美国移动互联网安全制度体系及对我国的启示

孙舒扬

摘 要：当前全球移动用户已超过52亿，社会各个领域都在被移动互联网锻造重塑，全球已经步入了移动互联网时代。然而，随着移动互联网技术的发展，其潜在的风险也逐渐增加，移动互联网的安全问题已经成为了国际社会面临的重大挑战。美国是移动互联网发展较早的国家，在移动互联网安全制度构建方面也较为领先。论文对美国移动互联网信息安全制度体系进行了梳理分析，对比我国移动互联网信息安全制度发展现状，归纳、提炼出了促进我国移动互联网安全制度体系发展的启示。

关键词：移动互联网；网络安全；制度；美国

中图分类号：TP393 文献标识码：A

Abstract： The number of mobile users all over the world has reached 5.1 billion today. All areas of society are being forged by the mobile Internet. The world has entered the era of mobile Internet. However， with the development of mobile Internet technology， its potential risks have gradually increased. Mobile security has become a major challenge which international community is facing. The United States is a leading country in mobile internet era， and it is also a leader in the construction of the mobile Internet information security system. This article analyzes the US mobile security institutional system， compares with the development status of China， and gives advices for promoting the development of China mobile security institutional system.

Key words： mobile internet； cyber security； institution； United States of America

1 引言

2017年，我国移动互联网安全事件层出不穷，如共享单车扫码诈骗、勒索病毒仿冒热门手游辅助工具、安卓手机漏洞问题等，这些事件严重影响到了公民的正常生活，使公民遭受了极大的精神和经济损失。根据腾讯公司预测，使用植入木马的方式开展诈骗活动将变得更加普遍，对移动支付安全的关注也将日益上升，移动互联网安全相关问题仍将是我国面临的重要挑战。为应对这一挑战，我国在相关制度建设方面已经展开了积极探索，然而与美国等先进国家相比仍存在一定差距，应充分借鉴先进经验进一步完善移动互联网安全制度体系，全面有效地为移动互联网提供保障。

2 背景

根据全球移动通信协会（GSMA）实时统计数字，当前全球移动用户已超过52亿（2018年5月），GSMA预测这一数字将在2020年达到57亿，占全球人口的73%。移动互联网不仅催生了植根于其上的新兴行业，同时也使越来越多的传统行业也开始转型升级，社会各个领域都在被移动互联网锻造重塑，人们的生活方式随之发生改变，全球已经步入了移动互联网时代。然而，随着移动互联网技术的发展，其潜在的风险也逐渐凸显出来。仅2017年第一季度，卡巴斯基实验室移动安全产品检测到的恶意软件就高达近160万个。此外，由于移动互联网与社会生活的各个领域之间都存在着密切的联系，其安全的边界也不断延伸，除针对个人的攻击外，还以终端设备为跳板，进一步威胁与个人相关的组织、机构等。移动互联网的安全问题，已经成为了国际社会面临的重大挑战。

3 美国移动互联网安全制度体系

美国是移动互联网发展较早的国家，在移动互联网信息安全制度构建方面也较为领先，发布了种类丰富、层次分明的制度，全面保障移动互联网生态系统的安全。

3.1 法律基础

美国移动互联网安全的法律基礎主要由两部分构成，一是完备的网络安全法律体系，二是发展中的移动互联网安全法规及判例。

在网络安全法律体系方面，美国作为互联网最为发达的国家，其网络空间安全相关的立法起步较早，也具有一定的先进性。美国网络与信息安全法律包括网络与信息安全综合性法律，如《网络安全法案》《联邦信息安全管理法案》；个人隐私保护法律，例如综合性的《隐私权法》，用于互联网环境的《联邦互联网隐私保护法》《电子通信隐私法》，用于特殊人群的《儿童在线隐私保护法》；打击计算机犯罪法律，例如《计算机安全法》《信息技术管理改革法》。这些网络安全相关法律，对网络与信息安全的各个方面进行了规范，明确了包括移动设备在内的电子产品的技术、应用、个人信息利用等行为的法律要求。

