信息时代,数据成为重要生产要素、社会财富和战略资源。在新业务、新用途、新场景、新技术发展下,数据安全受价值驱动面临巨大的风险与挑战。
我国先后颁布并实施《网络安全法》《数据安全法》《个人信息保护法》,分别从数据载体、数据本体、个人权益三方面,构建了数据安全的顶层法规框架。
在风险与合规的共同驱动下,各行业的数据安全建设逐渐展开。梆梆安全基于移动应用安全领域多年的技术经验积累,充分参考国家各监管单位、行业部门发布的法律法规、标准规范,从静态和动态两个层面对移动应用程序进行深度分析,推出移动应用合规平台,筑牢个人信息保护的安全防护墙。从合规检测、权限检测、行为检测、成分检测、安全检测五个层面提供数据安全解决方案,并形成了监管、检测机构、企业自查三个具体落地场景。
五大层面,提供数据安全解决方案
01
制定检测规范和清单
落地数据合规必要保护措施
合规检测引擎内置《工业和信息化部关于开展纵深推进APP侵害⽤户权益专项整治行动的通知》工信部信管函[2020]164号文、《App违法违规收集使用个人信息行为认定⽅法》国信办秘字[2019]191号文等五套合规检测规范,依据检测规范,移动应用合规平台可进行自动化+人工辅助检测并输出检测结果。使用者在合规平台提交截图堆栈等证据信息后,平台进行审核确认,给出建设性整改建议并输出专业合规检测报告。
合规检查清单将监管要求细分为有限的可选项,极大降低审核技术门槛。自动化合规检测程序可捕获被测应用不同的控件所触发的个人信息采集行为,捕获系统敏感接口、通信接口等上下文数据,捕获隐私政策文本,并根据预设的合规检测策略,进行结果判定及数据上报,满足合规监管、企业自查自纠等应用合规检测场景。
02
梳理必要个人信息
落实信息权限获取的合法性
移动应用合规平台通过对应用进行自动化脱壳和反编译,识别 App 声明的权限,并通过知识库查询得出权限名称、权限含义、权限类型、保护级别、是否为敏感权限、是否为该 App 服务类型的不建议申请权限、是否为该 App 服务类型的最小必要权限等信息。
03
健全数据安全保障体系
评估信息获取行为的安全性
移动应用合规平台借助深度定制的检测沙箱识别应用行为,对应用进行启动行为检测、隐私行为检测,并可识别常见个人信息的明文传输、存储行为,识别检测传输、存储行为的安全性。主要覆盖启动行为检测、隐私行为检测、明文传输检测、明文存储检测。
04
通过成分分析覆盖 SDK
构建用户数据安全处理能力
移动应用合规平台通过成分分析技术,列出 App 中集成的 SDK,提供 SDK 名称、开发者、类别、描述、来源、包名等信息。目前梆梆安全 SDK 库中 SDK 数量已超 7000+,处于业内领先水平,并保持不断更新,来保证对 SDK 的全面覆盖、精准识别。SDK 内部分类36种,生成结果时进行映射,最终呈现至前端页面中。
05
准确定位问题根源
护航被测应用/系统的数据安全防护能力
移动应用合规平台的安全检测引擎可全面评估被测应用的安全情况,准确定位问题根源,并呈现详细的问题描述,提供解决方案。合规平台具备 Android 与 iOS 安全检测能力,检测项目支持用户自由选择。
三大场景,落地数据安全应用方案
1 监管检查场景
梆梆安全移动应用合规平台支持《工业和信息化部关于开展纵深推进APP侵害⽤户权益专项整治行动的通知》工信部信管函[2020]164号文、《App违法违规收集使用个人信息行为认定⽅法》国信办秘字[2019]191号文自动化合规检测,在监管检查场景中可充分发挥合规平台优势,帮助客户快速检测应用不合规行为,有效支撑监管批量应用自动合规检测工作,推动移动互联网产业全面提升个人信息保护水平。
2 检测机构场景
梆梆安全移动应用合规平台辅助检测人员进行自动化/人工合规检测,在应用动态检测过程中,可实时显示其发生的敏感行为,检测人员可在线编辑检测报告,利用合规检测平台进行 APP 合规检测任务,帮助提升其检测效率。
3 企业自查场景
梆梆安全移动应用合规平台+APP 合规评估赋能服务,对使用人员提供 APP 隐私合规技能培训,使企业具备 APP 隐私合规相关的基础知识及评估能力。企业基于移动应用合规平台进行全面自测可前置安全问题。
数字时代,走向智能,也要走向安全。梆梆安全移动应用合规平台基于《数据安全法》和《个人信息保护法》等法律法规的要求和实际的数据安全风险场景,通过人工智能和机器学习等先进技术,推动数据良性使用,保证数据使用更加合规和安全,让大数据更好赋能数字经济高质量发展,为现代化网络强国、数字中国建设做出贡献。