欢迎来到黑龙江省互联网协会网!!
行业动态
应用商店安全检查工作启动 重点打击恶意程序
发布时间:2014-06-10  信息出处:新华信息化  信息作者:黑龙江省互联网协会

    工业和信息化部通信保障局日前发布“关于在打击治理移动互联网恶意程序专项行动中做好应用商店安全检查工作的通知”(以下简称“通知”)以及“移动互联网应用商店网络安全责任指南”(以下简称“指南”),重点打击治理具有手机窃听、隐私窃取、恶意扣费、诱骗欺诈等明显侵害用户权益的恶意程序。

    “通知”指出,应用商店安全检查主要是为了梳理境内应用商店基本情况,了解应用商店基本安全状况,督促引导应用商店建立开发者信息审核、应用程序上架前安全检测、用户举报投诉受理等安全管理制度,落实网络安全责任。通过对应用商店的安全检查,为建立应用商店安全管理长效机制打好基础。

    本次安全检查的主要任务是:一、开展摸底调查。各通信管理局要按照应用商店主体所在地梳理核实本地区应用商店情况,并将核实后的情况于6月12日前报通信保障局。二、组织宣贯培训。各通信管理局要于6月30日前组织属地应用商店、基础电信企业开展专项行动宣贯工作。三、开展现场检查。各通信管理局要参照《移动互联网应用商店网络安全责任指南》,结合本地区应用商店数量和类型,选取一定数量的应用商店进行现场检查,督促其落实安全责任、建立安全管理制度。四、开展应用程序安全检测。各通信管理局要组织技术力量对本地区应用商店中的应用程序进行远程或现场抽检。对发现的具有手机窃听、隐私窃取、恶意扣费、诱骗欺诈等明显侵害用户权益的恶意程序,通知应用商店进行下架处置,对拒不下架的进行公开曝光等。

    为明确应用商店网络安全责任,突出安全检查要点,督促应用商店建立完善安全管理制度,依据《全国人大常委会关于加强网络信息保护的决定》、《互联网信息服务管理办法》、《电信业务经营许可管理办法》、《非经营性互联网信息服务备案管理办法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》等法律法规和部门规章,结合工作实践,特制定“移动互联网应用商店网络安全责任指南”,供应用商店安全检查中参考使用。

    “通知”和“指南”全文依次如下:

关于在打击治理移动互联网恶意程序专项行动中

做好应用商店安全检查工作的通知

  各省、自治区、直辖市通信管理局,国家计算机网络应急技术处理协调中心、部电信研究院:

  根据《工业和信息部 公安部 工商总局关于印发打击治理移动互联网恶意程序专项行动工作方案的通知》(工信部联保〔2014〕153号),为做好专项行动期间应用商店安全检查工作,现将有关事项通知如下:

  一、检查目的

  梳理境内应用商店基本情况,了解应用商店基本安全状况,督促引导应用商店建立开发者信息审核、应用程序上架前安全检测、用户举报投诉受理等安全管理制度,落实网络安全责任。通过对应用商店的安全检查,为建立应用商店安全管理长效机制打好基础。

  二、检查依据

  应用商店属于互联网信息服务,应当遵守《全国人大常委会关于加强网络信息保护的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《电信业务经营许可管理办法》、《非经营性互联网信息服务备案管理办法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》等法律法规、部门规章的规定,落实相关网络安全责任。

  三、主要任务

  (一)开展摸底调查。各通信管理局要按照应用商店主体所在地梳理核实本地区应用商店情况,并将核实后的情况于6月12日前报通信保障局。应用商店的基本情况包括许可/备案号、服务器接入地址、域名、开办主体、负责人、联系人及联系方式、上线应用程序数量等。国家计算机网络应急技术处理协调中心(以下简称CNCERT)给予协助。

