Keamanan privasi pribadi telah menjadi salah satu topik terpenting di era ini. Saat ini, kita hidup dalam masyarakat digital, dan Internet telah menjadi suatu keharusan untuk hidup dan bekerja. Jika smartphone adalah "jalan besar" bagi kita untuk menjelajahi Internet, maka aplikasi adalah mobil yang berjalan di "jalan" ini. namun, Dengan pesatnya perkembangan aplikasi, "jalan" ini penuh dengan bahaya dan bahaya. Sebagai pengemudi, kita dapat "berguling" kapan saja, mulai dari "berjalannya otot dan tulang" hingga "menabrak dan membunuh mobil". .
Dalam beberapa tahun terakhir, pelanggaran aplikasi terhadap privasi dan keamanan pribadi telah meningkat. Hal ini tak hanya menuai ketidakpuasan dan keluhan dari mayoritas warganet, tapi juga menarik perhatian badan pengatur pemerintah. Tak pelak lagi, hal ini menjadi masalah sosial yang harus segera diselesaikan.
Masa keemasan aplikasi
Ada kalimat dalam novel Dickens "A Tale of Two Cities": Ini era terbaik dan era terburuk.
Untuk Aplikasi, tidak diragukan lagi ini adalah zaman keemasan. Dengan perkembangan Internet seluler dan popularitas ponsel pintar yang berkelanjutan, aplikasi telah banyak digunakan. Menurut statistik dari Kementerian Perindustrian dan Teknologi Informasi, Pada 2018, jumlah total aplikasi yang dipantau di pasar Tiongkok mencapai 4,49 juta, dan jumlah kumulatif distribusi app store pihak ketiga melebihi 1,8 triliun kali. .
Menurut Cheng Zhili, wakil presiden Teknologi Enkripsi Ai dan Dekan Institut Penelitian, perkembangan Aplikasi yang pesat tidak dapat dipisahkan dari tiga faktor.
Faktor pertama adalah Didorong oleh teknologi . Dalam beberapa tahun terakhir, dengan perkembangan big data, komputasi awan, Internet seluler, dan teknologi kecerdasan buatan, perusahaan dapat mewujudkan semua bisnis melalui cloud, mengurangi biaya, dan menyediakan lebih banyak model layanan.
Faktor kedua adalah Perkembangan teknologi 5G yang gencar . "5G membuka saluran terakhir dari cloud ke pengguna dan konsumen individu, memungkinkan kami menggunakan komputasi cloud, data besar, dan teknologi kecerdasan buatan di mana saja." Selain itu, memungkinkan Internet of Things dan Industrial Internet untuk mencapai perkembangan substansial dalam arti yang sebenarnya. Dengan cara ini, teknologi telah mencapai titik kritis.
Cheng Zhili berkata, "Dengan perkembangan teknologi ini, pasti akan mendorong kemajuan industri yang berkelanjutan."
Ambil contoh industri keuangan. Dahulu, kecuali bank-bank BUMN dan bank-bank saham gabungan, bisnis banyak bank umum kota dibagi menurut wilayah. Misalnya, sebuah bank di kota A memiliki area radiasi A, dan bisnisnya relatif tetap. Dan, "langit-langitnya jelas, stoknya adalah jumlah orang di kota A". Dengan perkembangan teknologi seperti big data, cloud computing, dan kecerdasan buatan, bisnisnya mengalami perubahan mendasar. Dengan teknologi dan aplikasi ini, ini dapat mendobrak batasan yang ada dan menyediakan layanan untuk semua pengguna C-end di Internet.
"Ini telah membawa dua perubahan. Pertama, ia mematahkan plafonnya sendiri dan dapat memberikan semua layanan kepada semua pelanggan Internet. Sejalan dengan itu, bisnisnya pasti mengalami ledakan yang lebih tinggi. Pada saat yang sama, saya merusak bisnis saya sendiri. Parit China akan menghadapi persaingan dari beberapa bank lain. Ini memaksa bisnis saya bertransformasi untuk meningkatkan daya saing dan kekakuan pengguna, kata Cheng Zhili.
