移动互联网大潮下APP开发注重安全

　　当前，作为移动客户端第三方应用程序的APP在社会活动各个领域的应用急剧扩大，正在成为企业和个人工作、生活之不可或缺，与此同时，APP的安全问题也引起了各方关注。

　　移动APP是一个很新的概念，我们开发移动APP跟PC软件的开发有很大差别。首先便体现在大小上，一般的APP1兆左右，PC软件可能100兆比较常见。其次是开发时间，APP开发几个月，而一个PC软件可能要花上几年甚至十几年的时间。在开发团队规模而言，APP可以由很小的团队开发，PC软件则要大的团队。我们现在常用的APP基本上都本土化了，而PC却不一定。商业模式也不太一样，如苹果商店的APP有付费的也有免费的。此外在使用方面，很多APP是需要联网才能使用的，而PC软件却不一定。

　　APP开发最好的方式是众创

　　现在国家提倡大众创业、万众创新，鼓励APP的开发就是最好的众创方式，而中国最大的优势就是科技人才优势。

　　国内APP现阶段还处于没有开发没有用户的恶性循环中。我们要把大众发动起来，大众创业、万众创新才能在短时内为做足够好的更多的国产化APP做出更多的贡献。有APP才会有用户，也才会激励更多的开发者做APP产品，使国产操作系统发展更好，如此整个产业才能进入一个良性发展的循环中。

　　与此同时，在这个过程中，我们还能不断地发掘人才，培养人才。

　　提高国产化才能实现APP发展的自主可控

　　如今大家对安全问题高度关注，因为泄密的问题，还有被攻击等，所以APP也面临着安全威胁，使大家提高了安全意识，在选择一款APP产品时也有了更多的考虑。

　　首先是网络空间安全。网络空间是一个物理的或者非物理的领域，这些要素包括计算机系统、网络及其计算机数据、数据和用户等要素。网络空间是很大的范围，大家看法不一，事实上也并没有统一的规定，信息安全、IT安全、设计安全、运作安全、物联网安全等都被包含在内，甚至还牵扯到网络主权、安全、治理等问题，所以它的划分方式有很多种。网络安全的重要性不言而喻。

　　我们应该如何保障网络的安全呢？首先在采购的时候，不论是采购产品服务或者采购软件、硬件都要有标准。自主可控、安全可靠是个标准，要实现这个标准就要深刻理解其含义：第一，自主可控是安全可靠的前提，只有实现了自主可控才有可能安全可靠，如果自主可控达不到，安全可靠就没有根据。第二，自主可控不等于安全可靠，但是至少是个基本条件，而且是个先决条件。

　　安全可靠相对于自主可控要求更高一点。另外，安全可靠并不是凭主观判断的，而是要跟应用场景紧密相关的。因此，最重要还是要通过实践证明。

　　自主可控则可以采取评估的方式。我们把自主可控作为一个属性，并制定标准，邀请专家在查阅相关资料做实验之后根据每个场景对产品进行打分，全方位的保障产品的标准。我们可以从以下几个方面进行评估。

　　第一步，产品的属性与知识产权的属性，开发某个APP可能是自有知识产权，也可能是买断的，现在我们完全有手段评估。

　　第二，能力。如果所支持开发团队没有能力，就不能自主可控，甚至可能还要依赖别人的设计。这意味着，如果有很强的能力，甚至可以产业化，构造成产业链，更重要的是可以营造一个生态系统、生态环境，这都取决于能力的高低，没有能力的团队是难以取得长远发展的。

　　第三，强调发展。国内APP的发展最大的短板是需要全部需要依赖于苹果、安卓系统的支持，而APP产业要获得更长远的可控发展，主动权应该控制在自己手里，目前安卓系统的开放源越来越差，这也不利于中国APP产业的发展，如果APP真正可以实现产品的本国制造开发或者只是提高混合所有制的比重，这样即便在同等条件下，APP产品在本国的附加值也能够实现更高增值。

　　而实现安全可靠则比较困难，目前还没有比较好的解决办法。我觉得可以考虑将等级保护作为重要的依据。等级保护在广义上有不同的理解，总而言之，譬如我们从工作来讲，包含的几个阶段，如信息安全等级测评和信息安全检查这些工作，等级越高说明系统越安全。这些工作和安全可靠评估非常接近，可以作为重要的依据。

　　总而言之，以大众创新、万众创新的方式开发APP，是发挥中国优势的一个很好的办法。

　　而做到自主可控、安全可靠，从采购产品硬件到软件开发都要实现自主可控，是营造一个良好的产业链生态系统的关键。

　　（以上内容系根据倪光南院士在“2015中国APP创新大会”上的演讲整理而成”）

　　中国工程院院士 倪光南

　　相关链接

　　APP应用安全问题突出

　　随着智慧城市和移动互联网的快速发展，智能手机、平板电脑等移动终端用户数量呈爆发式增长，智能终端型号五花八门，应用多样，极大方便了广大用户日常工作、学习、生产和生活。然而，手机等终端安全问题越来越突出，窃取个人隐私和敏感数据时有发生，利用电信欺诈、手机银行窃取他人资金、非法获取他人电话号码推送垃圾广告等违法犯罪活动十分猖獗，严重影响了广大用户的正常学习、生活和工作。

　　事实上移动智能应用开发还是一个较新的领域。在管理层面上，移动智能相关法律法规滞后，行业对移动智能安全相关的风险认识不足，过分重视超前概念和业务而忽视基础安全设施；在技术层面，移动应用开发组织没有将信息安全列入软件全生命周期，复杂业务逻辑处理不当，对集成功能模块把关不严格，甚至个别开发者为某些商业利益故意收集信息等。上述各种原因，导致移动应用中会存在bug、漏洞或者留有后门。再加上像安卓市场这样的应用平台门槛较低，没有权威发布机构，并且审核不够严格，导致许多具有恶意行为的应用出现在用户的手机上，如果只是危害手机系统，那问题还不那么严重。但要是威胁到移动支付、邮箱等，就会给用户造成很大的损失。

　　此外，智能手机病毒也是不容忽视的威胁，病毒感染到手机后，会以不被察觉的形式来使用手机的一切功能。在手机屏幕上不会有任何显示，就把要做的事情做了。病毒会代替你使用手机的所有服务。比如给你的朋友发个短信，然后从已发短信中再把这条信息删了。你能做到的，病毒都能做到。

关注读览天下微信， 100万篇深度好文， 等你来看……