中国信通院孙明俊：构建移动应用安全标准体系

     日前，2015年移动智能终端峰会在国家会议中心成功举办。此次峰会由工信部指导，中国信息通信研究院主办，峰会广泛吸纳移动智能终端领域的发展成果，在智能手机、智慧家庭、终端安全等多领域展开深入交流。移动终端安全是此次峰会的一大重点，中国信息通信研究院技术与标准化研究所高级项目经理、移动智能终端技术创新与产业联盟办公室主任孙明俊在会上就移动智能终端的安全体系构建发表了自己的看法。

    •移动互联网的安全内涵丰富

    截止到2015年6月，我国移动互联网用户总数达到9.05亿，对移动电话用户渗透率超过70%。截止到2015年7月，我国移动互联网介入流量达到20.2亿G，同比增长95.9%。孙明俊表示，移动互联网的发展非常迅速，并持续处于快速上升的阶段，但是安全问题也随之加剧。

    孙明俊认为，移动互联网的安全内涵丰富，包括应用软件的安全、终端硬件层面的安全和系统层面的安全。从应用软件方面来看，当前的主要威胁包括流氓行为、恶意传播、恶意扣费、隐私窃取、诱骗欺诈、资费消耗、远程监控、系统破坏八大领域，其中又以恶意扣费、隐私窃取的危害最为严重。

    包括IOS、安卓在内的主流操作系统，都无一例外的存在大量漏洞，对个人信息的安全乃至国家信息安全都构成了巨大的威胁。与此同时，应用商店里面也存在包括应用审核、管理在内的大量问题，虽然政府积极出台了许多相应政策，但由于客观现实的制约，实行起来困难重重，难以落地。

    •应用发布推广渠道的安全审核存在问题

    孙明俊称，应用发布推广渠道的安全审核主要存在两方面问题，一是国内部分移动应用软件缺乏严格的审核制度及应用安全检测能力，这是手机病毒泛滥的主要推手。信通院对应用商店数据的检测数据显示，目前手机恶意程序平均占比为12.6%，部分审核不严格的占比甚至超过20%。这就意味着我们下载的软件中，有1/10或1/5的可能性是被植入恶意程序的。另一方面是数字证书的问题，由于应用开发者证书很多都不是第三方机构发放的，因此溯源变得非常困难。

    •构建移动应用安全标准体系，建设完整评测认证能力

    针对上述移动互联网安全出现的种种问题，孙明俊建议要构建移动应用安全标准体系，建设完整评测认证能力。目前信通院已经开展了构建移动应用安全标准体系的相关工作，致力于建设完整评测认证体系。同时，信通院对移动应用程序签名技术要求、移动应用程序代码签名测试方法、移动智能终端应用软件安全技术要求、应用软件商店安全技术要求等也开展了深入研究。孙明俊表示，信通院也会建议主管部门制定更详细的制度，在管理流程方面进行更为细致的梳理。例如，在应用提交方面，首先需要通过一个安全测试，通过之后，需要在代码签名平台来树立证书申请。

    来源：CNII网