从《网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》、《党委（党组）网络安全工作责任制实施办法》到将于2021年9月１日起施行的《中华人民共和国数据安全法》再到2021年８月下旬刚刚表决通过的《个人信息保护法》，不难看出网络安全建设在顶层设计层面越趋完善。

移动互联网时代，移动互联网应用程序（以下简称“APP”）成为网络世界大舞台的中心，截至2020年12月，我国网民规模为9.89亿，其中手机网民规模为9.２亿，网民中使用手机上网的比例为99.7%，APP是移动互联网的重要入口，几乎所有民众的生活、工作都与APP息息相关。因此，移动互联网生态安全、APP安全应当是网络安全主战场之一。

（一）移动互联网生态安全“守门人”是谁？

控制移动互联网生态关键环节的人是“守门人”。

APP无法独立于技术环境和运营环境而单独存在，因此这两个环境决定、制约了APP接入互联网和手机处理个人信息的能力。

1.技术环境

APP需要运行在智能终端设备上，操作系统自然是约束APP的底层技术环境。目前，移动智能终端搭载的操作系统以Android和iOS为主，我们以Android操作系统为例，探究操作系统在技术环境方面对APP的制约。

在Android系统的设计理念中，每个APP实际都可以理解为Android操作系统的不同用户：默认情况下，Android系统会为每个应用分配一个唯一的Linux用户ID；同时，APP运行在独立的安全沙盒内，Android系统对其中所有文件设置权限，只有对应用户ID的APP才可访问。简言之，APP作为Android操作系统的用户，使用操作系统提供的各种资源，才能正常运作；此外，Android系统还能够实现对APP所使用系统权限的控制。因此，APP为了业务功能的需要，需要向Android系统申请系统权限，在操作系统的设计框架下，APP需要调用移动终端及操作系统所定义和提供的各种系统权限，才能获取运行所需的特定技术资源。

2.运营环境

基于设计理念和安全考虑，不论是Android系统还是iOS系统均不倡导用户直接从APP官方网页下载APP，而是推荐用户从应用商店下载APP， iOS更是仅允许通过苹果官方应用商店AppStore下载安装。由此，应用商店所提供的应用分发服务是APP运营环境的关键节点。主流应用商店有三个类型：一是系统运营商的应用商店，如iOS用户端的App Store和Android用户端的Google Play；二是手机厂商的应用商店，如小米、华为、OPPO、VIVO等应用商店；三是第三方应用商店，如360、应用宝、豌豆荚等。可以看出，如果不通过应用软件分发服务，APP很难触达大量用户并被下载。

综上所述，技术环境和运营环境是APP运行的关键环节，在移动互联网生态中，控制了技术环境和运营环境的人就是“守门人”，其对APP安全的技术设置和具体行为控制具有决定性作用。

（二）移动互联网生态安全“守门人”有哪些？

移动互联网生态安全“守门人”是控制移动互联网生态关键环节（技术环境和运营环境）、有资源、有技术或有能力保护APP安全的互联网运营者。结合当下移动互联网生态的现实环境来看，“守门人”主要包括以下三类：一是应用程序分发平台，为海量用户提供应用分发服务；二是移动终端操作系统，制约APP可调用的系统权限；三是APP运营者， APP运营者本身在技术资源、运营环境和业务场景等方面决定了APP的形态。

（三）移动互联网生态安全“守门人”应该怎么守？

通付盾作为新一代数字化技术服务商，始终致力于构筑安全可信的数字化产品与服务。下文结合通付盾在做好移动互联网生态安全“守门人”过程中，支撑APP运营者对其APP安全加固和合规检测方面的案例经验讨论：

移动应用安全一直是一个需要被重视的问题，APP被破解、被二次打包、业务被入侵、终端用户被侵犯、APP被通报整改等等这些安全问题直接危害APP运营者和用户的利益。因此，APP运营者自身必须加强APP安全加固保护和合规检测。

（1）APP安全加固保护技术发展趋势

2012年，安全厂商开始推出安卓加固服务；2014年，防调试、验签名等安全措施开始出现、动态加载机制得到广泛使用、各种dump整体加密的工具发挥作用；2015年，出现了指令抽取方案、二代指令抽取方案等；2018年，VMP保护方案被应用在Android上；到2021年，行业技术达到了一定高度，能够满足APP保护需要，各大移动应用安全厂商的安全加固保护技术也基本相似。 因此，APP运营者可以放心选择移动安全厂商的加固产品为自身的APP安全保护做技术支撑。

（通付盾Android应用保护方案）

（通付盾iOS应用保护方案）

（2）APP安全合规检测的要点

２０１９年中央网信办等四部门联合成立的App违法工作组牵头的APP专项整治工作在全国范围开展以来，问题应用被曝光要求整改的通报时常出现，如何保证APP合法合规，不成为负面典型。APP运营者需要提前做好、做实APP安全检测和合规检测。检测要点应当围绕：APP／SDK安全漏洞检测、恶意行为检测、内容安全检测、权限信息检测；APP个人信息隐私保护全局权限调用检测、应用启动权限检测、运行过程权限检测、静默运行权限检测。具体包括：信息收集检测，APP获取系统权限静态检测、APP获取信息行为动态检测、APP收集的个人信息内容检测、APP个人信息收集频率检测；信息保存传输，APK中SDK使用情况检测；APP收集信息在本地存储时是否采取必要的加密措施检测；APP收集的数据在传送过程中是否采取加密传输检测。

（通付盾应用动态检测分析方案）

在移动互联网生态中，通付盾将依靠移动安全技术、移动安全产品和服务积极持续地做好具有影响力的APP安全“守门人”， 为每一个APP提供适合自身的安全策略，与APP运营者共同守护移动互联网生态安全，为用户营造一个纯净、清朗的移动互联网生态环境。

现邀您体验（增强级）APP加固、检测服务，免费试用，数量有限！

领用请戳：https://cloud.tongfudun.com/#/user/E-mail