6月15日晚，由上海市互联网协会、ASIFI作为指导单位，上海互联网应急中心、梆梆安全等安全企业共同协办的“安全合规管控与应急响应建设论坛”顺利举办。梆梆安全技术专家董振兴受邀针对移动安全与合规案例内容进行分享。

随着《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规的颁布，加强电信和互联网行业网络安全防护管理工作成为三网融合进程的重中之重。企业在加强合规建设的同时，也要做好全面防护工作，提高应急响应效率，缩小受影响范围。

论坛由上海市互联网协会副秘书长姜国致开场辞，他强调没有绝对的网络安全，企业在加强合规建设的同时，也要全面做好被入侵的准备。随后上海市互联网金融行业协会副秘书长、上海大学上海科技金融研究所副所长孟添在致辞中提出，完善的数据合规应急响应预案与充分的应急响应演练，对保障公司数据资产安全和用户合法权益具有明显作用。

本次论坛邀请上海互联网应急中心、梆梆安全与青藤云安全的三位专家以不同视角从企业安全合规与应急响应两大方面进行分享演讲，以期共同推进互联网安全建设的发展，构建良好的通信安全环境。 目前网络安全形势复杂多变，大规模、针对性的攻击行为持续增长，先进的攻击手法不断增加，威胁不断演进，这也考验着企业的网络安全防护能力。同时，安全监管力度不断加强，要求企业制定有效的响应预案机制。随着全球数字化转型的进程，安全与合规已成为当今企业稳步发展的两大基石。梆梆安全本次分享挑选了企业在日常开发和管理过程中，经常遇到且容易忽视的几个典型安全与合规案例同大家一起探讨。

董振兴在分享中通过“拒绝服务攻击”和“任意下载漏洞”这两个APP安全典型案例，指出一些APP厂商因为安全意识不足或编码不规范导致安全问题，造成用户及企业的巨大损失。基于此，他建议APP需要进行安全加固等开发层面防护，并提出企业应定期开展APP代码安全审查、可通过自动化检测工具融入到企业CI系统中，持续安全检测等安全管理。

面对移动应用合规问题日益突出且不断变化的情况，2022年4月，国家市场监督管理局和国家标准化管理委员会联合发布《GB/T 41391 信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》。GB/T 41391 是在 GB/T 35273 的基础上做了若干扩展并明确了APP收集个人信息过程中“必要个人信息”、“相关但非必要”以及“无关个人信息”等概念。该新规目前已经正式发布，处于即将生效状态。

董振兴也特别在分享中举例分析了APP 厂商在实际运行中的“最小必要原则”与“违规收集个人信息”的认定标准与对应的解决方案。梆梆安全建议企业在日常运营中，技术合规侧应注重权限获取最小化、定期开展APP代码规范化审查等方面，按时开展合规意识培训及APP个人隐私合规评审。

论坛中，上海互联网应急中心专家殷迅通过《定级备案相关工作介绍》的讲解，将工信部的定级备案、符合性评测、风险评估等相关合规工作进行全面细致的梳理与介绍。青藤云安全高级技术总监王洪中在《新风险下企业如何提升应急响应效率》的演讲中，以企业应急响应的现状与问题切入，针对很多企业安全体系薄弱的现实状况，分享了企业在日常运营过程中如何提升应急响应效率及应该在哪些方面加大投入。

移动互联网应用程序出现在人们衣、食、住、行的各个场景，生活与移动互联网已经变得形影不离。但是，当前开放生态下的APP面临着恶意程序、安全漏洞和侵害用户权益等复杂的风险，APP开发者、移动应用分发平台和移动智能终端厂商进行着复杂的交互。

APP全生命周期安全管控的广度上，梆梆安全的产品与服务已经横向覆盖了APP合规检测、APP威胁检测、应急处置、安全开发、API安全检测、风险评估、数据合规治理等领域，能够有效解决用户从APP开发到运营的全生命周期安全需求。

未来，梆梆安全始终坚守“全球软件安全领跑者”的愿景，以高度的责任感和使命感，扎实开展网络空间安全防护工作，与业内同仁一道紧跟国家战略，不断提升对各行各业的业务合规及数据安全的保障能力，通过专业的安全产品和服务，为政府、企业、开发者和消费者打造安全、稳固、可信的网络空间生态环境。