在移动互联网安全专门法规和判例方面，美国也有一些成功探索，2014年美国最高法院裁定，由于手机存储并可能透露大量信息，包含着“生活的隐私”，因此手机上存储的大量数据，也适用宪法隐私保护条款。2016年，美国发布了《应用程序之隐私保护和安全法案》，对手机应用软件的开发者作出规定，以规范手机应用软件收集用户信息的行为。

3.2 发展战略

在坚实的网络与信息安全法律体系的基础之上，美国根据技术与社会的发展，于不同阶段由不同部门制定了移动互联网战略规划文件，明确了发展目标、发展路径及责任部门。

2012年，美国白宫发布《数字政府战略》，提出要利用现代工具和技术，从根本上改变联邦政府的服务方式，并提出新的目标要“使美国人民和日益增多的移动员工能随时、随地、使用任何设备获得高品质的数字政府信息和服务”，这就需要大力推广移动互联网技术和移动设备在全国的应用。与此同时，该战略还指出了移动设备存在特殊的安全挑战性，需要有新措施来持续监测和管理设备，要求相关机构评估现有标准与指南，制定移动设备安全标准等保障国家移动安全。

此后，相关部门陆续发布战略性文件，细化移动互联网安全要求。2012年5月，美国国防部首席信息官签发了《国防部移动设备战略》（V2.0），提出推动支持移动设备的基础设施、制定移动设备策略与标准、推进移动应用开发与使用三大目标。其中也对移动互联网安全作出了指示，要求国防部通过建立移动设备安全体系结构管理移动设备、应用和网络，制定移动设备相关标准规范和移动应用安全认证流程这些途径保障移动网络、移动设备和移动应用的安全。2013年2月，美国国防部发布《商用移动设备实施计划》，制定了构建新设备管理体系结构的具体时间表，加强对美国军事人员使用智能手机和平板电脑等移动设备的控制力度，推进其在国防部内的应用，其中专门指明网络安全防御是国防部移动能力的一部分，网络安全在该计划完成中扮演了重要的角色。2013年5月，美国国土安全部发布了《移动安全参考体系结构》，从移动设备数据安全、移动设备管理、移动应用管理等方面，给出了实现移动信息系统安全的参考体系。2013年11月，美国国家安全局发布了《移动能力包》，提出了在政府和军队信息系统中使用移动设备的安全要求，并于2017年8月对其进行了更新。

3.3 标准架构

美国移动互联网安全标准性文件主要有两种类型，一是由美国国家信息安全保障合作组织（NIAP）制定的移动互联网相关保护轮廓，二是由美国标准与技术研究院（NIST）制定的移动互联网相关相关指导性文件。

3.3.1 移动互联网相关保护轮廓

美国国家信息安全保障合作组织（NIAP）是通用准则评估与认证制度的管理和认证机构，负责开发基于标准的保护轮廓，监督国家安全体系中使用的商业信息技术产品。保护轮廓定义了特定技术与实现无关的安全要求和测试活动，以保证可实现、可重复和可测试的产品评估。保护轮廓被用于在通用准则评估中验证产品的安全机能，也可用于通用准则认证外的鉴定或验证活动。这些保护轮廓为产品开发上指出所需的关键安全功能，使其产品符合国家安全系统对相关商业产品的安全要求。

NIAP自2013年起开始发布移动互联网相关保护轮廓，其涵盖的安全对象包括受保护的通讯、受保护的存储、移动设备配置、授权和身份验证以及移动设备完整性。目前，NIAP已经制定了一系列应用于移动互联网技术的保护轮廓，表1列出了其中一些有代表性的标准文件。

