2010年起,工业和信息化部软件服务业司等主管部门针对我国移动应用软件市场面临的安全和质量问题,结合移动互联网软件产业“软件数量多、企业规模小、发布渠道广、版本更新快”等特点,积极探索行业管理的创新机制。
为贯彻落实工信部确立的“服务、引导、监管、政策”的递进管理方针,充分发挥第三方评测机构和社会的监督服务作用,中国软件评测中心以“智能移动终端软件公共服务平台”、“面向移动终端的嵌入式软件测试支撑平台”等为基础,针对移动应用质量参差不齐、破解篡改现象普遍、分销渠道混乱等核心问题,建立了中国移动互联网应用软件检测平台(利猫网,www.licat.com),并在工业和信息化部的指导下,以中国移动互联网应用软件检测平台为依托承建了“国家智能终端软件产品质量监督检验中心”,该质检中心已获得国家认监委的正式批复,并于2014年9月30日完成建设并获得正式授权,即该质检中心为中国软件评测中心在智能终端领域的一项专业资质。
中国移动互联网应用软件检测平台核心部分采用自主研发的“云”+“端”测试、二进制代码“动态”+“静态”分析、防逆向保护等技术,是国内第一个覆盖移动应用软件全生命周期、具有分布式并发访问和自动化在线测试能力的综合性服务平台。
该平台依托在国内外分布式部署的33个爬虫集群,对国内外近400个主流下载渠道进行全天候监控,包括安卓网、百度网和91助手等国内下载渠道,以及GooglePlay、Opera和MobyWare等国外下载渠道;目前该平台的监控下载链接总数超过3000万个,监控移动应用总数超过800万个,日均新增移动应用3万个左右。
国家智能终端软件产品质量监督检验中心现已开始面向工业和信息化部、福利彩票管理中心、体育彩票管理中心等行业主管部门提供技术和信息支撑服务,面向银行、证券、基金等重点行业客户以及移动应用开发商、渠道商等企业客户提供全生命周期的安全保障服务。该质检中心的授权资质证书如下所示:
对应用进行从逻辑功能到业务系统的综合性分析,深入发掘安全隐患,提供修复建议。安全评估由专家级团队实施渗透性测试与评估,能够针对不同行业的安全需求提供定制化服务。
安全测评的具体测试内容如下所示:
实时监测应用在各大下载渠道的分布情况,动态展示发布来源、发布时间、篡改比例、篡改版本、下载量等统计特征。目前已覆盖400个左右主流在线渠道,包括应用商店、下载站、论坛等。渠道监测采用分布式爬虫与数据挖掘技术实现。分布式爬虫子系统在全球部署了大量下载节点,实时抓取在线渠道的所有应用信息,随时跟踪发布动态。数据挖掘子系统迭代式分析已获取的所有样本,根据统计数据及分析结果生成监测报告。
监测的渠道列表见附表1。
针对目前移动应用普遍存在的破解、篡改、盗版、钓鱼欺诈、内存调试、数据窃取等各类安全风险,为移动应用提供全面的移动应用加固加密技术和攻击防范服务。
中国软件评测中心充分发挥第三方专业机构的作用和职能,经国家认证认可监督委员会批准,面向社会开展智能终端软件认证服务,认证服务由评测中心的认证业务企业化平台北京赛迪认证中心有限公司运营,受理认证及颁发证书的资质均有该公司承担。
智能终端软件认证是针对运行于智能终端设备(如智能手机、智能平板电脑等)之上的应用软件所开展的技术要求符合性的等级认证,认证内容包括应用软件的功能性、安全性、易用性、可靠性、兼容性和服务能力等六个方面。认证所依据的技术要求包括基本要求、增强要求和扩展要求,相应的认证结果也分为一级、二级、三级。基本要求主要表明应用软件是智能终端软件,可安装卸载、功能正常运行,不含病毒木马,内容合规;增强要求主要表明应用软件具备基本的安全防护能力,可兼容主流智能终端设备,程序运行稳定,具有一定的容错和失效检测机制;扩展要求主要表明应用软件具备较强的安全防护能力,能够抵御典型攻击,具备清场等能力,能够检测所运行的操作系统的环境安全,关键数据脱离软件后不能被第三方软件使用。
智能终端软件认证由委托方提交认证申请材料,认证单位受理后进行文档审核,被认证的软件送认证单位的签约实验室检测,认证单位结合文档审核结果和软件检测报告做出认证决定并颁发证书;认证委托方获得证书后,需按时接受监督以保持证书有效。流程图如下所示:
证书示例如下所示:
