划重点,移动应用如何进行报备与安全认证?

为塑造良好的网络安全空间,构建和谐的移动应用安全生态圈,应公安部要求,根据《计算机信息网络国际联网安全保护管理办法》,凡是接入互联网的单位:包括互联网接入服务单位(ISP)、互联网数据中心(IDC)、互联网信息服务单位(ICP)和国际联网使用单位,都需要到公安机关办理备案手续。

同时,公安部网络安全保卫局网站公示《互联网服务安全评估基本程序及要求》,规定了互联网服务提供者实施安全评估的基本程序和要求,用于互联网服务提供者进行安全评估与公安机关对互联网服务安全进行检查。

那么如何更好的进行报备呢?一是需要提供移动应用的相关信息,二是需要对自有App相关资产进行排查 。可从以下三方面来进行:自有App资产排查、合作方App资产排查、IDC流量App资产排查。定期排查应用名称、应用主题、发布渠道、所属行业、应用影响范围等,并责令App&SDK主体方进行整改。

排查App资产之后,便需要进行检测。通过解析工具如反编译资源文件、反编译配置文件等,安全检测引擎、内容合规检测引擎、动态行为检测引擎等技术手段, 对App资产进行深度排查爱加密移动应用安全检测平台,可对App资产进行全自动化的检测,并给出所有维度的详细信息,如基本信息、渠道信息、风险信息、行业信息、关联信息,从而提高排查工作效率和准确性。

平台可提供深度一体化的安全评测、垂直行业的合规检测、内容违法检测服务,支持Android应用自动化分析和iOS应用自动检测。该系统将为移动应用App提供多方位全面体检,并出具专业的检测报告,可为移动应用开发商提供专业的安全加固数据依据。有效地发现应用中的主流安全问题,应用检测时间短,对应用问题进行快速发现及修复。

2018年8月,国家市场监督管理总局下达开展应用程序安全认证的任务,同时中央网信办以专项形式下达任务。中央网信办等四部门关于开展App违法违规收集使用个人信息专项治理的公告,市场监督管理总局、中央网信办关于开展App安全认证工作的公告,指出认证机构和检测机构应按有关规定,客观、公正地开展认证和检测活动,并对认证和检测结果负责。

依据《信息安全技术个人信息安全规范》及相关标准、规范,安全认证步骤主要为:

1、提交申请:包括认证申请书、法人资格证明材料、对认证要求符合性的自评价结果及相关证明文档、对App符合相关安全技术标准的证明文档、不同发布渠道的版本差异性说明、App版本控制说明等其它文件。

2、资料评审:认证机构收到申请资料后,对申请资料的完整性、申请人主体资格进行评审,做出是否受理决定,并向认证申请方反馈受理决定。认证时限从认证受理之日开始计算。资料评审一般不超过15个工作日。

3、技术验证:关键技术验证项为App & SDK 超范围收集检测、应用权限检测、高危行为检测、数据传输检测、数据存储检测、违规内容检测、安全漏洞检测、安全病毒检测等。

4、现场审核:认证机构按照《移动互联网应用程序(App)安全评价指标》实施现场审核,并按照有关规定出具现场审核报告。发现不符合时,认证机构向认证申请方出具不符合报告,并要求限期整改;逾期未完成整改的,中止认证过程。

5、认证决定:认证通过的App,认证中心会为运营企业颁发该App的认证证书和标志。

6、持续监督:获证App运营者应持续进行获证后自评价,并配合认证机构的监督活动。认证机构应对获证App和App运营者实施持续监督,监督方式包括日常监督和专项监督。

爱加密移动应用大数据平台,通过终端大屏动态呈现安全认证的行业分布、渠道分布、区域分布、最新认证,以及持续一致性监督和持续合规性监督等多维度数据,及时对违规移动应用进行溯源取证和行政执法。

平台以技术层面、数据层面为保障,建立多渠道数据源、多维度关联数据,构建监管业务安全视图,展示全网安全总览图,为平台风险定级、威胁描述、检测详情、解决方案等提供强有力的支撑。对移动应用进行安全检测,及时对违规应用进行监管和处理。并给出独家专业修复建议,生成安全检测报告,为企业客户改进移动应用提供决策依据,便于通过上级主管单位审查。同时可为企业提供移动应用钓鱼监测服务、盗版下架服务、渠道监测系统,帮助企业及时了解盗版、钓鱼风险应用信息。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190819A0FFB600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券