1.一种针对移动终端应用软件的个人信息安全保护方法,其特征在于,包括:
s1:根据应用软件(app)涉及个人信息安全的应用行为和影响因素,生成应用软件(app)的个人信息安全计算策略;
s2:移动终端安装新的应用软件(app)时,根据所述个人信息安全计算策略,计算当前安装的应用软件(app)的个人信息安全威胁值;
s3:利用所述个人信息安全威胁值,确定当前安装的应用软件(app)所对应的个人信息安全威胁等级,根据所述个人信息安全威胁等级控制所述当前安装的应用软件(app)各项功能的使用权限。
2.根据权利要求1所述的方法,其中,所述s1:根据应用软件(app)涉及个人信息安全的应用行为和影响因素,生成应用软件(app)的个人信息安全计算策略,具体包括:
s1-1:确定应用软件涉及个人信息安全的应用行为:
s1-1-1:获取手机操作系统自定义的危险权限;
s1-1-2:获取应用软件所属应用商店确定的隐私权限;
s1-1-3:根据所述自定义的危险权限和应用商店确定的隐私权限,确定应用软件涉及个人信息安全的n个应用行为mi,(i=1,2,…,n);
其中,所确定的涉及个人信息安全的n个应用行为至少包括:访问通讯录、读取短信/彩信、访问通话记录、获取通话状态和来电号码、获取本机识别码、读取日历数据、获取精确地理位置、获取粗略地理位置、调用摄像头、启用录音、读取和传输存储数据、获取已安装应用程序列表、重启、关机、网络连接和流量进出;
s1-2:将应用行为mi根据不同的危险等级划分为三类,各自赋予不同的危险基础值α:
一级危险应用行为,危险基础值设置为α1,至少包括:重启、关机、网络连接和流量进出、获取本机识别码、读取/传输存储数据;
二级危险应用行为,危险基础值设置为α2,至少包括:访问通讯录、读取短信/彩信、访问通话记录、获取通话状态和来电号码、获取精确地理位置、调用摄像头、启用录音;
三级危险应用行为,危险基础值设置为α3,至少包括:读取日历数据、获取粗略地理位置、获取已安装应用程序列表;
s1-3:确定涉及个人信息安全的影响因素,根据影响因素设置应用行为的安全保护权重β;
s1-4:计算应用软件的个人信息安全威胁值;
公式中:v是应用软件的个人信息安全威胁值,分数越高,所述应用软件在保护其处理个人信息或个人敏感信息方面能力越弱,对个人信息安全的威胁性越高;l是调节系数;αjmi是第i个应用行为mi(i=1,2,…,n)所对应的危险基础值αj(j=1,2,3);β1,β2,β2,β4是根据影响因素设置的第i个应用行为mi的四项安全保护权重。
3.根据权利要求2所述的方法,其中,一级危险应用行为的危险基础值α1设置为3;二级危险应用行为的危险基础值α2设置为2;三级危险应用行为的危险基础值α3设置为1。
4.根据权利要求1所述的方法,其中,s3:利用所述个人信息安全威胁值,确定当前安装的应用软件(app)所对应的个人信息安全威胁等级,具体包括:
s3-1:根据历史统计数据,将应用软件的个人信息安全威胁等级分为3个等级:
a级,个人信息安全威胁值小于或等于v1,用绿色标识;
b级,个人信息安全威胁值大于v1且小于或等于v2,用蓝色标识;
c级,个人信息安全威胁值大于v2,用红色标识;
其中,v1,v2为根据历史统计数据确定的等级分界点,v1<v2;
s3-2:对于当前安装的应用软件,根据其个人信息安全威胁值,对比上述等级划分,判断其个人信息安全威胁等级;
其中,s3:根据所述个人信息安全威胁等级控制所述当前安装的应用软件(app)各项功能的使用权限,具体包括:
所述当前安装的应用软件执行一应用行为以调用对应功能时,查看所述应用软件的个人信息安全威胁等级;若为a级,则允许所述应用软件调用该功能;若为b级,则弹出选择框,由用户选择是否允许所述应用软件调用该功能,再根据用户的选择允许或拒绝应用软件调用该功能;若为c级,则拒绝应用软件调用该功能,忽略此应用行为对该应用软件执行后续操作。
5.根据权利要求2所述的方法,其中,s1-3:确定涉及个人信息安全的影响因素,根据影响因素设置应用行为的安全保护权重β,具体包括:
s1-3-1:判断应用行为是否符合行业标准;如果是,第一安全保护权重β1设置为0.1,否则,设置为0.25;
s1-3-2:判断个人信息政策展示和授权告知方式是否符合预设标准;如果是,第二安全保护权重β2设置为0.1,否则,设置为0.25;
s1-3-3:判断个人信息政策内容是否符合预设标准;如果是,第三安全保护权重β3设置为0.1,否则,设置为0.25;
s1-3-4:判断产品功能和核心功能的运行是否符合隐私政策;如果是,第四安全保护权重β4设置为0.1,否则,设置为0.25。
6.一种针对移动终端应用软件的个人信息安全保护系统,其特征在于,包括:
