟件在設計、開發(fā)、維護及測試提出通用要求。具體包括:身份鑒別、邏輯安全、數(shù)據(jù)安全、軟件安全、外部防護、安全設計、安全開發(fā)、安全維護、發(fā)布安全等10個部分。
蔣力群介紹,《規(guī)范》根據(jù)移動互聯(lián)網(wǎng)應用軟件設計信息的敏感度和業(yè)務重要性的不同,對應要求分為“一般要求”和“增強要求”,例如銀行、證券等金融行業(yè)的信息安全敏感度很高,對它們的信息檢驗要求也會更高。
在身份鑒別方式上,《規(guī)范》中的“增強要求”提出,當移動應用軟件進入終端系統(tǒng)后臺后,再次被喚醒切換到前臺時,應采取措施對用戶進行身份鑒別,對于涉及敏感信息修改或轉賬、支付等重要業(yè)務,除密碼認證以外,還應采取其他安全認證方式,且不宜通過第三方賬戶,如微博、微信、支付寶等進行認證。
◆ ◆ ◆
來源 | 解放網(wǎng)