护航数字文明，ISC组委会携手光明网共探数字安全新风向******

　　伴随数字化转型进程的深化，各种新理念、新业态、新模式持续给政策制定、生产制造、社会治理等带来深刻影响，逐渐塑造形成了新的文明形态——数字文明。但与此同时，高度的数字化也衍生出了新的威胁，让安全风险不断加剧。

　　作为亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会，互联网安全大会（简称“ISC”）自2013年首届举办以来，见证了自计算机安全时代到网络安全时代高速发展的黄金十年。如今，进入数字安全时代，ISC 2022以“护航数字文明，开创数字安全新时代”为主题，聚焦数字安全建设所面临的诸多问题，致力擘画数字经济高质量发展新蓝图。

　　在大会即将迎来十周年之际，ISC组委会携手光明网网络安全频道，特邀9位安全领域权威专家，分别从战略、技术、行业、产业、生态、创新、市场、产品、定位等维度，提炼总结出针对数字安全建设的9大关键词，为数字安全的未来发展作出有力注解，进一步助力中国数字化发展之路行稳致远。

　　体系作战

　　数实融合的主战场上，整个社会的运转、政府的治理、工厂的运作都架构在软件之上，安全挑战前所未有，但传统的安全防护已经不足以应对持续变化的安全问题。所以，中国计算机学会计算机安全专业委员会荣誉主任，公安部第一、第三研究所原所长严明提出，安全亟待用数字化思维重塑，建设体系化、实战化、常态化的数字安全能力势在必行。

　　看见威胁

　　当过去我们讲安全的时候，往往总是把安全技术化、产品化。而在数字时代中，所有的攻击都是未知的，攻防双方的博弈已经从技术的攻防对抗，变成了看见与看不见的对抗。360政企安全集团高级副总裁高瀚昭对此表示，面对数字安全威胁的升级，如何及时“看见”威胁成为业界最大的挑战。

　　互联互通

　　面对越来越趋于专业化、规模化的黑客组织攻击，没有任何一家公司、一项颠覆性技术或一款产品可以单凭一己之力、一劳永逸地解决所有问题。因此，针对全行业的数字安全建设，中国农业银行科技与产品管理局信息安全与风险管理处处长何启翱提出，“拆墙”是大势所趋，只有打破各自为战，实现协同联防，才能共同应对时代挑战。

　　有法可依

　　近年来，我国陆续出台了《数据安全法》《个人信息保护法》《国家网络空间安全战略》以及《关键信息基础设施安全保护条例》等，为数字安全的发展指明了方向。国家信息中心国信卫士网络空间安全研究院副院长叶红表示，面对关键行业和新技术、新场景频发的安全威胁事件，持续深化安全举措，让数字安全有法可依，已经成为全球各国高度聚焦的共性课题。

　　扶助中小微

　　中小微企业作为国家经济的“毛细血管”，直接关系到国家数字化战略的成败。然而，中小微企业数字化却面临着掉队的危险。对此，中国网络安全产业联盟副秘书长许玉娜指出，扶助中小微企业构建数字安全能力的机制，建立起完善的数字产业支撑，才能为数字经济和数字中国建设保驾护航。

　　创新求变

　　创新是应对未来数字风险、保障数字经济高质量发展的关键。但在创新方向的选择上，数世咨询创始人李少鹏表达了自己的见解，数字安全的创新方向需要基于业务求变，考虑的源点应聚焦为究竟能够解决什么问题。哪怕只是专注于相对独立的局部战场，也可能挖掘出颠覆未来发展的机遇。

　　战场“炬目”

　　数字时代较为显著的特点是大量设备入网、业务和数据上云，终端作为数字化的基础节点，扮演的角色至关重要。360集团副总裁、政企安全集团首席科学家潘剑锋认为，为更好的应对网络攻击问题，终端安全必须具备看见威胁的“炬目”，第一时间“看见”威胁是打造数字安全屏障的首要条件。

　　千亿蓝海

　　《十四五数字经济发展规划》指明了数字化发展八大重点领域，其中一个领域就是着力强化数字经济安全体系。这为中国安全市场发展提供了坚实的政策基础，IDC中国副总裁兼首席分析师武连峰据研究预测，数字安全的未来市场也将因此开启千亿蓝海，成为激活数字经济的关键增量。

　　数字化基座

　　数字时代，网络安全已不再是以前的信息、网络、系统本身的安全，更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。因此，赛迪顾问高级业务总监高丹表示，网络安全需要完成向数字安全的演变，等同于数字化的“基石底座”。

　　数字安全的发展大潮中永远不缺风口与时机，ISC基于十年的积淀，不断为行业的发展点亮“灯塔”，助力更多企业抓住每个可以起飞的风口。 7月30日-8月2日，ISC 2022即将启幕，万人同频共话数字安全，为数字文明保驾护航。更多详情可关注N世界-ISC大陆（isc.n.cn），精彩不容错过！（文案：李政葳　制作：董志豪）

　　ISC互联网安全大会组委会、光明网网络安全频道联合出品

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）