移動(dòng)智能終端的安全誰(shuí)來(lái)保衛？

　　據披露，由于發(fā)現有58個(gè)惡意程序被上傳至谷歌應用商店，2011年3月4日谷歌批量下架21款存在惡意行為的手機軟件，這些軟件已被約26萬(wàn)用戶(hù)下載。由此引發(fā)業(yè)界對移動(dòng)智能終端及應用軟件安全的進(jìn)一步關(guān)注。
　　智能終端安全問(wèn)題不斷暴露
　　隨著(zhù)iPhone等移動(dòng)智能終端功能日益強大，移動(dòng)智能終端應用軟件數量激增，移動(dòng)智能終端用戶(hù)數量快速增多。據Gartner統計，2010年全球智能手機銷(xiāo)量約為3億部，較2009年增長(cháng)72.1%。CNNIC統計顯示，截至2010年12月，手機網(wǎng)民已達3.03億，占總體網(wǎng)民的66.2%。

　　加強移動(dòng)智能終端的安全監管
　　目前政府和企業(yè)等層面已經(jīng)開(kāi)始關(guān)注并采取措施應對移動(dòng)智能終端的網(wǎng)絡(luò )與信息安全問(wèn)題。如工信部開(kāi)展手機淫穢色情整治專(zhuān)項行動(dòng)，2011年聯(lián)合三大基礎運營(yíng)商以及騰訊等增值企業(yè)圍剿“病毒集團”，借助12321網(wǎng)絡(luò )不良與垃圾信息舉報受理平臺加強社會(huì )監督；各終端操作系統均內置API權限控制、數字簽名等安全策略，各應用商店經(jīng)營(yíng)者根據產(chǎn)品特點(diǎn)、業(yè)務(wù)發(fā)展策略等審核應用軟件安全情況，奇虎360、網(wǎng)秦等安全企業(yè)提供免費手機病毒查殺軟件。
　　針對移動(dòng)智能終端日益嚴重的安全問(wèn)題，建議從移動(dòng)智能終端、移動(dòng)應用商店、第三方應用服務(wù)器三個(gè)環(huán)節加強安全保護。　　

• 加強對移動(dòng)智能終端進(jìn)網(wǎng)的安全評估。

　　針對移動(dòng)智能終端的安全管理可利用終端進(jìn)網(wǎng)環(huán)節的優(yōu)勢加強監管。
　　第一，應將內置移動(dòng)通信模塊的平板電腦、電子閱讀器等新型智能終端納入進(jìn)網(wǎng)檢測范疇。
　　第二，在移動(dòng)智能終端進(jìn)網(wǎng)環(huán)節加強安全評估。補充完善移動(dòng)智能終端安全標準中的技術(shù)要求和檢測要求，尤其針對操作系統、預置應用軟件的權限設置和API調用等提出安全要求。智能終端進(jìn)網(wǎng)時(shí)需評估其是否滿(mǎn)足標準中的“基線(xiàn)安全”要求，各終端廠(chǎng)家在“基線(xiàn)安全”基礎上還可采取更高級別的安全策略。加強對相關(guān)評估方法和配套技術(shù)手段的研究，促進(jìn)安全評估工作高效客觀(guān)深入開(kāi)展。
　　第三，開(kāi)展智能終端進(jìn)網(wǎng)后的監督評估。要求終端廠(chǎng)家跟進(jìn)研究終端操作系統、預置應用軟件等的安全性，及時(shí)提供操作系統漏洞修復和版本升級等服務(wù)，及時(shí)清理?yè)p害用戶(hù)利益的預置軟件。由政府部門(mén)定期對進(jìn)網(wǎng)后的智能終端安全情況進(jìn)行抽查，如評估廠(chǎng)家是否跟蹤、研究操作系統各版本安全漏洞（例如系統組件漏洞、緩沖區溢出漏洞等）并及時(shí)向用戶(hù)提供操作系統漏洞修復和版本升級服務(wù)。

• 開(kāi)展對移動(dòng)應用商店的安全監管。

　　針對日益擴大的應用軟件市場(chǎng)以及日漸嚴重的移動(dòng)終端應用軟件安全問(wèn)題，有必要對應用軟件進(jìn)行嚴格的安全評估。
　　第一，研究制定行業(yè)內統一的移動(dòng)應用商店及應用軟件安全要求和檢測要求，規范應用的安全審核尺度，研發(fā)高效的應用軟件安全性評估工具，對應用軟件信息內容、API調用、應用軟件漏洞、惡意代碼和應用開(kāi)發(fā)者資質(zhì)等進(jìn)行嚴格評估。
　　第二，建立針對移動(dòng)應用商店的監督管理機制。要求應用商店經(jīng)營(yíng)者必須在應用軟件上線(xiàn)前依照國內法律規章和技術(shù)標準等進(jìn)行嚴格審核。建立應用軟件上線(xiàn)后的安全監控和處置機制，政府部門(mén)定期開(kāi)展對應用商店平臺及其銷(xiāo)售的應用軟件安全性的檢查評估。建立應用軟件的黑名單及行業(yè)內共享機制,建立行業(yè)內應用軟件提供者的資質(zhì)審查和信用管理體系。

• 加強對第三方應用服務(wù)器的安全監管。

　　已經(jīng)上線(xiàn)的合法應用可能通過(guò)從第三方應用服務(wù)器下載更新內容的方式來(lái)傳播非法內容信息，這種非法內容的傳播形式更加隱蔽和難以管理。例如，電子書(shū)客戶(hù)端在更新電子書(shū)內容時(shí)可能獲得非法內容。因此在目前針對第三方應用服務(wù)器平臺管理措施的基礎上，建議加強對第三方應用服務(wù)器平臺網(wǎng)絡(luò )安全和信息安全的監督檢查。
　　第一，通過(guò)通信網(wǎng)絡(luò )安全防護工作開(kāi)展對ISP運營(yíng)的增值業(yè)務(wù)系統的安全檢查，加強對承載第三方增值業(yè)務(wù)系統的IDC的安全管理。
　　第二，開(kāi)展對ISP企業(yè)及其業(yè)務(wù)的信息安全評估。如評測ISP業(yè)務(wù)上線(xiàn)前是否配套建立信息安全保障機制并滿(mǎn)足國家安全需求，定期對在線(xiàn)業(yè)務(wù)開(kāi)展信息安全評估，建立應用軟件提供者的安全信用體系。
　　第三，針對境外應用服務(wù)器，除與其積極協(xié)商，要求其遵守國內的法律法規并將服務(wù)器設置在我國境內，還需著(zhù)力研究建立我國有效監管外資企業(yè)SP的配套管理制度，提高我國評估、發(fā)現和處置其所提供業(yè)務(wù)的網(wǎng)絡(luò )與信息安全風(fēng)險的能力。

人民郵電報