由表1可见，NIAP对移动互联网涉及的硬件、软件、网络等均作出了规定。如2017年6月发布的《移动设备基础保护轮廓3.1》明确了移动设备的信息安全需求，描述了移動设备应提供的基本安全服务，如加密服务、静态数据保护和密钥存储服务。同时还界定了移动设备是指由硬件平台与运行在其上的系统软件构成的，应能够建立无线连接，并包括具有安全通讯、电子邮件、网页、VPN连接以及网络电话等功能，能够连接到受保护的企业网络、数据和应用，并与其他移动设备通讯。2016年11月更新的《移动设备管理保护轮廓3.0》和《移动设备管理代理补充包3.0》通过对移动设备管理（MDM）的两个基本要素，MDM服务器和MDM代理的规范，指导企业在移动设备使用过程中应用安全策略，使移动设备能够在充分安全的场景中接入企业网络资源，处理企业数据。2016年4月更新的《应用软件保护轮廓1.2》同时更新了文件《应用软件保护轮廓1.2中移动设备审查需求》。该文件展示了《应用软件保护轮廓》中适合移动应用软件的功能和保证要求。其余标准文件分别针对加密存储、无线网络、虚拟专用网、网络电话、网络浏览器、电子邮件客户端等具体硬件或软件进行了规定，形成了较为全面的移动互联网标准体系。

3.3.2 移动互联网相关指导性文件

创建于1901年的美国标准与技术研究院（NIST）隶属美国商务部，从事物理、生物和工程方面的基础和应用研究，以及测量技术和测试方法方面的研究，提供标准、标准参考数据及有关服务。根据国家《数字政府战略》，NIST有责任为联邦机构信息和信息系统制定强制性标准和指南。目前，NIST已发布多个移动互联网相关指导文件，指导机构、企业安全使用移动设备，控制移动互联网带来的安全风险，表2列出了其中有代表性的指南。

《评估移动设别和基础设施风险》（草案）列出了移动设备和相关移动基础设施存在的风险种类，以支持移动安全能力、最佳实践和安全解决方案的开发和实施，更好地保护企业信息技术。《企业移动设备安全管理指南》协助组织集中管理移动设备安全。提供了选择、实施使用集中管理技术的推荐，并解释了移动设备应用中需考虑的安全因素，提供全生命期移动设备安全保护的建议。《移动应用安全审查》定义了移动应用的审查步骤，主要包括应用测试和应用批准/拒绝。应用测试活动包括利用服务、工具和人测试软件漏洞，形成漏洞报告和风险评估。应用批准/拒绝包括根据附加准则评估这些报告和风险评估，确定应用是否符合机构安全要求，最终决定批准或拒绝这一应用软件用于机构的移动设备。《远程办公和自带设备办公用户指南》与《远程办公、远程访问和自带设备办公企业指南》分别从用户和企业两方面针对使用自带办公设备直接或间接介入企业网络的情况提供了安全建议。此外，NIST还发布了《公共安全移动应用审查概述》《蓝牙安全指南》《媒体过滤指南》《LTE安全指南》等指南，可对不同应用环境和不同具体部件进行指导。

4 我国移动互联网安全制度现状

我国作为全球移动互联网用户最多的国家，移动应用发展极快，在移动互联网安全制度方面虽然起步较晚，但也做出了卓有成效的探索，同时也存在着一些不足之处。

4.1 法律法规有待完善

2017年6月1日，《中华人民共和国网络安全法》正式生效，该法是我国网络安全领域的基础法律，也是我国网络安全立法的重要里程碑，不仅是对网络空间群众利益的法律保护，同时也有效保障了国家网络主权和安全。除此之外，各部委也出台了各不同领域的专门性网络安全相关法律法规，如针对信息内容管理的《互聯网信息内容管理行政执法程序规定》《互联网新闻信息服务管理规定》，针对应急管理的《国家网络安全事件应急预案》《公共互联网网络安全威胁监测与处置办法》和针对产品服务的《网络产品和服务安全审查办法（试行）》等。移动互联网安全作为网络安全的一部分，也应遵守网络安全相关法律法规的规定。