  (二)组织宣贯培训。各通信管理局要于6月30日前组织属地应用商店、基础电信企业开展专项行动宣贯工作。参照《移动互联网应用商店网络安全责任指南》(见附件),向应用商店告知其应当履行的安全责任和义务,督促其开展自查整改,建立相关安全管理制度。

  (三)开展现场检查。各通信管理局要参照《移动互联网应用商店网络安全责任指南》,结合本地区应用商店数量和类型,选取一定数量的应用商店进行现场检查,督促其落实安全责任、建立安全管理制度。检查可委托有条件的专业机构进行。根据检查情况,填写《移动互联网应用商店安全管理调查表》和《移动互联网应用商店安全管理情况调查结果统计表》,报通信保障局。

  (四)开展应用程序安全检测。各通信管理局要组织技术力量对本地区应用商店中的应用程序进行远程或现场抽检。对发现的具有手机窃听、隐私窃取、恶意扣费、诱骗欺诈等明显侵害用户权益的恶意程序,通知应用商店进行下架处置,对拒不下架的进行公开曝光等。抽检过程中,各通信管理局要加强对相关技术力量的指导,保证检测结果的公平公正。

  通信保障局委托CNCERT、部电信研究院等对全国范围内应用商店中的上架应用程序开展远程抽测,抽测结果由CNCERT负责汇总核实,报通信保障局,同时通报相关通信管理局,由相关通信管理局通知应用商店下架恶意程序。汇总核实过程中,CNCERT要对恶意程序认定做好把关工作,如认定出现歧义,可组织多家专业检测机构共同认定。

  附件:移动互联网应用商店网络安全责任指南

                                                           工业和信息化部通信保障局

                                                           2014年5月30日

  附件:

  移动互联网应用商店网络安全责任指南

  为明确应用商店网络安全责任,突出安全检查要点,督促应用商店建立完善安全管理制度,依据《全国人大常委会关于加强网络信息保护的决定》、《互联网信息服务管理办法》、《电信业务经营许可管理办法》、《非经营性互联网信息服务备案管理办法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》等法律法规和部门规章,结合工作实践,特制定本指南,供应用商店安全检查中参考使用。

  一、应用商店对本商店内上架的应用软件负有安全管理的责任。

  二、应用商店应要求应用软件提供者如实提供身份信息(包括个人身份信息、营业执照、联系方式等),并由应用商店进行信息核验和留存。

  三、应用商店应在与应用软件提供者的合作协议中明确应用软件提供者的安全责任,要求应用软件提供者承诺不提交违反我国网络与信息安全相关法律法规以及含有恶意行为的应用软件(含版本升级后的应用软件)。

  四、应用商店应要求应用软件提供者在提交应用软件时声明其获取的使用权限及用途。应用商店应将上述信息向应用软件下载用户明示。

  五、在应用软件上架前,应用商店应自行或委托第三方对其进行安全检测,对含有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈等行为,以及含有法律法规禁止内容的应用软件,不得上架发布,并将其纳入应用软件黑名单。应用商店应定期对已上架的应用软件进行安全复查。

  六、应用商店应留存应用软件及其基本信息(版本、上线时间、应用软件简介、用途等)、状态信息(上线、下架)等,相关信息的留存时间不短于60日。

  七、应用商店应建立应用软件举报制度,提供便利的举报渠道,当收到存在安全问题的应用软件举报时,应及时验证、处理。同时,建立与行业协会组织间的公众监督举报渠道。

  八、应用商店应建立应用软件黑名单管理制度、黑名单申述机制,并积极推动黑名单信息行业内共享。

  九、应用商店应按电信管理机构的要求及时下架存在安全问题的应用软件。

  十、应用商店应当为电信管理机构开展安全检查提供便捷的获取上架应用软件的条件。

  十一、应用商店应当加强自身系统的安全防护,保障自身系统安全和用户个人信息安全。

  十二、应用商店应指定专人负责安全管理工作,加强对相关人员的安全教育和培训。