网络安全国家标准优秀实践案例专题
Topic on Excellent Practice Cases of Cybersecurity National Standards
编辑:李秋花E-mail: ************
网络安全国家标准优秀实践案例专题
Topic on Excellent Practice Cases of Cybersecurity National Standards
翻查代码的方式费时耗力,难以快速发现问题代码的具体位置,从而导致安全问题无法根查彻底。
合规检测平台可以帮助开发者自动化检测出App的敏感权限申请与使用的宏观状况,精准定位问题代码位置和问题场景,发现App是否满足个人信息安全规范的相关要求,帮助开发者在App上架前进行个人信息合规自测。
合规检测平台能够对个人信息传输进行流量监控,快速发现个人信息流向的传输风险,提供App 的多引擎病毒误报检测和强大的漏洞检测能力,帮助开发者进行App上架前安全检测。
2.2 企业合规管理应用场景
提升产品隐私安全、保障用户信息安全已经成为当今企业关注重点。App开发者可能缺乏对个人保护相关标准等规定的关注和认知、难以发现App 的隐私风险问题、自查检测的结果不够准确、难以发现嵌入App中的第三方SDK的安全及隐私风险问题、发现问题风险项后不会整改等,已经成为企业隐私安全治理面临的重要问题。
合规检测平台从敏感权限检测、动态场景检测,到企业App的隐私风险监控,一站式解决企业App 矩阵隐私风险治理问题,为企业的良好口碑和健康发展提供更好的保障。在这一场景下,平台具有如下优势:(1)检测标准化:检测标准对齐个人信息安全规范,包括隐私数据采集、权限使用场景、隐私政策合规检测等多维服务;(2)企业级治理平台:帮助企业高效监控和治理个人信息安全及合规风险。2.3 应用市场审核应用场景
目前应用市场上缺乏自动化的个人信息安全及合规检测工具,难以对隐私风险做集中监控与治理。合规检测平台可以为应用市场提供定制化的检测接口,与应用市场控制端形成无缝衔接,帮助应用市场在不破坏原有运营框架的情况下精准批量地对应用市场内发布的App进行个人信息安全及合规检测。在这一场景下,平台具有如下优势:(1)自动化检测:通过接口调用的方式自动化完成检测;(2)标准化检测:检测标准对齐个人信息安全规范;(3)批量解决:通过接口调用的方式满足高并发量的检测需求。2.4 合规检测平台的优势
(1)对齐国家标准
合规检测平台紧跟个人信息安全相关法律法规以及GB/T 35273-2017等国家/行业标准,并将其拆分成易于操作的检测项,包括个人信息的收集、个人信息的使用、个人信息的传输和存储、隐私政策等多重检测维度,对App收集使用个人信息的行为进行逐条对应分析。
(2)自动化深度检测
基于百度云手机集的AI全自动化隐私风险发现与检测能力,快速处理大批量App,替代人工翻查代码,降低时间与人力成本,显著提升检测效率。深度挖掘App个人信息安全及合规风险产生的源头,如App权限申请与使用、App中嵌入的第三方SDK 调用权限与收集个人信息的行为等,发现存在的收集使用个人信息方面的问题,生成可视化的个人信息安全及合规情况检测报告。
(3)长期技术积累
依托于百度公司对技术研发的持续投入,史宾格早在2018年就开始研发,并于2019年1月对外发布。以百度人工智能技术为支撑,覆盖产品设计、开发测试、上线前安全测试和上线后安全监控等各个阶段不同的个人信息合规需求。
3 合规检测平台开发与运行保障
3.1 组织保障 
为保证合规检测平台项目的顺利实施,设立了包括三个层次的项目组织结构。第一层次为项目领导小组,由核心人员担任,负责整体项目管理与关键岗位人员协调等。第二层次为项目执行组、专家组和协调组。其中,项目执行组由产品专家组成,协助领导小组执行管理、文档收集和任务分配等工作;项目
