终端软件安全生命周期浅析

在以往的各类移动互联专题中，EF不断强调，信息安全是任何国家和行业都十分重视的问题，而移动终端软件的安全更是涉及用户和运营商切身利益的关键问题。随着移动互联网应用安全风险的日益凸显，移动运营商必须建立对移动终端软件的安全保障体系来解决这一问题。

终端软件的安全保障体系应以保证业务连续性为根本目标，通过终端软件测试、软件的安全认证、软件的监控拨测管理和技术的紧密结合，实现对终端软件产生、、使用的完整生命周期的安全风险进行有效控制和信息安全的全面保障，实现信息安全体系的持续改进和动态发展。

移动互联网应用安全风险日益凸显

近年来我国移动互联网产业发展迅速，网络用户规模不断扩大。伴随着用户规模和终端市场的发展，移动互联网应用软件产业也在飞速发展。然而，随着移动互联网应用加速普及，相关安全威胁也开始逐渐显现。对用户而言，由于不能有效识别移动应用软件的可信性和功效性，一些恶意软件会乔装成某一类正常应用软件，放置在应用商店，用户下载安装后，会在用户不知情的情形下，从事着恶意扣费、系统破坏、隐私窃取、访问不良信息等恶意行为，给用户带来经济损失和信息安全问题。还有一些软件，本身不实施恶意行为，但在为用户服务过程中会从事一些敏感危险行为，如：获取隐私信息、擅自连接网络或发送短信，这些行为也可能会为用户带来经济损失和风险。

解决终端软件安全风险的必要性

目前，中国移动对于终端软件，特别是大量的第三方应用没有介入有效的监控和约束，但是这些第三方的应用一旦导致用户利益的损失，必然会影响到中国移动的服务质量。

对第三方应用进行分析我们不难发现，那些恶意行为软件主要来源于Android（安卓）平台的应用，为什么相对于苹果iOS的恶意行为软件要少的多呢？依据赛门铁克公司公布的《移动设备安全初探：针对苹果iOS和谷歌Android（安卓）平台安全应用的检测》白皮书的结论，iOS所用的安全模式能有力地抵御传统恶意软件的攻击，这主要得益于苹果公司拥有严格的应用程序认证程序及软件开发者认证程序，通过这些认证，每款软件的作者都有相应身份记录，有利于杜绝恶意攻击软件。而谷歌的认证程序则没有那么严格，它允许任何软件开发者在匿名状态下创建和应用程序，而无需接受检测。缺乏认证是导致现在针对Android（安卓）的恶意软件越来越多的原因。另外，通过360旗下应用在苹果App Store“下架门”事件也显示了苹果对应用程序安全认证体系的重要性和作用。因此不论是从维护用户利益出发，还是从促进终端软件发展的观点出发，中国移动可以借鉴苹果对应用软件的管理办法，从软件的开发、测试、、安装、更新、卸载等整个生命周期过程中建立一套完整的终端软件安全保障体系，确保软件安全管理处于一个闭环是非常重要的。

建立安全生命周期的安全保障体系

终端软件安全风险在软件的开发、测试、、安装、更新、卸载使用整个生命周期的各个阶段都可能发生，不仅要在事前对终端软件进行安全测试，还必须在事中通过软件的签名认证机制保护软件在下载安装、升级、使用过程中不被篡改和假冒；事后，通过定期对软件的拨测监控其涉及的业务逻辑和内容是否有非法内容和恶意行为，并及时跟踪和高级最新恶意软件病毒，规避风险。如此，通用事前 、事中、事后的安全测试、签名认证、安全监测等安全措施，建立起了面向终端软件的全生命周期的安全保障体系。

事前，在终端软件安全生命周期管理过程中的安全测试环节，是作为软件安全的核心环节之一，从源头确保终端软件不存在已知安全风险，通过对软件运行过程的监控和处理确保符合软件运行的预期功能，通过对已知漏洞和风险的监测，确保软件不存在对应的安全风险。事中，在终端软件前进行安全测试，可保障软件上线前的安全性，为保障终端软件在安装、升级、使用过程中软件的一致性。事后，必须引入对终端软件的签名认证机制，通过对终端软件产生、、使用的完整生命周期建立认证和控制体系，形成点对点的安全控制。

有了终端软件的签名认证机制，可有效的解决如下问题：

终端软件签名可追溯可标识的问题

开发者的自签名宽松随意，其合法性和相关约束薄弱，用开发者自签名来做为应用的唯一身份标示，其可追溯性不强，且难以解决应用被篡改和假冒的问题；而用移动统一发的证书来进行签名，确保了证书的合法性和可管可控，移动可通过管理应用的签名私钥来控制应用最终的签名操作。

用户如何有效识别终端软件的可信和安全

应用有了移动公司的证书签名，相当于为应用做了安全性的标识和盖章的作用。用户通过简单的查询应用是否是移动公司的证书签名即可清楚的知晓应用的安全情况。

应用联网使用变更的安全问题

通过建立应用下载可信渠道，如MM应用商城或联通沃商城等运营商监管的软件商店，可解决软件在下载安装和升级版本一致性问题，但对某些联网更新类软件，如新闻、游戏等应用，其实时的更新变更不是这些应用商城可解决的，只有通过对软件的实时签名验证才可确保其版本的一致性。

应用下载渠道的可信问题

应用的签名证书是应用的唯一身份标示，操作系统在应用的安装和升级时，是以此来识别是否是同一应用的。这样只要应用的签名是安全可信的，就可保障应用的安全性，因此在应用的安装和升级时，通过验证应用的签名证书是否可信。事后，定期对终端软件进行抽查拨测，获取第一手的软件运行数据，发现恶意软件及时告警处理。针对用户投诉的安全问题，进行稽核重现，提出补救措施等。通过对拨测数据及投诉数据分析，掌握各软件在终端上的运行情况，提升用户满意度。

结语

总之，建立终端应用软件的安全测试平台对定制终端软件预装版本和升级版本进行安全测试，实现对终端软件的自动化分析和判定，从源头保障用户不受恶意软件的侵害。

TIPS

终端软件的签名认证机制对安全起到如下作用

安全保障：对通过安全测试的终端软件颁发安全证书并进行签名，即有效的起到对软件安全标示的作用，又防止了软件的篡改和假冒问题。

安全监管：在软件的下载、安装、启动过程，通过对软件的签名验证机制实现对软件的在线实时安全监管。

安全控制：针对已经上线或用户已下载安装的终端软件在出现异常或某种恶意行为，移动运营商可及时通过吊销终端软件的安全证书来终止软件的使用。