策略单元:用于根据应用软件(app)涉及个人信息安全的应用行为和影响因素,生成应用软件(app)的个人信息安全计算策略;
计算单元:用于移动终端安装新的应用软件(app)时,根据所述个人信息安全计算策略,计算当前安装的应用软件(app)的个人信息安全威胁值;
控制单元:用于利用所述个人信息安全威胁值,确定当前安装的应用软件(app)所对应的个人信息安全威胁等级,根据所述个人信息安全威胁等级控制所述当前安装的应用软件(app)各项功能的使用权限。
7.根据权利要求6所述的系统,其中,所述策略单元:用于根据应用软件(app)涉及个人信息安全的应用行为和影响因素,生成应用软件(app)的个人信息安全计算策略,具体包括:
行为确定单元:用于确定应用软件涉及个人信息安全的应用行为:
危险权限获取单元:用于获取手机操作系统自定义的危险权限;
隐私权限获取单元:用于获取应用软件所属应用商店确定的隐私权限;
应用行为获取单元:用于根据所述自定义的危险权限和应用商店确定的隐私权限,确定应用软件涉及个人信息安全的n个应用行为mi,(i=1,2,…,n);
其中,所确定的涉及个人信息安全的n个应用行为至少包括:访问通讯录、读取短信/彩信、访问通话记录、获取通话状态和来电号码、获取本机识别码、读取日历数据、获取精确地理位置、获取粗略地理位置、调用摄像头、启用录音、读取和传输存储数据、获取已安装应用程序列表、重启、关机、网络连接和流量进出;
行为划分单元:用于将应用行为mi根据不同的危险等级划分为三类,各自赋予不同的危险基础值α:
一级危险应用行为,危险基础值设置为α1,至少包括:重启、关机、网络连接和流量进出、获取本机识别码、读取/传输存储数据;
二级危险应用行为,危险基础值设置为α2,至少包括:访问通讯录、读取短信/彩信、访问通话记录、获取通话状态和来电号码、获取精确地理位置、调用摄像头、启用录音;
三级危险应用行为,危险基础值设置为α3,至少包括:读取日历数据、获取粗略地理位置、获取已安装应用程序列表;
影响判断单元:用于确定涉及个人信息安全的影响因素,根据影响因素设置应用行为的安全保护权重β;
威胁计算单元:用于计算应用软件的个人信息安全威胁值;
公式中:v是应用软件的个人信息安全威胁值,分数越高,所述应用软件在保护其处理个人信息或个人敏感信息方面能力越弱,对个人信息安全的威胁性越高;l是调节系数;αjmi是第i个应用行为mi(i=1,2,…,n)所对应的危险基础值αj(j=1,2,3);β1,β2,β2,β4是根据影响因素设置的第i个应用行为mi的四项安全保护权重。
8.根据权利要求7所述的系统,其中,一级危险应用行为的危险基础值α1设置为3;二级危险应用行为的危险基础值α2设置为2;三级危险应用行为的危险基础值α3设置为1。
9.根据权利要求6所述的系统,其中,控制单元:利用所述个人信息安全威胁值,确定当前安装的应用软件(app)所对应的个人信息安全威胁等级,具体包括:
等级划分单元:用于根据历史统计数据,将应用软件的个人信息安全威胁等级分为3个等级:
a级,个人信息安全威胁值小于或等于v1,用绿色标识;
b级,个人信息安全威胁值大于v1且小于或等于v2,用蓝色标识;
c级,个人信息安全威胁值大于v2,用红色标识;
其中,v1,v2为根据历史统计数据确定的等级分界点,v1<v2;
等级判断单元:用于对于当前安装的应用软件,根据其个人信息安全威胁值,对比上述等级划分,判断其个人信息安全威胁等级;
其中,控制单元:根据所述个人信息安全威胁等级控制所述当前安装的应用软件(app)各项功能的使用权限,具体包括:
所述当前安装的应用软件执行一应用行为以调用对应功能时,查看所述应用软件的个人信息安全威胁等级;若为a级,则允许所述应用软件调用该功能;若为b级,则弹出选择框,由用户选择是否允许所述应用软件调用该功能,再根据用户的选择允许或拒绝应用软件调用该功能;若为c级,则拒绝应用软件调用该功能,忽略此应用行为对该应用软件执行后续操作。
10.根据权利要求7所述的系统,其中,所述影响判断单元:用于确定涉及个人信息安全的影响因素,根据影响因素设置应用行为的安全保护权重β,具体包括:
第一判断单元:用于判断应用行为是否符合行业标准;如果是,第一安全保护权重β1设置为0.1,否则,设置为0.25;
第二判断单元:用于判断个人信息政策展示和授权告知方式是否符合预设标准;如果是,第二安全保护权重β2设置为0.1,否则,设置为0.25;
第三判断单元:用于判断个人信息政策内容是否符合预设标准;如果是,第三安全保护权重β3设置为0.1,否则,设置为0.25;
第四判断单元:用于判断产品功能和核心功能的运行是否符合隐私政策;如果是,第四安全保护权重β4设置为0.1,否则,设置为0.25。