针对于移动互联网安全，部分行业主管部门也制定了相关部门规章。2016年12月，工业和信息化部发布《移动智能终端应用软件预置和分发管理暂行规定》，强化智能终端应用软件的管理。国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》，明确了移动互联网应用程序提供者和应用商店服务提供者所需履行的责任。

由此可见，我国移动互联网安全法律法规近些年已有长足发展，在某些领域已经实现了有法可依。然而无论是网络安全法律法规还是移动互联网安全法律法规，仍都存在较大空缺，并未形成完整体系。

4.2 战略规划仍需明确

当前，移动互联网发展目前已被列入我国国家层面规划中。例如《“十三五”国家战略性新兴产业发展规划》中提出要加快移动通信网络建设，推进移动互联网与各行业深度融合；在《国务院关于积极推进“互联网+”行动的指导意见》中将移动互联网作为重要应用技术，要求加快推动其在农业、金融、民生等领域的应用。2017年初，中办、国办印发《关于促进移动互联网健康有序发展的意见》，从国家层面对移动互联网的发展做出了顶层规划，并将移动互联网安全风险防范作为发展中的重要环节，从提升网络安全保障水平、维护用户合法权益、打击网络违法犯罪和增强网络管理能力四个方面做出了部署，提出了较为明确的要求。由此可见，移动互联网已经成为国家关注的重点领域，但各项战略规划中仍偏重于发展，而对于其安全的关注仍显不足。

4.3 标准体系初步建立

移动互联网信息安全标准化工作是我国信息安全保障体系建设的重要内容，并取得了一定成绩。截至目前，已发布标准种类有国家标准和行业标准，内容涵盖移动终端安全架构、安全保护技术，及其个人信息保护、数据存储、操作系统、应用软件的安全技术要求，能够用于指导移动终端安全设计、开发、测试评估等工作，基本形成了移动应用核心标准体系。2017年，工业和信息化部发布《移动互联网综合标准化体系建设指南》，这一指南制定了移动互联网综合标准化体系框架，将移动安全划分为终端安全、网络安全和应用安全三个方面，同时明确了移动安全标准研制方向。

5 对我国的启示

5.1 加强法律建设

为加强我国移动互联网安全法律建设，建议从三方面入手：（1）构建网络安全法律法规体系，随着网络安全基础法律《网络安全法》正式生效，相关主管部门也正在研究制定配套法规制度，为整个网络安全生态体系提供全面规范；（2）依法对涉移动互联网事件进行处置，摸索如何利用网络安全相关法律法规规范移动互联网信息安全；（3）根据网络安全法律法规体系与移动互联网案件相关判例，适时开展移动互联网专门法律法规制定。

5.2 做好战略规划

结合国家总体战略、互联网领域相关战略规划与移动互联网战略规划，在移动互联网相关发展规划中，明确移动互联网安全的目标、路径，及各相关部门在其中的职责。此外由负责牵头开展移动互联网信息安全保护的部门制定针对移动互联网信息安全方面的规划文件。

5.3 完善标准体系

移动互联网是由多个要素构成的生态系统，仍需围绕移动互联网生态系统中的各个要素继续深入研究移动互联网生态系统内相关技术、产品，推进技术、产品和产业标准的制定，形成完整全面的移动互联网信息安全标准体系。此外，除保护轮廓类标准外，还应研究制定指导性文件，针对移动互联网在不同环境的应用及不同部件的应用制定指南，供组织和个人参考。

参考文献

[1] 白凌云.探究移动互联网信息安全问题的政府应对措施[J].网络空间安全， 2016（8）：11-13.

[2] 杜跃进，李挺.移动互联网安全问题与对策思考[J].信息通信技术， 2013（4）：11-15.

[3] 李偲，先喻.美国网络空间战略的安全化问题研究[J].网络空间安全， 2018（1）：21-26.

[4] 罗军舟，吴文甲，杨明.移动互联网：终端、网络与服务[J].计算机学报， 2011， 34（11）：2029-2051.

[5] 宁华，潘娟.移动互联网信息安全标准综述[J].信息安全研究， 2016， 2（5）：429-434.