专家组由经验丰富的信息安全专家组成,协助项目执行组完成技术方案、测评报告模板和实施类文档的编写工作,在项目实施工作中提出指导性意见;项目协调组由负责项目管理的相关技术人员组成,负责产品开发工作的协调和协助工作。第
网络安全国家标准优秀实践案例专题Topic on Excellent Practice Cases of Cybersecurity National Standards
三层次为项目实施组,主要包括前端界面开发、系统平台开发、数据库开发、产品测试等。
3.2 制度保障 
制定合规检测平台项目工作方案、相关人员保密协议、产品安全开发规范、项目实施人员考核规范等相关管理制度,在项目开发的各个工作流程和环节中专门召开沟通会,为合规检测平台项目的开展提供了坚实的制度保障。
3.3 技术保障
为提高合规检测平台项目的整体水准,结合App个人信息保护方面的业务特点、信息化建设情况和特殊安全需求,先后参与了《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》《信息安全技术 移动互联网应用程序(App) SDK安全指南》《信息安全技术 移动互联网应用程序(App)收集个人信
息基本规范》《移动智能终端人工智能应用的个人信息保护技术要求及评估方法》《移动智能终端与应用软件用户个人信息保护实施指南》等一系列国家/行业标准的编制工作,为合规检测平台项目提供了基本的技术和理论参考。
合规检测平台项目还组织制定了项目技术方案、实施方案、实施人员工作手册、培训教材以及一系列的调研表、检测表和文档规范,研发了一系列的检测、扫描和测试工具,为合规检测平台项目提供了有力的技术支持。
3.4 实施过程
合规检测平台项目将个人信息合规风险评估和安全检查有机结合,一次操作完成静态代码检测、动态场景检测、个人信息合规检测、病毒漏洞检测等多项检测,是一个开创性的项目。因此,该项目从产品需求分析、产品设计、项目开发、上线测试等各个流程环节上进行了严格细致的调研、评审、检测、验证,并制定了详细完备的技术方案、检测表单、文档模板、项目管理规范等,并检验其可行性。在产品上线后不断总结用户反馈的各种问题,进一步优化合规检测平台的各项功能,保证App检测的标准化、精确性、高效化、专业化、安全性。
这种“试点先行、逐步迭代”的实施方法,既有利于项目的顺利启动,又保证了产品解决方案的科学性和合理性,为App个人信息安全及合规检测的准确奠定了坚实的基础,确保了合规检测平台产品能贯彻国
家/行业标准的相关要求。
4 合规检测平台的技术路线
4.1 工作思路
合规检测平台项目以App个人信息保护为主线,采用静态代码检测、动态场景检测、个人信息合规性检测和病毒漏洞检测等方式,对App进行全面的安全分析和检测,并辅助以人工验证检查和评估的分析方法,得到以下结果。
(1)以GB/T 35273-2017为主要依据,通过智能化的分析方法到App中个人信息安全及合规问题。
(2)通过平台自动化的检测和分析方法确定安全问题的风险等级,进一步确认哪些安全问题的风险是低危、哪些安全风险是高危。
(3)通过综合分析方法对安全检测的结果进行总结、提炼与升华,形成个人信息合规检测报告。 4.2 工作流程
合规检测平台项目总体流程包括三个阶段:前期调研阶段、项目开发阶段和测试运行阶段。
前期调研阶段,主要工作包括成立项目团队,调研目前App个人信息安全及合规问题现状,确认App个人信息合规检测的难点,梳理App个人信息合规检测的目标,编写工作方案、技术方案和项目开发等文档,准备项目开发的相应环境。
项目开发阶段,主要工作包括系统架构搭建、前端界面开发、检测平台开发、功能模块开发、服务接口开发、数据库开发等,同时进行单元模块测试、整体测试等,并输出相关开发文档总结。
测试运行阶段,主要对项目上线运行前进行系统化的综合测试,现场检测结果进行分析总结,对分析的结果进行综合判定,最后编制报告。
4.3 工作方法
