2024年11月8日,以“数据要素驱动高质量发展”为主题的第六届数字发展论坛在北京成功召开,论坛由中国互联网协会主办,中国互联网协会数字化转型与发展工作委员会、伏羲智库承办,中国科学院计算技术研究所、清华大学公共管理学院、清华大学互联网治理研究中心提供学术支持。
围绕服务经济、工业转型、数字政务、数字社会、数字文明、智能城市、基础设施、数字农业等八个主题召开分论坛,分论坛邀请到政产学研等各个领域的近三十位资深专家,梆梆安全资深安全专家张裕受邀出席并发表《政务服务移动应用安全体系建设》主题演讲,共同探讨政务服务应用安全体系建设与实践应用。
政务服务移动应用安全体系建设
梆梆安全资深安全专家张裕表示,随着政务移动互联网应用的快速发展,移动端应用的数量和业务丰富度爆发式增长。与此同时,移动终端面临的安全威胁种类和数量也在不断增多,手机操作系统漏洞,不可预知的业务逻辑缺陷,运行时的动态攻击,虚假设备,地下黑产等各类攻击手段,严重影响用户数据安全及合法权益。
同时,国家出台各项政策法规要求政务服务平台应加强移动端安全防护工作。2023年6月,国家信息中心牵头编制的GB/T 35282—2023《信息安全技术 电子政务移动办公系统安全技术规范》对政务服务移动应用管理和安全监测两个方面提出要求,应支持对政务APP进行安全防护、加固、安全检测和签名,防止受到恶意程序的破坏、破解和篡改;应支持对移动终端的网络攻击行为进行监测和告警。
政务移动应用“端到端” 安全建设
梆梆安全政务服务移动应用安全体系建设方案采用动静结合实时防御的安全防御策略,动态安全防御机制与现有的静态防御机制进行联动及协同防御。通过政务服务移动应用安全保障体系建设,实现以下效果:
1.实时感知客户端风险,包括移动应用加固破解、动态攻击等;将前端风险感知与后端流量感知相结合,实现端到端的安全协同;
2.前端风险感知能力亦需要纳入当前的静态保护范围,防止被逆向分析;
3.针对前端风险的防御机制做到实时防御,同时覆盖不同业务渠道,不同渠道安全防御做到联防联控;
助力经济社会数字化转型特色案例
在“互联网助力经济社会数字化转型”案例征集发布环节,根据专家评审结果,中国互联网协会副理事长,伏羲智库创始人、主任李晓东教授公布了2024“互联网助力经济社会数字化转型”中国互联网协会特别推荐案例与特色案例,梆梆安全“政务服务移动应用安全体系建设”入选中国互联网协会2024年度互联网助力经济社会数字化转型特色案例。
该案例为某省级政务移动应用“某事办”,作为某省全省各部门政务服务的“一站式直达”应用,承载政务服务移动端平台的全部功能,承建单位应提供针对客户端的安全检测、安全防护、安全监测能力,确保移动应用客户端的应用安全、数据安全、通信安全、身份认证安全、个人信息安全;某事办”安全管理监控能力较弱,缺少自动化的移动应用安全监控、预警能力。
梆梆安全为“某事办”提出“事前提高安全等级+事中实时监测响应+事后违规事件溯源”的移动应用全生命周期解决方案,从终端、应用、业务、数据等方面,全面构建政务服务应用应用的安全体系。
对移动应用上线前进行合规检测、安全检测及安全加固,“某事办”移动应用内禁止截屏、录屏等权限控制功能,实现防止数据通过截屏/录屏泄漏;进行账号与手机设备进行绑定,防止重要账号被盗用,防止泄露数据。
移动应用上线后,通过移动应用威胁感知平台,发现移动应用运行过程中遭受到的攻击与威胁;检测到风险后,进行定位、阻断、溯源,全方位保护移动应用安全。
前三个月服务期间,根据平台策略安全配置规则(威胁程度、监测范围)对攻击数据进行处理后,总共监测到威胁总数共510019次,影响设备数为156510台,影响设备率6.85%;针对于此次巡检分析,筛选出典型设备攻击示例,分别为人脸绕过攻击和渗透测试攻击。
携手共进 共创未来
在创建“数字中国”的远大目标下,我国法律法规以及监管执法的落地技术手段将不断完善。作为政务服务应用的开发者、运营者,应以长远目光结合体系化建设思路看待政务服务移动应用安全建设。未来,梆梆安全将在政务服务移动应用安全的路上,打造移动应用安全盾牌,不断完善移动安全体系,为政务应用的安全运转和顺利运行提供安全防御支撑,为我国电子政务服务业务发展保驾护航。
近日,在工业和信息化部等主管部门指导下,依托备案管理系统中的相关数据,以及相关互联网接入企业及互联网安全企业的研究数据,中国互联网协会正式发布《中国互联网站与移动应用现状及其安全报告(2024)》。梆梆安全作为移动安全领域唯一编委企业,独家编撰年度移动应用安全技术分析相关内容,连续三年参与本报告编撰工作。
报告从中国网站的发展规模、组成结构、功能特征、地域分布、接入服务、安全威胁和安全防护等方面对中国网站发展作出分析,引导互联网产业发展与投资,保护网民权益及财产安全,提升中国互联网站安全总体防护水平,是国内针对中国移动互联网发展状况及其安全的顶级、专业、权威研究报告。
报告对中国网站总量、中国网站分布情况、网站主办者组成情况、网站所使用的独立域名、全国移动应用概况、全国移动APP安全分析概况等方面进行了全面、深入的统计、分析和研究。全书包括2023年中国网站发展概况、中国网站及域名分类情况分析、全国移动应用概况、全国移动APP安全分析概况、企业网站安全专题等方面的内容。
梆梆安全基于多年来在移动应用安全领域的深厚积累,对2023年「全国移动应用概况」和「全国移动 APP 安全分析概况」做了系统性分析,从风险数据综合统计、漏洞风险、盗版(仿冒)风险、境外数据传输、个人隐私违规、第三方 SDK 风险、应用加固现状七个方面总结全国移动应用态势,提供移动应用安全建设思路。
APP已成为用户最依赖的互联网入口,数据违规收集、数据恶意滥用、数据非法获取、数据恶意传播等移动安全风险日益凸显,严重威胁个人信息及财产安全。梆梆安全作为移动应用安全的“守门员”,真正为客户提供APP全生命周期的安全解决方案,形成了从保护、加固、检测、监管、测评、响应的“完整移动应用安全闭环”,确保上线APP安全合规。