Faktor ketiga adalah Transformasi masyarakat digital . Karena perkembangan teknologi, beberapa aktivitas dalam realita secara bertahap beralih ke digital, seperti interaksi sosial dan hiburan. Dalam proses ini, untuk sebagian besar pengguna, Aplikasi adalah pintu masuk dan platform terpenting. "Beberapa bisnis dan layanan di semua industri dan dukungan terkait untuk digitalisasi disajikan secara terpusat melalui Aplikasi sebagai platform." Baik itu industri tradisional atau industri baru, perkembangannya tidak dapat dipisahkan dari platform dan peran masuk Aplikasi.
"Sword of Damocles" tergantung di aplikasi
Sebagaimana kendaraan yang bergerak cepat dapat dengan mudah lepas kendali, aplikasi yang berkembang cepat kehilangan kendali atas privasi pribadi, "dengan mata tertutup" .
Mengapa Aplikasi melanggar privasi pribadi, Cheng Zhili percaya, Dengan perkembangan Internet seluler, Aplikasi muncul untuk membantu perusahaan meningkatkan penjualan dan memperluas bisnis mereka. Bagi perusahaan, nilai intinya adalah mencari keuntungan. Ini adalah cara termudah dan paling langsung untuk mengumpulkan informasi privasi pengguna.
Tanpa kendala, prioritas saya adalah mengumpulkan data sebanyak-banyaknya. Kalau tidak dikumpulkan, orang lain akan mengumpulkannya. Setelah mendapatkan datanya, banyak hal yang bisa dilakukan, seperti membuat potret pengguna atau menjualnya kembali. Dapatkan untung, "katanya.
Faktanya, Melalui profil pengguna Internet, dapat memaksimalkan nilai yang terkait dengan pemerasan informasi pribadi , Termasuk periklanan yang tepat, dan bahkan secara halus memengaruhi kebiasaan pengguna.
Alasan lainnya adalah pada tahap awal, pengawasan masih lambat, dan tidak ada undang-undang, peraturan, dan kebijakan yang sesuai untuk membatasi perilaku ini. . Sebelum munculnya "Undang-undang Keamanan Jaringan", undang-undang dan peraturan memberlakukan sedikit pembatasan pada pengumpulan informasi pribadi oleh aplikasi, sehingga pemilik dan operator aplikasi dapat "dengan berani" melakukan apa saja.
Faktanya, masalah privasi jauh dari sederhana, ini juga terkait erat dengan keamanan. Saat aplikasi pertama kali dikembangkan, hal itu terutama untuk memenuhi persyaratan bisnis, dan sedikit perhatian diberikan pada masalah keamanan di awal.
Cheng Zhili menjelaskan bahwa masalah yang dihadapi oleh aplikasi yang berjalan di sisi pengguna adalah lingkungan yang tidak tepercaya, perangkat keras yang tidak tepercaya, dan orang yang tidak tepercaya. "Semuanya tidak dapat dipercaya. Jika Aplikasi tidak dilindungi, masalah cenderung terjadi. Misalnya, pesan teks Anda dicegat, dan peretas mendapatkan informasi akun melalui tangkapan layar dan mentransfer dana ke akun Anda."
Selain itu, kebocoran informasi pribadi akan mengakibatkan penjualan informasi pribadi. Dia berkata," Ketika data ini diperoleh oleh beberapa perusahaan big data, mereka akan dijual kembali ke perusahaan P2P atau perusahaan pinjaman tersebut, yang mengakibatkan banyak masalah jaminan sosial. . Misalnya, XX mendapat antarmuka kueri publik nasional, seperti jaminan sosial, dan setelah mendapat izin, ia menyimpan semua data secara lokal. Selanjutnya, ia menjual informasi ini ke banyak bisnis sekunder, yang menyebabkan banyak masalah.
Munculnya insiden kebocoran informasi ini tidak hanya akan membawa masalah jaminan sosial dan maraknya produk ilegal, tetapi juga membawa serangkaian risiko keamanan bagi negara, masyarakat dan perusahaan, kata Cheng Zhili.
Dari mana datangnya masalah keamanan dan privasi aplikasi?
Masalah keamanan dan privasi berjalan melalui setiap tautan dari seluruh proses Aplikasi. Ada empat tautan dari pengembangan Aplikasi ke unduhan dan penggunaan pengguna.
