中国IDC圈2016年9月5日报道，9月1日由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在9月2日上午的集体大会上，云安全联盟CSA亚太区执行副总裁张润才（Aloysius Cheang）发表了题为“移动应用安全检测”的演讲。

云安全联盟CSA亚太区执行副总裁 张润才

以下是演讲全文：

尊敬的领导，先生们、女士们，上午好！很荣幸能在这个讲台与大家分享一下我们云安全联盟近年来开发的一些针对移动方面安全的新的工作项目。

我们越来越强调信息安全，很多企业的CEO甚至中国国家主席习近平先生都表示安全是非常重要的。为什么我们CSA聚焦在移动安全方面做了这么多努力，通过近一年的努力，开发出现有的结果，后续的发展目标。今天我将跟大家分享一下我们在这些方面的一些思路。

近一年前我与大家分享了我们CSA的五大趋势，其中五大趋势之一我们之前已经谈到了移动安全是非常重要的一环。什么是移动安全，移动安全是指用于移动设备，如智能手机和平板电脑上运行的移动应用的全面安全解决方案，目的是为了保护存储在这些设备中的个人及企业数据。我们一直在谈云，云服务的实践离不开移动设备，因为越来越多云服务如果受到普及化，主要还是依靠移动手机。在我们亚太区尤其盛行以移动手机来提取服务，尤其是在那些发展中国家，可能每个人手上都有一两个手机，但是在家里一台电脑都没有，如果一台电脑都没有的话就不能上网，甚至没办法使用政府提供的一些网上的服务。非常普及化的应用就是用来做银行的一些服务。这里为什么CSA这么重视移动，除了政府方面的连接、在移动上的服务之外，在这几年来大家也可以看到，在金融界已经在紧锣密鼓的进行一项革命，这项革命在全球命名为金融科技。我昨晚刚刚从上海过来，我们昨天举行了一个CSA金融云研讨会，研讨会上除了有国内的平安之外，其他的讲师都是来自全球的，有瑞士银行、台湾富邦，也有代表泰国的还有东盟的一家有信用的银行。最重要的我还把新加坡金融管理局的负责开发云端安全指南的负责人也邀过去。金融界在云服务上也开始了革命性的探索。金融科技成功与否取决于我们在移动上的策略能不能贯彻始终。我们CSA意识到移动安全的重要性，一年前就已经展开一些工作，针对移动安全。尤其是在移动程序上的认证正在紧锣密鼓地开发相对的认证框架。

移动应用程序安全领域有诸多挑战，主要分成四大项，移动计算和应用程序安全的问题，第三方应用程序安全问题，移动应用程序开发管理问题，以及移动应用程序安全检测问题。移动应用程序安全管理就是一个安全管理生命周期，这是我们CSA在6月发布的一个移动安全检测的白皮书里提取出来的一个资料。这个移动安全白皮书现在已经可以在我们的网页上免费下载，今天我的讲话是总结这个白皮书里面比较重要的一些内容。移动应用程序安全管理必须分明列入各大步骤，尤其从开发到测试，当中的安全控制我们必须注意，比如移动应用程序安全检测和测试，我们主要分成两种不同的安全检测种类，第一是安全检测是不含源码的，另外一个是含源码的，取决于企业的应有还是在应用商店上的应用。如果是一个企业想要引进一个新的应用程序，通常他可以要求厂家做一个含源码的测试。但是在很多时候当你上一个应用商店，你提交你的程序上到应用商店，你是不提交源码的。在这个情况下我们要怎么样做一个有效的测试以及认证，这是一门学问。移动应用程序安全的要求，包括验证的方法，诸多内容的分类以及评级还有步骤和流程，在这个图上可以看到我们主要比较关注的一些安全控制，包括隐私保密、安全源码、信息保密等安全控制。主要跟大家分享一下我们的检验方法，分成三个步骤，A、B、C。如果您的应用程序直接到达A级，不是代表你拿到很高分，其实这是代表你的应用程序已经有诸多安全漏洞，必须马上把它遗弃。B是代表如果在检测当中发现一些小问题还可以更改的话，更改后还是可以上到应用商店，B还需要你更改后再经过多一轮的验证才能使用。C是直接能使用了，但是有一些小问题还是需要关注的。A、B、C在整个验证框架当中，看到我们右手边的图纸，其实还有分得更细的小细节，这个小细节在我们的白皮书里有比较细的分享。我刚才说A就是直接给遗弃，其实它还有一点，它会进入黑名单，我们会把它分布到全球的应用商店，让大家知道这个测试结果。我们这里想要做的不只是单一的一个区域或者公司的验证，而是想要把它布局全球。我们CSA有一个黑名单册，里面是全部应用达到A级标准的，没办法通过认证，他们将会进入这个黑名单。刚才说到B你要重新更改，再走流程，C直接就能用，但是有一些小问题还需要关注。

CSA与移动应用程序安全白皮书有20项针对8大类的应用程序安全的控制，就不一一列出了。这个测试后得到的总积分就是用来做刚才的验证的流程。这个工作我们还没有完成，这里我们还有一些遗憾，没有明确框架核实移动应用程序安全性。我们在接下来会有四项工作必须完成，第一是用CSA MAST白皮书里面的控制制定一个认证管家。这也是我们CSA首次涉及到认证是针对产品级别的，之前我们CSA大的认证是针对整个管理系统，非常流程化。我们在这里，后续的策略以移动安全检测作为开端，我们将会针对产品做产品验证。除了移动，后面还有针对物联网IoT以及机房里面的一切器件的认证。我们CSA相对有两个工作即将完成，第一个是IoT安全的工作，还有另外一个是云端技术中心安全的工作小组。这个云端技术中心安全的工作小组现阶段已经接近尾声，是由我们CSA日本分会和日本的国家数据中心联盟，再加上新加坡的数据中心的会员联合领导的一个工作。IoT是我们诸多公司在美国，比如说谷歌、微软、英特尔这些公司，现在在紧锣密鼓做IoT方面的安全框架开发以及后续将会进行认证框架的开发。

说回应用，之前我们说我们有几项工作做得不足，除了认证框架之外，还有应用商店安全的要求。在国内最少有一百多家公共的应用商店。公司里面的应用商店不胜枚举，如果再加上公司，没有上万家也有上千家。这些应用商店都必须要有一定的安全监管的模式，这里也是我们后面会快占的一些业务。开发移动事件紧急响应流程，再加上电子鉴定的标准，都是我们后面会开发的一些工作。尤其是这两项，我们初步已经跟我们一些企业会员，比如普华永道，在这方面的工作已经展开一些策略上的定位。最后一个是我们要研究移动设备系统安全启动过程，还有一项没有在这里提，保密工作，我们也会在这方面下一些工夫。我们一个月前已经发布了一个白皮书，我在这方面还会更加努力。

报告就到这里，谢谢大家。