2018年9月27日，由国家发展与改革委员会高技术产业司指导、国家信息中心国信卫士网络空间安全研究院主办，爱加密协办的“第六期网络安全创新发展高端论坛”在北京举办，本次论坛邀请了多位院士、专家、学者等业界权威共话移动应用安全。与会嘉宾从移动互联密码、移动应用数据安全、移动互联网应用安全挑战和对策、移动应用环境安全、移动APP与用户隐私保护等多个维度展开深度交流。

第六期网络安全创新发展高端论坛

纵观近年来应用保护市场的发展，从最初的应用加固、到源码混淆、白盒密钥、文件加固、SDK加固、应用沙箱，再到安全软键盘、多态、清场SDK等安全组件，应用保护技术和理论研究从未停止过。技术的发展使得有意识且需要采用应用保护的企业有了更多的选择，越来越多的组织开始采用组合式的应用保护以避免开发的应用遭遇黑客攻击，如何构建更为有效的移动应用防护体系，对移动应用进行更好的的安全保护呢？本次论坛协办方爱加密CTO程智力给出了具体建议。

程智力表示，目前所有的企业都在向数字化、移动信息化发展，在这个过程中企业面临的除了内部风险外还有很多的外部风险，当移动应用发布后，它的环境是不可信的、设备是不可信的、人员也是不可信的，基本上我们看到的风险都是在不可信的环境下产生的，所以要打造一个动态的移动安全防御体系。在这个防御体系下，企业所有的动作或防护都是以数据为驱动的，通过收集移动应用在互联网上所面临的威胁以及潜在风险并进行分析，以感知响应为核心，实现动态防御。

爱加密CTO程智力

建立动态防御体系，需要企业侧安全数据、用户侧安全数据和互联网侧安全数据全范围的数据支撑。程智力介绍，企业侧安全数据，指企业内部APP业务正常运行的备案数据、安全数据，威胁数据等信息，通过事前检测、事中加固、事后感知进行动态防御；用户侧安全数据，指客户端运行的APP提供的日志、恶意行为等信息，包括采集到的安全运行环境信息。通过探针准确识别终端威胁和业务异常行为，快速响应与终端动态防御，降低威胁发现和响应时间，还可实现安全事件日志审计与溯源取证；互联网侧安全数据，指第三方市场或政务网站等提供的可采集数据，以及从合作伙伴处获取的相关数据。通过对渠道、地区和行业进行多维统计和态势预测，适时提出安全告警。

对于移动应用市场安全，国家网信办、工信部等多部门曾出台相关政策规范行业监管。其中2018年6月份发布的《网络安全等级保护条例（征求意见稿）》也曾对移动应用的事前、事中、事后进行了明确要求。《条例》上线检测（第二十二条）针对“事前”检测要求新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范，对网络的安全性进行测试；《条例》安全监督管理（第四十九条）对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务，实行重点监督管理。《条例》（第二十条）【一般安全保护义务】（五）落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施，并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志。由此可见，建立事前检测、事中加固、事后感知的动态防御体系更符合国家监管部门要求。

网络安全风险很难完全根除，程智力建议企业还需关注并对移动应用内容进行违规检测。

广告检测：应用程序中出现包含宣传、推广为目的给第三方导流的内容要被检测识别。

违禁检测：应用程序中出现包含国家法律法规限制的物品信息要被检测识别。

智能鉴黄：应用程序中出现含有色情内容的文字、图片将要被检测识别。

涉政检测：应用程序中出现包含法律法规相违背的涉政敏感等不良信息，涉及宗教、文化或种族群体的引用或评论包含诽谤性、攻击性或狭隘内容的文字、图片要被检测识别。

Gartner今年发布的《应用保护市场指南》中提到，到2021年，一半以上的企业将通过单通道或多通道应用保护平台进行应用保护。然而，目前很多安全产品还无法有效整合，企业安全思维仍然停留在“事件响应”阶段，随着动态防御体系的提出和建立，企业思维也将从“响应”向“防御”思维转变。