杨淑琴

摘要：移动互联网时代，移动App承担了人们越来越多的日常需求。但App过度授权、漏洞等问题已成为个人信息泄露的重灾区。该文通过分析App面临的各种安全问题，结合用户隐私的法律与技术保护不足，在网络空间安全应用型人才培养现状的基础上，探索在移动开发实践课程中构建安全检测App，挖掘用户隐私的技术与法律之间的关联，设计技术开发与实践教学相融合的研教一体化教学模式，进而构建新专业实践教学环境。

关键词：App;用户隐私;安全检测;教学环境

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）06-0071-02

开放科学（资源服务）标识码（OSID）：

1 研究背景

1.1 移动App面临的安全问题

随着通讯技术与智能终端的发展，人们开始通过网络利用各种App处理工作、生活中的问题，移动App应用得到了爆发式增长，带来了生活方式的质变——一机在手，万事不愁。但一些App一旦装上，用户几乎就成了透明人，没有任何隱私可言，用户隐私保护面临着严峻考验。如下载安装一个手电筒App，竟然要求获得用户通讯录、位置、录音、短信等数十项与主要功能无关的手机权限。据中国消费者协会去年发布《App个人信息泄露情况调查报告》显示，超八成受访者曾遭遇个人信息泄露问题。2018年12月以来，国家网信办针对恶意程序、违规游戏、不良学习类等移动App开展专项整治行动，关停下架33638个App。工信部点名一些金融App非法收集用户信息，也建议第三方机构对200款主流App的数据进行安全检查。

1.2 App用户隐私权保护技术与法律现状

部分App“越权”获取的用户信息与移动系统的安全漏洞，是公民个人信息泄露的主要渠道。由于技术的快速发展和法律条文的滞后性，导致现行的法律存在很多漏洞。如美国一款健身App将用户锻炼数据在网络上公布，涉嫌泄露美国涉密军事信息，与其移动设备管理条例存在漏洞有关。美国海军陆战队规定：个人佩戴设备不能带有“电信通讯、无线网、拍照、摄像、麦克风和录音”等功能，并且“即便关闭上述功能，也不能使用具备这些功能的设备”。但是根据条例，士兵可以使用有蓝牙以及GPS功能的设备，而斯特拉瓦公司正是通过GPS获得的数据[1]。

隐私权是一项公民基本权利，需要完善的法律与成熟的技术共同来保护。如我国《网络安全法》、欧盟的GDPR（欧洲通用数据保护条例）都明确规定网络产品和服务提供者保护个人隐私的安全义务。但如何界定服务提供者的义务与权利边界，如何落实App用户的知情权，如何设置用户数据的安全技术边界，是目前法律和技术面临的共同问题。

1.3 移动App安全检测技术的现状

与传统的web服务具有系统完善的防御技术、人机协防和措施，拥有深不见底的纵深防御体系不同，移动App一般通过API方式与服务器交互，保护措施不完善，同时移动用户保护意识与专业知识欠缺，难以使用传统技术来保护自己的隐私。

当前App安全研究主要集中在客户端、服务器端和通信端三个方面，尤其是集中在服务器端。如，北京邮电大学刘军的《基于HTML5的Web应用安全漏洞检测工具的设计与实现》是站在攻击者的角度探讨web应用安全的漏洞检测方案，Jasmeen Saini的Security Protocol of Social Payment Apps讨论协议安全问题，Neha Mudgal的SteganoCrypt： An App for Secure Communication[2]讨论LBS中的通信安全问题，PowerUpSQL可以导出windows登录密码，但它依赖于.NET空间环境来执行，移动终端难以使用这种庞大的环境。许多对基于移动端内容安全的研究还局限于理论上，如高攀《深入分析 HTML 5 在信息安全上的优化》[3]探讨HTML5新标签的应用和在搜索引擎中的优化，张舒《2018 年度国内外网络空间安全形势回顾》[1]，司春磊《新时代我国网络空间安全面临的挑战及应对》[4]都是一种综述性文章，主要是从理论层面、法律层面和国家层面来探讨网络安全。

