简介：随着移动互联网安全问题的日益突出，加强移动互联网空间的治理成为当务之急。

随着移动互联网安全问题的日益突出，加强移动互联网空间的治理成为当务之急。本文在对我国移动互联网安全态势深入分析的基础上，将着重介绍中国互联网协会反网络病毒联盟（以下简称“ANVA”）联合安全行业发布的移动互联网“黑白”名单工作：一方面通过行业内共享“黑名单”数据来共同抵制恶意移动应用程序，另一方面组织行业进行“白名单”认证来促进正规应用程序的良性发展，从“正反”两个方面提高移动互联网生态环境的安全性。

一、移动互联网“地下”世界生态恶化，危机四伏

在移动互联网“地上”世界高速发展的同时，移动互联网“地下”世界也在迅速扩张。由于移动互联网行业蕴含的巨大经济利益，以及拥有与数亿移动终端用户真实关联的特点，黑客已将获利目标从“PC”转移到了“移动终端”，现实的移动互联网环境可以说是“危机四伏”。由于目前国内67%的智能手机都是Android系统手机，而基于Android操作系统的生态圈是开放的，任何开发者开发的应用程序都可以在Android生态圈内进行流通，这给黑客制作并传播Android病毒提供了便利，导致目前Android手机病毒的大肆传播，特别是信息窃取、恶意扣费、远程控制、电话窃听等恶意程序已经严重侵害到了网民的切身利益。

移动恶意程序爆发式增长，趋利性明显。CNCERT从2005年开始对移动恶意程序进行监测，监测结果显示，自2010年起移动恶意程序呈现爆发式增长的趋势，恶意程序数量每年以4到10倍的速度增长。2014年上半年CNCERT监测发现的移动互联网恶意程序达36.7万，比2013年上半年同期增长4.5%。与前几年移动恶意程序的爆发式增长相比，虽然今年上半年移动恶意程序的增长速度开始放缓，但绝对数量仍居高不下。在所监测到的恶意程序中，Android平台恶意程序占总数99%以上，与用户经济利益密切相关的恶意扣费类和资费消耗类恶意程序占到恶意程序总数的62%以上，显示了黑客制作恶意程序带有明显的趋利性。

移动互联网生态上游环节被严重污染。手机应用商店和手机预装是目前安装手机应用程序的两种主要方式，目前这两种方式均已被黑客用于传播恶意程序。2014年手机应用商店、论坛、下载站点等依旧是传播移动互联网恶意程序的主要来源，CNCERT监测发现存在移动恶意程序的应用商店超过300家，单个域名最多存在恶意程序4707个。“手机预装马”事件是近年所发现手机预装的典型案例。2013年9月，CNCERT监测发现某电商出售的行货手机被预置隐私窃取类手机病毒“手机预装马”，通过对比官方渠道发售的正版手机，该手机被预置了恶意程序“SystemScan”，能够在后台静默上传手机号码、手机IMEI号、联网IP、位置信息、程序列表等用户信息，全国有200多万用户感染该恶意程序，2014年中央电视台也在315晚会上对“手机预装马”进行了曝光。

诱骗欺诈类移动仿冒应用程序日益流行。黑客通过开发移动仿冒应用程序进行网络钓鱼的方式日益流行，黑客借助正版应用程序的“外壳”来“包装”恶意程序，使得恶意程序的功能和用户界面与正版程序极为相似，安全意识不强的用户极易受骗安装，最终造成经济损失。同时通过钓鱼短信、钓鱼网站和仿冒应用程序进行跨平台联合钓鱼的案例也越来越多，黑客通过仿冒电信运营商、银行、淘宝等应用程序，诱骗用户安装仿冒程序，使得黑客可以通过线上窃取用户银行账户信息，线下窃取用户手机收到的银行短信验证码，在用户不知情的情况下完成转账、网购等交易行为，达到牟取经济利益的目的。

二、发布移动互联网“黑名单”，打击移动恶意程序

2009年7月，中国互联网协会网络与信息安全工作委员会发起成立了中国反网络病毒联盟（ANVA），由CNCERT负责具体运营管理。联盟旨在广泛联合基础电信企业、互联网内容和服务提供商、网络安全企业等行业机构，积极动员社会力量，通过行业自律机制共同开展互联网网络病毒信息收集、样本分析、技术交流、防范治理、宣传教育等工作，以净化公共互联网网络环境，提升互联网网络安全水平。

