一、案例背景:
移动互联网是新时代的产物,也是未来发展的必然趋势,在丰富广大人民群众生活的同时,也带来了全新的娱乐体验。一方面性能优异的智能终端、包罗万象的移动应用(以下简称“App”)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用;而另一方面,移动互联在无线接入网络、移动终端、应用服务以及安全隐患方面都面临着前所未有的挑战。
(一)App安全问题层出不穷
根据《全国移动App 风险监测评估报告》(2021年3季度版)的统计,截止2021年9月底,大数据平台共计收录Android应用347万款,其中70%以上存在高危漏洞威胁,34.17%的App嵌入推送类的SDK。App安全问题层出不穷,恶意扣费、远程控制、窃取信息等一系列的恶意行为屡见不鲜,在不同程度上损害了用户权益。报告中观察到:大部分针对App漏洞的攻击使用了“旧漏洞”和高龄漏洞,而排名最高的“Janus漏洞”可以被攻击者利用以窃取用户的账号、密码等敏感信息,或者植入木马病毒,导致手机被远程操控。此外,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题也十分突出。
(二)App安全离不开安全技术和产业的支撑
App安全问题归根结底是网络与信息安全问题。没有网络安全和信息安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、不法入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全与信息安全离不开安全技术和产业的有力支撑。
目前移动App安全市场缺口大,主要体现在App安全需求大、研究人员少以及针对性公司少。为保证App的安全,开发者需要对App进行一系列安全检测、安全加固以及渠道监测等工作,从而保障用户信息安全,促进互联网的健康发展。
基于App安全现状以及集团数字化转型的需求,中国电信集团网络和信息安全管理部(以下简称“网信安部”)着眼建立长效治理机制,将管理要求内化为工作机制,促进提升管理效能,抓紧推进相关内部制度修订,强化各部门联动协作。网信安部与中国电信上海研究院安全工程研究中心(以下简称“研究院”)就该问题进行了研讨。经过反复的论证发现:信息收集不全面、不及时、不准确和App开发过程中安全开发意识不足、缺少安全开发工具两方面的问题亟需引起重视。因此,网信安部与研究院迅速成立企业内部App安全治理专项小组,首要任务即规范管理机制,形成企业标准,保障数字化转型的稳步推进。
二、案例概述:
基于App安全现状,针对中国电信各单位信息收集不全面、不及时、不准确和App开发过程中安全开发意识不足、缺少安全开发工具两方面的问题,研究院与中国电信网信安部于2020年2月出台了中国电信网信【2020】2号文,制定了企业标准,规范管理机制,保障企业在推进数字化转型中的信息安全。同月,研究院自主研发的移动应用全生命周期管理平台正式上线,向各单位提供App资产报备和App安全服务,形成了稳定的移动应用全生命周期管理体系,实现了App管理流程的自动化。本案例还通过中国电信集团系统集成有限责任公司向企业外部、内部用户提供了全面可靠的安全检测工具,为开发者提供了覆盖移动应用的全生命周期,包括开发、测试、上线、发布以及运营等各个环节,实现了一站式的移动应用安全管理解决方案,致力于打造App安全清朗空间。
案例的主要创新点如下:
(一) 理念先进的系统架构
首次提出移动应用全生命周期管理平台概念,覆盖App开发、测试、上线、发布、运营各个环节,实现多种工具的集中管理、任务的集中分发以及数据的集中统计;支持多种组织管理架构,采用分级账号管理模式,并且根据实际情况进行扩展。
(二) 功能全面的App安全检测系统
提供了一种易用、高效、自动化的检测方式。通过深度静态检测技术、动态检测技术、源代码扫描、多引擎检测等能力,全面评估应用的安全问题,准确定位问题根源,呈现详细的安全问题详情,并提供解决方案供开发者参考。
(三) 业界领先的第三方SDK检测
自主研发了移动应用SDK版本检测技术,目前已通过技术许可形式授权给国内头部移动应用安全厂商部署使用,获得15万知识产权类收入,实现了研究院技术许可案例零的突破。实现了SDK的详细检测分析和实时预警。
(四) 信息全面的App安全态势分析系统
针对应用的检测数据,提供不同维度的数据统计与安全态势分析服务,为集团或区域监管部门提供电信自营合作以及全网App安全态势分析展示服务。