2 安全检测技术与隐私权保护统一性研究

2.1 移动应用安全检测App研究与开发的意义

移动应用App对隐私安全方面的威胁主要体现在本地，让每个人都知晓安全并利用带有安全检测技术的App（简称移动应用安全检测App）为用户提供全方位、智能化安全检测技术和傻瓜化、简单易用的隐私安全保护措施，保护用户的数据隐私，具有一定的学术价值和较好的实践意义。

移动应用安全检测App的开发需要一个动态的、不断完善的进程。首先，需要建立开放平台，动态跟踪开发App安全检测技术，探索网络检测安全新技术在普通院校教学中的落地与实施，开发出满足一般民众需要的安全检测App，持续不断地适应社会的新需求与变化。其次，网络安全与用户隐私保护，人是第一位的。2015年6月，国务院学位委员会决定在“工学”门类下增设“网络空间安全”一级学科。据统计，目前网络安全人才总需求高达70万，但高校相关的安全人才仅3万余人。2018年全国有126所高校设立143个网络安全相关专业，但也仅有30所院校开设了网络空间安全专业，培养数量和质量远远都不能满足社会需求，网络空间安全人才缺口巨大[5]。

2.2 开发移动安全检测App的研究与开发的可行性

山东政法学院是一所具有法律特色的院校，有得天独厚的法律专业人才和资源优势，其所下设的网络空间安全学院理应依托学院法律特色，充分利用学校的人才和资源优势，努力探索网络安全实战应用型人才培养的新模式，承担起重点培养具有法律专长的网络空间安全人才的重任。

2.2.1 探索all-in-one移动安全内容框架

在安全检测、功能分析和准确性验证基础上，参照开源MobSF（mobile security framework）移动安全测试框架，进行检测安全的理论分析，探索all-in-one移动安全检测框架的构建。

2.2.2 促进技术与法律法规的融合，探索具有政法院校特色的网络空间专业办学环境

人才培养不仅仅需要理论上的传授，还需要大量的动手实践，需要进行案例教学、对抗磨炼、知识融合，让学生在HTML5开发实践中分析安全威胁;通过安全检测App的实现，还能进一步打通基础知识之间的壁垒，提升学生的系统认知和系统分析能力，开辟学生成长的新路径。

为了更好地体现政法学院法学背景，利用学院的法律法规数据库资源，开发动态验证App法律许可情况的数据库。App中可以将需要安装的App与国家法律法规库相连接，动态实时验证是否通过了国家相关法规的认证或许可。

3 移动App安全检测技术的实现与实践教学环境的构建

3.1 传统的网络安全教学方式与社会需求之间的矛盾

网络安全教学跟不上社会需求的变化，如数据库应用主要讲关系模型的SQL基本技术，而在移动环境下NoSQL盛行，造成传统的数据库开发与移动资源整合能力不足。软件开发环境已经向移动化方向深入发展，如互联网超级英雄flash到2020年便不再更新，Flash Builder更名为Adobe Animate CC，加入对HTML5的支持。HTML5移动开发技术与传统的Flash相比，具有效率更高、安全性更好、不需安装插件就可运行，对设备支持更加友好，具有广泛的适应性[6-7]。这些都说明移动平台开发环境都在发生改变。

学生实践教学环节需要移动开发环境。每年网络空间安全学院的学生完成毕业设计时，往往缺乏合适的平台环境支持，如数据库安全方向的平台需要VS+SQL环境，但该环境不仅体积庞大、配置困难，也难以向移动端迁移。适应社会需求和教学实际需要，网络空间安全学院的教学体系和实验室环境应该向以App应用、App安全为主体转移。

3.2 网络安全应用型人才实践教学的技术实现模块

依托山东政法学院的法律背景，在引进《HTML5移动开发》课程的基础上，结合《基于H5的应用安全检测App的开发研究》项目，分析HTML5面临的安全威胁与移动App内容检测的功能需求，进一步建立App应用的逻辑框架和功能模块，如图1所示。

