專(zhuān)家解讀 | 張嚴(yán):《移動(dòng)智能終端預(yù)裝應(yīng)用程序分類(lèi)方法》技術(shù)文件解讀
2021-11-19
來(lái)源: 中國(guó)信息安全
移動(dòng)智能終端已經(jīng)成為當(dāng)前人們生活中不可或缺的組成部分,其可以根據(jù)需要安裝應(yīng)用的特性大大增加了設(shè)備的可擴(kuò)展性,豐富了人們的使用體驗(yàn)。但是,由于移動(dòng)終端應(yīng)用開(kāi)發(fā)方各異,安全水平參差不齊,由此引發(fā)的安全事件屢見(jiàn)不鮮,給用戶(hù)信息安全帶來(lái)了很大威脅。其中,預(yù)裝應(yīng)用程序由于其特殊的性質(zhì),在簡(jiǎn)化了用戶(hù)操作的同時(shí),也對(duì)開(kāi)發(fā)、監(jiān)督和管理提出了更高要求。對(duì)于預(yù)裝應(yīng)用程序已經(jīng)實(shí)現(xiàn)的功能,例如:接打電話(huà)、收發(fā)短信、管理通訊錄、應(yīng)用程序下載等,很多用戶(hù)會(huì)傾向于使用預(yù)裝應(yīng)用程序執(zhí)行,不再額外安裝其它應(yīng)用,因此一旦預(yù)裝應(yīng)用程序出現(xiàn)安全問(wèn)題,其影響范圍將遠(yuǎn)大于其它類(lèi)型的應(yīng)用。此外,也出現(xiàn)過(guò)部分廠(chǎng)商為了自己的利益,通過(guò)預(yù)裝應(yīng)用程序違規(guī)收集用戶(hù)個(gè)人敏感信息的情況。上述情況都對(duì)移動(dòng)智能終端預(yù)裝應(yīng)用程序的監(jiān)督和管理提出了需求,相關(guān)標(biāo)準(zhǔn)規(guī)范的制定和發(fā)布迫在眉睫。
2021年11月12日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡(jiǎn)稱(chēng)TC260)發(fā)布了《移動(dòng)智能終端預(yù)裝應(yīng)用程序分類(lèi)方法》技術(shù)文件(以下簡(jiǎn)稱(chēng)技術(shù)文件)。通過(guò)對(duì)文件內(nèi)容的理解,筆者認(rèn)為技術(shù)文件在以下幾個(gè)方面對(duì)于移動(dòng)智能終端應(yīng)用安全具有重要意義。
首先,技術(shù)文件規(guī)定了移動(dòng)智能終端和預(yù)裝應(yīng)用的定義,并給出了可卸載應(yīng)用和不可卸載應(yīng)用的分類(lèi)方法,通過(guò)區(qū)分預(yù)裝應(yīng)用的類(lèi)別,實(shí)現(xiàn)了監(jiān)管對(duì)象的明確劃分,為在此基礎(chǔ)上進(jìn)一步對(duì)移動(dòng)智能終端預(yù)裝應(yīng)用程序提出安全要求、實(shí)施監(jiān)督管理確立了基礎(chǔ)。
其次,技術(shù)文件明確了移動(dòng)智能終端的必要功能,包括:系統(tǒng)設(shè)置、接打電話(huà)、收發(fā)短信、管理通訊錄、顯示時(shí)間、應(yīng)用程序下載。并依此確立了可作為不可卸載應(yīng)用預(yù)先安裝的應(yīng)用功能,為進(jìn)一步針對(duì)相關(guān)功能提出安全要求,實(shí)施管理提供了依據(jù)。
最后,技術(shù)文件確定了“實(shí)現(xiàn)同一功能的多款應(yīng)用程序可至多有一款為不可卸載應(yīng)用程序”的數(shù)量原則,使得相關(guān)監(jiān)管工作的開(kāi)展更為聚焦。
綜上所述,技術(shù)文件作為實(shí)施移動(dòng)終端應(yīng)用安全監(jiān)管的基礎(chǔ)規(guī)范,從應(yīng)用類(lèi)別、應(yīng)用功能和應(yīng)用數(shù)量三個(gè)維度進(jìn)行了明確,使得實(shí)施安全要求和監(jiān)管的對(duì)象變得十分清晰,為之后相關(guān)標(biāo)準(zhǔn)規(guī)范的制定打下了良好的基礎(chǔ)。