ANVA联盟积极组织安全企业积极共享移动恶意程序，同时通过应用程序在线检测平台接收网民的应用程序安全检测申请，累计检测恶意程序超过36万个，对外发布“移动互联网恶意程序”黑名单超过14万条。为了解决目前应用商店恶意程序大肆传播的问题，ANVA联盟通过CNCERT建设的应用商店在线检测平台与全国80余家应用商店对接，2014年检测应用程序超过236万个。对于应用商店中检测发现的恶意程序，ANVA联盟通过网站发布“移动互联网恶意程序传播地址”黑名单，2014年累计发布此类“应用商店”黑名单1169条。

作为ANVA联盟运营管理者，CNCERT在治理移动恶意程序方面开展了大量工作。在工信部的指导下，CNCERT从恶意程序传播源、恶意程序控制端两个方面入手，切实治理移动互联网环境。在恶意程序传播源治理方面，CNCERT于2013年1月1日起启动了常态化的恶意程序传播源处置工作，以每周一次的频率通知应用商店下架恶意程序。2013全年累计开展38次处置行动，协调应用商店下架恶意程序3.7万个。2014年上半年协调应用商店下架恶意程序5654个，下架率达96.5%，应用商店恶意程序数量有所下降。在恶意程序控制端治理方面，2014年上半年CNCERT组织了7次移动恶意程序专项打击工作，着重处置控制规模较大的恶意服务器，协调域名注册商处置了101个移动恶意程序控制域名，协调运营商关停208个控制服务器，切断了对235余万感染手机用户的控制。

三、认证移动互联网“白名单”，推动行业健康发展

由于Android应用程序长尾效应逐步凸显，长尾中的移动应用良莠不齐，大部分移动应用处于灰色地带。特别是对正版应用进行二次打包的仿冒应用，用户难以辨别正版应用和仿冒应用，导致正版应用淹没在大量的仿冒应用中，使得用户难以安装正版的移动应用，“劣币驱逐良币”效应明显。基于传统“黑名单”的防护方式，已经不能满足用户进行移动安全信息消费的需要。

为营造健康的移动互联网生态系统，有效解决目前“黑名单”机制的局限性，ANVA联盟于2013年8月推行了“移动互联网应用自律白名单”认证机制，积极倡导联盟成员实行白名单规范，对移动互联网生态环境中APP开发者、应用商店和安全软件这三个关键环节进行约束，实现APP开发者提交安全可靠“白应用”、应用商店传播“白应用” 、终端安全软件维护“白应用”的良性循环，通过建立可信的“白名单”机制保护正版的优质应用，同时防止移动恶意程序的入侵。

由于移动互联网企业发布应用程序所使用的数字证书具备相对固定和不易伪造的特点，ANVA联盟采用数字证书作为“白名单”的实体。如果一家移动互联网企业成功申请将本企业数字证书加入“白名单”，则该企业出品的带有该证书的所有移动互联网应用均被ANVA认定为安全可信的“白应用”。

为保证白名单审查的严格标准和公正公平，成立ANVA白名单工作组。ANVA联盟成立了由11家专业移动安全企业组成的白名单工作组，并设置了初审、复审和终审的三级审查机制，要求白名单工作组对白名单申请进行严格审查，只有在白名单工作组成员一致认同某家移动互联网企业时，该企业方能加入白名单。

为保护安全的白名单应用，成立ANVA应用商店自律组。使更多的用户放心使用安全的白名单应用，ANVA联盟成立了由23家应用商店组成的应用商店自律组，要求应用商店对白名单应用进行醒目标识，引导用户下载白名单里的应用程序。

白名单审查标准严格，通过率不到10%。2013年至2014年，ANVA联盟共收到180余家企业的白名单申请，通过白名单工作组的安全审查，并经CNCERT最终认定，目前达到“白名单”标准的数字证书20款，涉及12家企业开发的30款移动应用程序通过白名单。

四、结束语

移动互联网的安全治理是一个长期的工作，CNCERT将始终坚持“行业协作、疏堵结合”的原则，与业界同仁一道为构建安全和谐的移动互联网生态环境而不懈努力。（国家互联网应急中心/云晓春 严寒冰 纪玉春 何能强）