[6] 邵晓慧.探究移动互联网应用安全的问题分析与建议[J].网络空间安全， 2016（Z1）：17-19.

[7] 孙其博.移动互联网安全综述[J].无线电通信技术， 2016， 42（2）：1-8.

[8] 魏亮.移动互联网安全框架[J].中兴通讯技术， 2009， 15（4）：28-31.

[9] 国务院.“十三五”国家战略性新兴产业发展规划[EB/OL]. （2016-11-29）. http：//www.gov.cn/zhengce/content/2016-12/19/content_5150090.htm.

[10] 中华人民共和国工业和信息化部.公共互联网网络安全威胁监测与处置办法[EB/OL]. （2017-09-13）. http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5800562/content.html.

[11] 中華人民共和国工业和信息化部. 移动智能终端应用软件预置和分发管理暂行规定[EB/OL]. （2016-12-23）. http：//www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c5436811/content.html.

[12] Commercial Mobile Device Implementation Plan[EB/OL] .（2013-02-26）.https：//www.defense.gov/releases/release.aspx？releaseid=15833.

[13] Digital Government： Building a 21st Century Platform to Better Serve the American People[EB/OL]. （2012-05）. https：//obamawhitehouse.archives.gov/sites/default/files/omb/egov/digital-government/digital-government-strategy.pdf.

[14] Nanz S， Hankin C. A framework for security analysis of mobile wireless networks[M]. Elsevier Science Publishers Ltd. 2006.

[15] National Information Assurance Partnership. Extended Package for Mobile Device Management Agents Version 3.0[EB/OL]. （2016-11-21）. https：//www.niap-ccevs.org/MMO/PP/ep_mdm_agent_v3.0.pdf.

[16] National Information Assurance Partnership. Protection Profile for Mobile Device Fundamentals 3.1[EB/OL]. （2017-06-16）. https：//www.niap-ccevs.org/MMO/PP/pp_md_v3.1.pdf.

[17] National Information Assurance Partnership. Protection Profile for Mobile Device Management Version 3.0[EB/OL]. （2016-11-21）. https：//www.niap-ccevs.org/MMO/PP/pp_mdm_v3.0.pdf.

[18] National Information Assurance Partnership. Requirements for Vetting Mobile Apps from the Protection Profile for Application Software 1.2[EB/OL]. （2016-04-22）. https：//www.niap-ccevs.org/pp/pp_app_v1.2_table-reqs.htm.

[19] National Institute of Standards and Technology. Draft NISTIR 8144： Assessing Threats to Mobile Devices & Infrastructure – The Mobile Threat Catalogue[EB/OL]. （2016-09）. https：//csrc.nist.gov/CSRC/media/Publications/nistir/8144/draft/documents/nistir8144_draft.pdf.

[20] National Institute of Standards and Technology. Guidance for Secure Authorization of Mobile Applications in the Corporate Environment[EB/OL]. （2015-03）. https：//ws680.nist.gov/publication/get_pdf.cfm？pub_id=918252

[21] National Institute of Standards and Technology. NIST SP 800-114 Revision 1 User's Guide to Telework and Bring Your Own Device （BYOD） Security[EB/OL]. （2016-07）. https：//nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-114r1.pdf

[22] National Institute of Standards and Technology. NIST Special Publication 800-46 Revision 2 Guide to Enterprise Telework， Remote Access， and Bring Your Own Device （BYOD） Security[EB/OL]. （2016-07）. https：//nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf.

[23] National Institute of Standards and Technology. Vetting the Security of Mobile Applications [EB/OL]. （2015-01）. https：//nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-163.pdf.

[24] Office of the DoD Chief Information Officer. Department of Defence Mobile Device Strategy[EB/OL]. （2012-05）. http：//archive.defense.gov/news/dodmobilitystrategy.pdf

[25] Yang H， Luo H， Ye F， et al. Security in mobile ad hoc networks： challenges and solutions[J]. IEEE Wireless Communications， 2004， 11（1）：38-47.