专家解读 | 张严:《移动智能终端预装应用程序分类方法》技术文件解读
2021-11-19
来源: 中国信息安全
移动智能终端已经成为当前人们生活中不可或缺的组成部分,其可以根据需要安装应用的特性大大增加了设备的可扩展性,丰富了人们的使用体验。但是,由于移动终端应用开发方各异,安全水平参差不齐,由此引发的安全事件屡见不鲜,给用户信息安全带来了很大威胁。其中,预装应用程序由于其特殊的性质,在简化了用户操作的同时,也对开发、监督和管理提出了更高要求。对于预装应用程序已经实现的功能,例如:接打电话、收发短信、管理通讯录、应用程序下载等,很多用户会倾向于使用预装应用程序执行,不再额外安装其它应用,因此一旦预装应用程序出现安全问题,其影响范围将远大于其它类型的应用。此外,也出现过部分厂商为了自己的利益,通过预装应用程序违规收集用户个人敏感信息的情况。上述情况都对移动智能终端预装应用程序的监督和管理提出了需求,相关标准规范的制定和发布迫在眉睫。
2021年11月12日,全国信息安全标准化技术委员会(以下简称TC260)发布了《移动智能终端预装应用程序分类方法》技术文件(以下简称技术文件)。通过对文件内容的理解,笔者认为技术文件在以下几个方面对于移动智能终端应用安全具有重要意义。
首先,技术文件规定了移动智能终端和预装应用的定义,并给出了可卸载应用和不可卸载应用的分类方法,通过区分预装应用的类别,实现了监管对象的明确划分,为在此基础上进一步对移动智能终端预装应用程序提出安全要求、实施监督管理确立了基础。
其次,技术文件明确了移动智能终端的必要功能,包括:系统设置、接打电话、收发短信、管理通讯录、显示时间、应用程序下载。并依此确立了可作为不可卸载应用预先安装的应用功能,为进一步针对相关功能提出安全要求,实施管理提供了依据。
最后,技术文件确定了“实现同一功能的多款应用程序可至多有一款为不可卸载应用程序”的数量原则,使得相关监管工作的开展更为聚焦。
综上所述,技术文件作为实施移动终端应用安全监管的基础规范,从应用类别、应用功能和应用数量三个维度进行了明确,使得实施安全要求和监管的对象变得十分清晰,为之后相关标准规范的制定打下了良好的基础。