2016第三届中国信息安全用户大会(Ucon)于9月19日-20日在上海举行,会上发布了首个移动互联网安全标准《移动互联网应用软件安全通用技术规范(试行)》(以下简称《规范》),特别对第三方移动应用的信息保护要求提出了一些考核的要点。
上海市经济和信息化委员会信息安全处副处长刘山泉指出,正规的应用基本都是经过第三方检测的,如果扫描不正规的二维码或者安装不正规的应用,就相当于在手机中植入了病毒,个人的隐私信息就会被窃取盗用。因此,路边、商场等处出现的推广扫码要谨慎参与。
据上海市信息安全测评认证中心主任蒋力群在介绍,移动互联网已经迈入全民时代。截至2015年,移动端用户规模达12.8亿,“90后”和“00后”年轻一代用户在崛起,整体份额已超过移动网民的三分之一,且比例持续上升,“80后”用户占比37.1%,三个年龄段用户合计占比超过七成。然而,移动应用安全隐患和标准空白也给其发展带来了挑战,信息泄露、恶意扣费甚至资金被盗等事件时有发生。2015年,我国因移动互联网应用软件漏洞遭受恶意程序攻击的境内用户高达1.74亿户。
《规范》 从技术安全和安全管理两方面,对移动互联网应用软件在设计、开发、维护及测试提出通用要求。具体包括:身份鉴别、逻辑安全、数据安全、软件安全、外部防护、安全设计、安全开发、安全维护、发布安全等10个部分。
蒋力群介绍,《规范》 根据移动互联网应用软件设计信息的敏感度和业务重要性的不同,对应要求分为“一般要求”和“增强要求”,例如银行、证券等金融行业的信息安全敏感度很高,对它们的信息检验要求也会更高。
在身份鉴别方式上,《规范》中的“增强要求”提出,当移动应用软件进入终端系统后台后,再次被唤醒切换到前台时,应采取措施对用户进行身份鉴别,对于涉及敏感信息修改或转账、支付等重要业务,除密码认证以外,还应采取其他安全认证方式,且不宜通过第三方账户,如微博、微信、支付宝等进行认证。
本文转自d1net(转载)
