信安标委拟出台新国标 将规范App生命周期安全管理

首页 / 业界 / 政策 /  正文
作者:安全419
来源:安全419
发布于:2022-02-10
安全419了解到,全国信息安全标准化技术委员会日前发布《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南(征求意见稿)》(以下简称《指南》),面向社会广泛征求意见,意见反馈截止日期为2022年4月9日。
 
 
近年来,移动互联网应用程序(App)得到广泛应用,随之而引入的安全隐患对个人信息安全、App稳定运行等带来严峻挑战。《指南》适用于App开发者对App的开发、运营,也适用于移动应用分发平台厂商和移动智能终端厂商 对App的管理,也可作为第三方机构对App进行安全检测时的参考。
 
《指南》将App可能面临的安全风险分为三种,一是App自身可能会面临被恶意程序攻击的风险;二是当App存在侵害用户权益的问题时,会面临被通报或者下架的风险;三是App存在的安全漏洞可能会被攻击者利用的风险,影响App的正确运行。
 
App生命周期安全保证框架可分为App生命周期过程风险监测处置过程两大部分。在App生命周期过程中,各阶段开展不同的管理或技术活动,应对可能出现的风险,降低出现风险的可能性。App生命周期可划分为需求分析阶段、开发设计阶段、测试验证阶段、上架发布阶段、安装运行阶段、更新维护阶段、终止运营阶段七个阶段。
 
在风险监测处置过程中,通过采集生命周期过程中部分阶段的行为数据,并对行为数据进行风险分析和特征运营,从而判定App是否存在侵害用户权益风险,最终进行风险处置,降低App被通报或者下架的可能性;通过采取措施防范安全漏洞信息的泄露,防止安全漏洞信息传播而产生危害,降低App面临安全漏洞被利用的可能性。