网易科技讯 9月13日消息,国家互联网应急中心运行部主任、网络与信息安全工作委员会秘书长王明华今日透露,国家互联网应急中心正在制定《移动互联网恶意程序黑名单规范》和《移动互联网应用自律白名单规范》,白名单工作组首批成员包括奇虎360、腾讯、网秦、百度、金山、安管佳、联想、趋势科技、恒安嘉新、瑞星、安天。

国家互联网应急中心(CNCERT)是工业和信息化部领导下的国家级网络安全应急机构,王明华表示,针对恶意手机程序泛滥的现状,CNCERT正在制定黑白名单规范,标准出台后安全厂商、运营商、应用商店等可根据黑名单内容,直接在底层对恶意软件进行屏蔽,从移动互联网应用程序的源头和重点两个主要关口实现对恶意程序的有效治理。

据了解,工信部上线了两大平台对恶意程序进行鉴定:移动互联网恶意程序公共报送平台和应用商店APP报送平台,现在已经有34家主流应用商店进行常态化APP报送,已经累计检测了700万个APP。

王明华介绍,CNCERT对白名单的制定与执行进行指导和监督,具备对白名单的最终审核权,白名单的流程包括注册、推荐、审查、发布、报备和监督。

据了解,申请白名单的应用程序数字证书有效期必须大于两年,企业注册资本必须大于500万,成立时间须大于3年,注册后需要得到两家中国反网络病毒联盟(ANVA)的推荐信,CNCERT将组织不少于3家的联盟成员相对独立的对应用程序进行检测,初审通过后CNCERT进行终审,进入白名单后应用程序在执行过程中使用与白名单中数字证书相匹配的私钥,对报备的移动互联网应用程序进行签名,应用商店须阻止同名但是数字签名不同的应用提交。

王明华表示,CNCERT将设立举报通道,如果白名单成员确实存在违规行为将除名,若存在严重违规行为将剥夺该企业再次申请加入白名单的资格并将违规行为进行公示。

首批白名单工作组成员包括奇虎360、腾讯、网秦、百度、金山、安管佳、联想、趋势科技、恒安嘉新、瑞星、安天,工作组将参与白名单成员审核等工作。

电信研究院安全所移动应用和智能终端安全部主任潘娟表示,移动互联网安全问题日益严峻,2013年上半年被查杀的手机恶意软件达51084款,感染的手机到达2102万部,同时移动互联网安全问题涉及到芯片、操作系统、应用软件、应用商店、云平台数据等多个环节,已经形成黑色产业链。

今年6月安卓平台曝出签名漏洞,恶意软件制造者可以利用漏洞向APP植入恶意程序,并不改变APP原有数字签名,欺骗用户安装,用户无法区别真假。王明华表示,CNCERT7月底的时候检测第三方应用商店安卓网有6644个应用全部被植入skullkey扣费木马,累计传播次数超过200万次。

CNCERT数据显示,去年我国移动互联网恶意代码中,恶意扣费是占比最大的威胁,达到了39.8%,其次是流氓行为,占到了27.7%,恶意程序主要集中在安卓平台,占到全部恶意程序的82.5%。(顾晓波)