白名单背景

国家计算机网络应急技术处理协调中心(CNCERT)于2012年对市场上24家应用商店进行抽查,结果显示这些应用商店全部包含恶意应用程序。其中:

  • 检测应用样本 97250个
  • 发现恶意应用 860款
  • 恶意应用下载量超过 850万次

从基础电信运营商网络侧统计的数据表明,仅2013年10月,全国范围内发现:

  • 手机病毒事件数 222,760,256个

截至2013年,CNCERT掌握的移动互联网恶意程序样本数已超过70

触目惊心的数字足以证明,现有的移动互联网生态系统面临严重的安全威胁。当今移动互联网领域信息安全防护手段主要依托事中检测或事后补救等技术,因此在攻防转换中,全体网民正被这种魔高一尺、道高一丈的怪圈绑架。移动互联网安全治理工作将更加重视事前预防工作,因此“移动互联网白名单”机制势在必行。

白名单目的

面对移动互联网恶意程序带来的安全威胁,ANVA(中国互联网协会反网络病毒联盟)以网民的正当权益为出发点,通过引入“移动互联网应用自律白名单”建立安全的移动互联网生态系统,最终将网民引向“白色”的安全生态环境。

白名单的内涵

什么是移动互联网应用自律白名单?

  • 一份“已知为良好”的实体名单,用来标识安全可信的移动互联网应用。
  • 由于移动互联网企业发布应用所使用的数字证书具备相对固定和不易伪造的特点,所以ANVA采用数字证书作为白名单的实体。

移动互联网应用白名单的技术实现?

如一家企业成功申请将某个企业数字证书加入白名单,则该企业出品的带有该证书的所有移动互联网应用均被ANVA认定为安全可信的“白应用”。

ANVA白名单平台会发布哪些信息?

包括企业注册信息、企业数字证书文件、白名单的时效范围,以及该企业报备的所有应用程序基本信息等。

白名单申请流程

白名单审查环节

三级审查机制层层把关,严格控制白名单的品质。

白名单发布与执行

白名单发布

白名单执行

白名单监督

举报通道

白名单发布平台和ANVA网站会设立举报通道,接收公众对白名单企业的违规行为举报。

监督机制

  • 白名单工作组成员对提交审核的白名单进行跟踪审查,及时发现违规应用;
  • 应用商店自律组成员监督本商店内的白名单应用,及时发现违规应用;
  • 最终用户在使用过程中发现白名单应用存在违规行为,可以直接通过举报通道进行举报。

自律义务

拥有白名单的应用开发企业需要不断更新报备应用,接受各方监督。

违规行为

ANVA收到针对白名单企业的举报,并对举报内容进行核实,若情况属实,ANVA将该企业从白名单中移除。如果该企业存在严重的违规行为,ANVA将剥夺该企业再次申请加入白名单的资格,并将违规行为进行公示。

私钥丢失

若白名单企业发生私钥丢失的情况,需及时向ANVA汇报。ANVA会及时在白名单发布平台中将该私钥对应的数字证书进行移除,并通知白名单工作组成员对该数字证书进行移除。对于瞒报私钥丢失情况的企业,ANVA发现后将该企业从白名单中移除,并剥夺该企业再次申请加入白名单的资格。

主办:中国反网络病毒联盟 京ICP备10012421号

如有问题请联系:anva@cert.org.cn


微信

微博