Tautan pertama adalah proses pengembangan aplikasi . Untuk pengembangan Aplikasi, perusahaan umumnya memiliki dua pilihan: satu outsourcing, dan yang lainnya adalah pengembangan diri. Dalam pandangan Cheng Zhili, Selama proses pengembangan, masalah utamanya adalah bahwa para pengembang bukanlah personel keamanan . Tujuan inti dari pengembangan Aplikasi adalah untuk memenuhi kebutuhan bisnis. Ini hanya mempertimbangkan bagaimana mengimplementasikan fungsi bisnis dan tidak berorientasi pada keamanan. Oleh karena itu, Aplikasi yang dikembangkan mungkin memiliki banyak masalah.
Tautan kedua adalah QA (Pemeriksaan Kualitas) akan dilakukan setelah pengembangan Aplikasi selesai . Namun, pemeriksaan kualitas berfokus pada pemeriksaan tingkat kepuasan fungsi bisnis Aplikasi, dan pemeriksaan keamanan tidak terlalu banyak.
Setelah pengembangan aplikasi selesai, harus ada pemeriksaan risiko. Jika ada risiko keamanan, maka perlu dideteksi dan diperbaiki. "Setelah perbaikan selesai, awalnya kami yakin bahwa Aplikasi tersebut memenuhi strategi keamanan perusahaan dan akan dirilis melalui pasar aplikasi utama."
Tautan ketiga adalah setelah rilis . Jika aplikasinya tidak anti-gangguan dan pengemasan anti-sekunder, aplikasi dapat dirusak oleh peretas, menanamkan program berbahaya, kode berbahaya, dan SDK berbahaya, mengubah program menjadi Aplikasi phishing dan menerbitkannya. Setelah pengguna mengunduh Aplikasi yang berbahaya dan palsu, banyak masalah risiko akan muncul, seperti memasang iklan, menanam kode berbahaya di ponsel untuk mengubahnya menjadi mesin penambangan, mencuri informasi pribadi, dll.
Terakhir adalah tahap operasi dan pemeliharaan . Masalah paling menonjol pada tahap ini adalah privasi. Cheng Zhili menjelaskan, "Karena saya pasti akan mengumpulkan informasi pengguna selama pengoperasian dan pemeliharaan Aplikasi. Aplikasi adalah platform. Dari pengumpulan, penyimpanan lokal, dan transmisi informasi pribadi, semuanya dilakukan di Aplikasi ini. Jika Aplikasi itu sendiri aman untuk dilakukan Jika Anda tidak melakukannya dengan cukup baik, pengumpulan, penyimpanan lokal, dan transmisi informasi pribadi dapat menimbulkan risiko dan membocorkan informasi sensitif. "
Untuk perusahaan, setelah Aplikasi dirilis, setiap pengguna adalah bagian dari sistem dan jaringannya. Namun, "Saya tidak tahu apakah ada risiko, apakah ada yang melakukan dekompilasi, merusak atau meluncurkan serangan, dll.". Karena tidak mengetahui informasi ini, perusahaan hanya dapat melakukan proteksi pasif. Tetapi dalam situasi seperti itu, perlindungan pasif tidak dapat menyelesaikan masalah apa pun. Jendela waktu respons perlindungan pasif tidak boleh memenuhi "persyaratan kami". Cheng Zhili berkata, "Yang kami butuhkan adalah perlindungan proaktif. Dalam proses pengoperasian dan pemeliharaan Aplikasi, masalah yang belum terselesaikan adalah kami tidak dapat memperoleh data dan informasi baru, tidak dapat melakukan respons proaktif dan perlindungan proaktif, dan tidak dapat memberikan peretas atau penyerang. Bawalah cukup pencegahan. "
Selain itu, keamanan SDK tidak dapat diabaikan. Seperti yang kita semua tahu, SDK banyak digunakan dalam aplikasi modern. Misalnya, satu aplikasi dapat mengintegrasikan lebih dari 20 SDK.