1） 漏洞安全检测模块：提供漏洞检测、分析、统计与补救措施。

2） 入侵渗透测试模块：模拟最常见的网络渗透技术，识别连接设备并获取设备的细节，检测安全性的薄弱环节，关闭不安全开放端口等。

3） 本地数据安全分析模块：通过代码审计、配置验证、内容安全保护等技术，对本地数据存储进行验证和自动检测。

4） 代码安全测试模块：提供App源码加固措施，比如APK加密、代码混淆等措施。

5） 运行权限检测、保护与修复模块，自动进行用户权限获取情况检测、保护和修复。

6） 简单易用的可视化报告模块：一键生成可视化的安全威胁报告，让用户了解需要安装APK和正在运行的App基本情况。

采用模块化的设计，动态跟踪各种安全隐患的变化，提供完善的移动App安全检测、修复功能，并提供可视化的检测结果。一款App在安装前就要检验软件的安全性并在运行时实时监测其权限获取情况。

3.3 安全检测App可能存在问题及解决思路

先期主要开发Android和ios主流版本应用，利用HTMl5跨平台性的优势，逐步修改推广到PAD或其他系统中，解决App在不同类型智能终端的适应性问题。其次，根据硬件系统API接口，搜集可用信息，获取用户最大授权权限。最后，根据对漏洞、入侵检测等修复后的结果，反复调整系统功能，提升软件的运行效率和準确性，修复App的运行准确性和效率问题。

4 移动应用安全检测App实践教学模式探讨

将开发App融入教学体系中，不仅能让教学贴近实际业务，提升学生的学习兴趣，培养学生的动手能力，还能进一步让学生加深对安全理论和安全原理的理解。

4.1 科教融合的教学环境

借助于科研项目的框架体系，跟踪最前沿的社会需求和技术发展，让学生通过某一功能模块的开发和接口汇总，形成功能强大的安全检测App，探索寓学于研教学模式在网络空间安全课程中的应用，进一步促进科研与教学融合[8]。

4.2 知识融合与迁移的教学环境

安全开发涉及内容众多，在传统理论中各安全理论是相互分离的，比如漏洞挖掘、渗透攻击是攻防类知识;程序开发是开发类的知识，管理运维也需要专门的知识支撑，通过一个集成各功能的App，可以打通知识间的壁垒，促进学生的知识迁移与融合，同时也有利于将传统的PC服务向移动端扩展、转移，与专业培养目标一致，符合学生个性化发展的需要，更好地满足社会发展需求，支持学生的专业发展与就业。

4.3 以技能比赛引领专业课程环境构建

引导学生参加安全竞赛，通过“人人对抗”“人机对抗”的方式，更好地跟踪安全技术的新发展，探索竞赛模式在网络空间安全课程中的应用，进一步促进社会需求与实践教学的交互融合，更好地满足社会的新需求[9]。

参考文献：

[1] 张舒，李淼.2018年度国内外网络空间安全形势回顾[J].信息安全与通信保密，2019，17（1）：32-42.

[2] Mudgal N.SteganoCrypt：An App for Secure Communication[J].Soft Computing： Theories and Applications，2018，584：59-66.

[3] 高攀，施蔚然.深入分析HTML5在信息安全上的优化[J].信息安全与技术，2012，3（8）：83-84，87.

[4] 司春磊，陈晶晶.新时代我国网络空间安全面临的挑战及应对[J].人民法治，2019（3）：11-16.

[5] 李建华，邱卫东，孟魁，等.网络空间安全一级学科内涵建设和人才培养思考[J].信息安全研究，2015，1（2）：149-154.

[6] Dwivedi H，Clark C，Thiel D.移动应用安全[M].李祥军，罗熊，译.北京：电子工业出版社，2012.

[7] 刘军.基于HTML5的Web应用安全漏洞检测工具的设计与实现[D].北京：北京邮电大学，2017.

[8] 伍前红，王明明，刘建伟，等.寓学于研教学模式在“网络空间安全”课程中的应用探索[J].工业和信息化教育，2019（4）：71-75.

[9] 吴燕.以技能比赛引领中职网络与信息安全专业课程设置的研究[J].电子世界，2019（8）：39-40.

【通联编辑：代影】