实际开发和检测过程中采取自动检测、人工查验、交叉验证、文档审核和手工渗透测试等方式进行。
网络安全国家标准优秀实践案例专题
Topic on Excellent Practice Cases of Cybersecurity National Standards
4.4 参考标准条款
个人信息安全及隐私合规平台的功能设计和开发围绕着个人信息安全规范的要求展开。依据个人信息安全规范的授权同意(5.3)、隐私政策(5.6)等条款,开发了隐私政策检测功能;依据收集个人信息的合法性(5.1)、最小化要求(5.2)、收集个人敏感信息时的明示同意(5.5)、个人敏感信息传输和存储(6.3)等条款,开发了个人信息收集与使用检测功能;依据个人信息主体的权利(7.4-7.11)的条款,开发了用户权利保障检测功能。通过上述功能,个人信息安全及隐私合规平台实现了与个人信息安全规范相关规定的全面对齐。
5 合规检测平台的应用效果
为缓解App面临的合法合规收集使用个人信息的监管压力,合规检测平台以个人信息规范为指导开发App个人信息安全及合规检测服务,旨在识别App收集使用个人信息的行为是否满足该规范规定的收集个人时的合法性、最小必要、多项业务功能的自主选择、授权同意、个人信息保护政策、个人敏感信息传输和存储、用户权利等方面的要求,从而实现工具层面的标准应用与实践。
合规检测平台通过提供向开发者、应用分发平台、企业等用户提供服务以促使其发现自身App收集使用个人信息存在的问题,并予以改正,从而达到扩大实践该规范的效果。平台将继续秉承科技创新、不断开拓的宗旨,以用户需求为出发点,继续应用并实践个人信息安全规范,为用户提供独具特、稳定可靠的安全及合规检测服务。
合规检测平台针对应用商店等应用分发平台数据量大、隐私性强、用户量大、稳定性要求高等特点,制定移动应用安全解决方案,全方位地保证其隐私安全、应用安全、数据安全、网络安全。
6 标准实施建议
(1)加强对网络安全标准化工作的统筹规划和支持保障
个人信息安全是国家安全的重要组成部分,网络安全标准化工作是一项庞大的工程,需要在国家层面统筹规划和顶层设计,加强对网络安全标准的宣传和应用推广,并提供适当的政策支持和资金保障,使之真正成为国家信息安全保障能力和手段。
(2)进一步提高标准的体系化和适用性
个人信息安全规范是用于规范各类组织的个人信息处理活动,其规制主体并不限于App,因此其中一些条文规定对合规检测平台来说较难以应用和实施或对平台判定App是否违规收集个人信息具有较大的解释空间,从而对平台的检测准确性和标准化带来消极的影响。为进一步增强对企业、开发者和合规检测平台的指引,促进检测工作的规范性和一致性,建议在正在制定的国家标准《信息安全技术移动互联网应用程序(App)个人信息安全测评规范》中明确具体的测评方法。同时,在编制这一标准过程中,综合考虑《App违法违规收集使用个人信息行为认定方法》、《工业和信息化部关于开展APP侵害用户权益专
项整治工作的通知》、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》等监管文件要求,为企业和开发者测评App提供全方位的指引,也有助于提高检测平台的检测准确度,实现检测的标准化。
(3)鼓励对标准的科研转化,打造应用样本
标准的生命力很大程度上取决于实施环节的落实程度,因此应注重网络安全标准的应用。为扩大标准的应用面,应鼓励对标准的科研转化,打造应用样本,可基于更多的国家标准打造合规检测平台,利用推进检测评估的方式来辅助标准的广泛
实施。
参考文献
[1] 洪延青,钱秀槟,何延哲, 等. GB/T 35273-
2017 信息安全技术 个人信息安全规范 [S]. 北
京: 中国标准出版社, 2017.
个人敏感信息                                     (收稿日期:2021-01-10)