Menurut Cheng Zhili, banyak perusahaan menggunakannya secara langsung ketika mereka mendapatkan SDK eksternal, dan mereka jarang mempertimbangkan apakah SDK tersebut aman. Untuk perusahaan, sebelum mengintegrasikan SDK pihak ketiga, mereka harus mengevaluasi keamanan dan kepatuhan terkait SDK terlebih dahulu . Bawa SDK ke platform deteksi yang relevan untuk memeriksa: Pertama, periksa apakah SDK memiliki risiko umum, apakah ada celah, program berbahaya, dll. Dalam kode. Yang kedua adalah mendeteksi kepatuhan. Periksa izin mana yang akan diperoleh SDK selama eksekusi dan apakah sudah sesuai.
Saat mengintegrasikan SDK, pertama-tama kita harus menyelesaikan penilaian keamanan SDK dan melakukan pemeriksaan kepatuhan. Pada saat yang sama, saat menggunakan SDK, termasuk saat SDK diberikan kepada pihak ketiga, kita harus melakukan beberapa penguatan, ujarnya.
Jadi, bagaimana meningkatkan dan meningkatkan keamanan Aplikasi dari seluruh proses atau tautan, dan menghindari pelanggaran privasi, ini menjadi sangat penting.
Dalam pandangan Cheng Zhili, Dalam siklus hidup aplikasi, setiap tautan dan setiap proses sangat penting, jadi diperlukan ekologi, bukan satu titik perlindungan. Ekologi ini dapat terus memastikan keamanan melalui operasi otomatis .
Dia menyarankan itu dalam proses ini Proses DevSecOps . Karena DevSecOps berada di platform, ia menetapkan semua persyaratan keamanan, tanggung jawab keamanan, dan kemampuan keamanan untuk semua orang dan setiap peran, sehingga setiap orang harus mempertimbangkan keamanan secara keseluruhan. Ini akan membutuhkan kode untuk diperiksa pada setiap node pengembangan. "Kode tidak hanya harus memenuhi persyaratan fungsi bisnis yang relevan, tetapi juga persyaratan keamanan perusahaan."
Singkatnya, dalam tahap pengembangan, melalui alat peninjau kode sumber, termasuk inspeksi statis, inspeksi dinamis, inspeksi interaktif, dll., Untuk memaksimalkan penghapusan risiko dan masalah keamanan yang melekat dalam proses pengembangan Aplikasi. Pada saat yang sama, dalam proses pengembangan, dimaksimalkan bahwa masalah keamanan hanya ditanggung oleh personel operasi dan pemeliharaan keamanan, dan setiap programmer pengembangan bertanggung jawab atas masalah keamanan.
Selanjutnya, kita harus melakukan pemeriksaan keamanan menyeluruh pada Aplikasi. Simulasikan perspektif peretas untuk memeriksa masalah Aplikasi, termasuk masalah risiko umum, masalah keamanan konten, masalah SDK, masalah kepatuhan, dll. "Ini membutuhkan tim kepatuhan untuk mengevaluasi, yang sangat penting, karena kepatuhan saat ini merupakan kekuatan pendorong terbesar untuk keselamatan," kata Cheng Zhili.
Setelah perusahaan menetapkan serangkaian proses bisnis yang lengkap, harus ada penilaian risiko dan audit keamanan data untuk membantu perusahaan mengevaluasi data. "Dari pengumpulan data, penyimpanan yang akan digunakan, dan otorisasi pihak ketiga, lihat di mana risikonya dari perspektif data dan cara melindunginya."
Pekerjaan setelah aplikasi dirilis adalah untuk melindungi Aplikasi, dan aplikasi harus memiliki fungsi anti-gangguan dan anti-pengemasan sekunder, yaitu, untuk mencegah Aplikasi dirusak, dimodifikasi, ditanamkan dengan program jahat dan kode berbahaya serta pengemasan sekunder, dan menghilangkan implantasi di Aplikasi. Kemungkinan program jahat dan program palsu. "Jika peretas memiliki tingkat keamanan yang tinggi dan melewati mekanisme keamanan Aplikasi untuk memecahkannya, kami perlu melakukan inspeksi batch, melalui pemantauan saluran, untuk mengetahui apakah ada aplikasi berbahaya dan phishing di Internet," katanya.