(五) 独具创新的个人隐私风险检测
自主研发了国内首创的个人隐私风险检测引擎,能够检测App涉及个人隐私的权限获取和数据泄露情况。
(六) 基于自学习的恶意检测模型
提出了基于深度学习的App恶意检测模型、算法,采用特征码匹配融合人工智能的方法,能够快速有效地识别出未知的恶意应用。
解决了下述行业痛点:
管理平台采用目前流行的应用中台和微服务技术,使得管理平台的通用性很强,可以和待部署单位的很多已有组件、功能模块复用,且本平台自身的各项功能模块由于做到了充分解耦,所以各单位可以依据各自需求部署所需功能模块。同时采用多种部署使用方案,具有良好的可复制推广性:
可复制推广性:
(1)SaaS:具有专业、稳定的云服务器集群,采用公有云账号,通过在线提交APK方式使用,便捷高效;
(2)PaaS:提供各引擎接口API供集成调用;
(3)软硬一体机:方便应用单位提供本地化部署。
三、安全技术应用情况:
1、助力电信集团提升App安全水平
已有31个省公司和14个专业公司启用管理平台账号自行进行移动应用的检测和报备,已累计完成12194次安全检测、706次安全加固、3865次SDK安全检测、951次个人隐私合规评估,中国电信自营合作App均分由原来的不足60分,提升至84.7分,安全水平显著提高,处于行业领先地位。
2、为社会应用产生价值
平台提供了22个HTTP接口以提供检测监测服务,目前已与多家外部企业完成服务对接,对快消品行业和金融行业使用的App进行安全检测、安全加固和仿冒盗版监测。
3、联合公安打击黑产
针对赌博、欺诈类App,进行服务端溯源和交易卡号提取,单日从全网千万级流量数据中发现超1000个赌博、欺诈、涉黄、涉政类App,累计获取1542个交易卡号,为电信集团、公安、银行、通管局、应急响应中心等相关管理部门监管和打击提供技术支持。
4、支撑上海市通管局工作
承接上海市通管局App合规检测等支撑任务,完成110余款App收集及使用个人隐私合规评估,获得通管局高度认可;从数十家入围单位中脱颖而出,获得上海市通管局“网络安全支撑单位一级资质”(最高级);与通管局加大合作并推进建立上海市市级移动应用安全检测平台。
5、支撑集团网信安工作
实施案例的团队已经成为集团网信安移动应用安全检测中心,支撑集团网信安将移动应用安全列入网信重点工作;为电信多个部门、31个省公司、14个专业公司提供移动应用安全服务。
6、提升行业知名度和企业形象
对电信内部所有的App进行管理和检测,实现移动应用全生命周期的安全管控,使电信自营合作App维持较高的安全水平,响应移动应用安全合规,满足监管要求。此外还能对外部客户提供安全管理服务,打造中国电信移动网络差异化服务,提升中国电信的社会形象。向公众发布了3份季度报告——《全国移动App风险监测评估报告》,对全国移动App的安全情况进行了监测分析,为公众和企业提供强有力的技术支撑和安全防护服务。
四、客户反馈效果:
经过本案例的实施,在中国电信内部以及外部其他单位中都有着广泛地使用,且取得了良好的成效:
2019年12月,研究院在支撑集团协助各个省公司进行APP整改的同时,将移动应用全生命周期管理平台进行了推广与试用,各省公司、专业公司将本公司负责的APP上传至移动应用全生命周期管理平台进行检测并下载检测报告,发现具体的存在的风险问题。针对资产备案模块,电信内部基本做到全覆盖使用,截至2021年9月,已备案APP数量超400款,大大方便了集团对电信内部自营合作APP资产的监管。
本案例的应用效益如下:
(一)提升工作效率,优化管理流程
向31个省公司、14个专业公司提供App资产报备功能,切实保障了信息的及时性、可靠性,节省了大量人力与时间成本。
(二)提高App报备率,实现应报尽报
为各单位App材料整理填报提供了便捷的渠道,加强了集团对各单位App的掌握。目前平台已收集中国电信自营合作全量App。
(三) 提升App安全水平,实现降本增效
向企业外部用户、内部用户提供了App资产报备、安全检测、安全加固、渠道监测、态势分析、应用溯源、SDK检测、个人隐私合规评估等安全检测工具,降本增效超3500万,中国电信自营合作App的安全水平有了质的飞跃,处于行业领先地位。反欺诈溯源协助公安更高效地定位不法分子,减少群众财产损失,取得了良好的效果;App个人隐私合规将App评估的时间从半天缩短至半小时,提高了效率。研究院与网信安部协同各单位共同营造了安全的App环境,提升了企业社会价值,切实推动了整个行业App安全的规范化、安全化、健康化发展。