Untuk pengembang, mereka harus memperhatikan dan secara sadar menyelesaikan masalah keamanan dan privasi Aplikasi sebelumnya.
Untuk tim pengembangan besar, saran Cheng Zhili adalah menerapkan platform DevSecOps , Ini termasuk audit kode, platform pengujian keamanan, platform pengujian kepatuhan, platform penguatan keamanan, dll. Ini dapat memastikan operasi yang aman dan berkelanjutan, dan sangat cocok untuk model pengembangan tangkas saat ini.
Cheng Zhili berkata, "Seperti yang kita semua tahu, aplikasi umumnya diperbarui paling banyak seminggu sekali, dan setiap kali dibutuhkan proses yang sama untuk melakukan pemeriksaan keamanan, semuanya sudah terlambat. Yang perlu kita lakukan adalah ketika aplikasi dikembangkan, ia sudah memiliki kemampuan keamanan. Ini membutuhkan Kami telah menyematkan keamanan dalam proses pengembangan, yang dapat dicapai melalui DevSecOps. "
Untuk pengembang kecil, mereka dapat menggunakan platform pihak ketiga untuk memeriksa . Setelah menemukan masalah, selesaikan masalah tersebut dengan memodifikasi kode atau hardening. Dalam pandangan Cheng Zhili, penguatan keamanan adalah cara perlindungan yang hemat biaya. Ini "menambahkan cangkang pelindung" ke bagian luar aplikasi untuk memaksimalkan perlindungan aplikasi. Jenis perlindungan ini mencakup perlindungan tingkat kode, perlindungan tingkat memori, perlindungan file sumber daya, perlindungan bisnis, disk perangkat lunak yang aman, pembajakan aman dan pencegahan tangkapan layar, perlindungan data, perlindungan log, dan perlindungan saluran. "Dengan cara ini, kami menjamin keamanan keseluruhan Aplikasi selama input data, pengumpulan, penyimpanan lokal, dan transmisi."
Dua perspektif untuk memecahkan masalah
Untuk mengatasi masalah Aplikasi yang melanggar privasi dan keamanan pribadi, ini bukan masalah sederhana, ini agak rumit.
Dalam pandangan Cheng Zhili, Perlindungan privasi pengguna Aplikasi harus dipertimbangkan dari beberapa tingkatan. Yang paling penting adalah melibatkan banyak masalah, tidak ada satu pun titik perlindungan yang dapat diselesaikan, kita harus mempertimbangkan untuk membuat ekologi perlindungan .
Secara spesifik, ekologi pelindung ini harus memiliki beberapa elemen. Pertama, pertama-tama tentukan batasannya, yaitu perilaku mana yang melanggar privasi pengguna Aplikasi. Singkatnya, harus ada standar pengukuran. Di China, ini adalah serangkaian undang-undang, peraturan, dan kebijakan terkait seperti "Undang-Undang Keamanan Cyber", "Isoguarantee 2.0", dan "Spesifikasi Keamanan Informasi Pribadi Teknologi Keamanan Informasi".
Selanjutnya, kita harus melanjutkan dari dua perspektif, satu adalah regulator dan yang lainnya adalah perusahaan.
Sedangkan untuk regulator, tugasnya adalah menemukan aplikasi yang melanggar privasi dan keamanan pribadi, dan kemudian memperbaikinya untuk memenuhi persyaratan. . Misalnya, dalam masyarakat nyata, pemerintah memiliki arsip dan hukou untuk pengelolaan kepegawaian. Demikian pula, ada jutaan aplikasi di Internet di China. Anda perlu membuat database aplikasi terlebih dahulu, kemudian menggunakan data besar dan teknologi kecerdasan buatan untuk menemukan "aplikasi ilegal" di pasar aplikasi di Internet.
Setelah mendapatkan aplikasi, analisis semua aset aplikasi. "Dari perspektif regulator, misalnya, saya adalah Cyberspace Administration of Sichuan, dan saya hanya perlu mengelola risiko aplikasi Sichuan. Saya ingin memilih aplikasi Sichuan terlebih dahulu, lalu memilah aset aplikasi tersebut, termasuk informasi dasar, informasi geografis, dan Informasi industri dan informasi operator. Pada saat yang sama, periksa risiko dan masalah App. "Katanya.
Jika aplikasi ilegal ditemukan, harus ada proses yang sesuai: aplikasi dihapus dari rak dan perusahaan diberi tahu tentang perbaikan. Setelah perbaikan, uji ulang, jika sudah sesuai, letakkan di rak dan lanjutkan pemantauan.
Cheng Zhili berkata, "Ada standar, dan kemudian deteksi big data dan proses yang sesuai serta mekanisme respons untuk mewujudkan interkomunikasi data yang mendasarinya, dan akhirnya menyelesaikannya dalam platform berkelanjutan. Ketika platform berkelanjutan didirikan, itu membentuk ekosistem. Pengoperasiannya tidak memerlukan keterlibatan manusia, didasarkan pada data yang digerakkan, dan diuji sesuai dengan standar otomatis. "
Setelah masalah ditemukan, pemilik dan operator Aplikasi secara otomatis diberi tahu untuk melakukan koreksi. Setelah perbaikan, periksa kepatuhan dan biarkan diletakkan di rak. Keuntungan ekosistem adalah bahwa datanya dikendalikan sendiri, meminimalkan partisipasi personel, memaksimalkan kecepatan respons, dan mengurangi risiko dan masalah sosial yang disebabkan oleh ketidakpatuhan terhadap keamanan privasi.
Dari perspektif korporasi, tidak hanya perlu memastikan operasi bisnis, tetapi juga untuk mematuhi peraturan. "Bagaimana melakukan kepatuhan? Yang paling nyaman adalah membeli layanan." Setelah aplikasi dikembangkan, biarkan organisasi profesional pihak ketiga menguji dan mengevaluasi, dan menerbitkan laporan. "Jika tidak sesuai, pandu cara memodifikasinya. Setelah modifikasi, jika sesuai, terbitkan ulang."
Selain itu, perusahaan harus mempertimbangkan ekosistem keamanan Aplikasi dan solusi keamanan secara keseluruhan, dan melindunginya dari tahap kode. Kemudian, dengan mengandalkan platform pengujian keamanan Aplikasi, pengujian kepatuhan dan penguatan keamanan dilakukan.
"Untuk perusahaan, perlu memiliki platform manajemen keamanan yang komprehensif untuk membantu mengintegrasikan semua fungsi ini ke dalam platform terpadu. Tugas utama platform ini adalah menyatukan data, menyatukan manajemen, menyatukan proses, dan menyatukan respons, untuk mencapai visualisasi yang komprehensif. Dan tampilan dari platform besar. Katanya.
Ditulis di akhir:
Dalam masyarakat online, privasi dan keamanan pribadi adalah hal terpenting. Seperti kata pepatah, "Jika fondasinya tidak kuat, tanah akan berguncang." Saat lebih banyak aplikasi melanggar privasi dan keamanan pribadi dan mengumpulkan data pengguna untuk mendapatkan keuntungan, mereka mengguncang fondasi pengembangannya sendiri. Konsekuensinya adalah sistem kepercayaan netizen di Aplikasi secara bertahap runtuh, dan ekosistem Aplikasi akan hancur. Memecahkan pelanggaran privasi dan keamanan Aplikasi bukan hanya masalah teknis, tetapi juga masalah peraturan, atau masalah kepercayaan. Singkatnya, banyak pihak perlu bekerja sama untuk menyelesaikan masalah ini.
Ikuti saya dan teruskan artikel ini, kirimkan saya pesan pribadi untuk "menerima informasi", Anda bisa mendapatkan buku mini InfoQ gratis senilai 4999 yuan!
- Istri di garis depan, suami penjaga Beijing, polisi medis keluarga pasangan: kebanyakan ingin pulang untuk melihat anak-anak mereka
- Buku harian karantina ibu Wuhan: Saya ingin berterima kasih kepada Ma Xiaofen, sahabat saya seumur hidup
- Informasi baris "Epidemi" | Rumah Sakit Kedua Guangdong Utara, 30 hari kontak langsung dengan pasien
- Anggota partai lama dari Jalan Bajiao menyumbangkan sumbangan sukarela untuk mendukung pencegahan epidemi