9月12-13日,由国家信息中心《信息安全研究》杂志社和广州市政务服务和数据管理局主办的关键信息基础设施安全防护专家认证培训(第4期)在广东省广州市顺利召开。本次培训聚焦互联网政务应用安全,邀请政府有关部门和行业专家学者等嘉宾代表围绕数字政府建设、数据安全治理、关保攻防安全实践等议题内容展开交流,共同探索互联网政务应用的安全发展之道。
梆梆安全作为国内移动安全领域代表企业受邀参加本次会议,解决方案总监张廷伦作《互联网移动政务应用面临的新型攻击与防护实践》的主题分享,聚焦移动政务应用所面临的攻击趋势与风险挑战,从人脸识别绕过、API接口攻击、业务渠道攻击等多个热点场景进行深入剖析,并提出端到端&全渠道的互联网移动政务应用安全防护思路,实现动静结合联动协同防御,不同渠道实时联防联控,与在场嘉宾分享先进技术理念与安全场景最佳实践。
随着政务数字化建设的不断深化,各类政务服务应用应运而生。从应用形态上,已由最初的门户网站拓展到了APP、小程序、公众号等多元化的新应用形态,现在又逐步向“超级APP”的方向发展。与此同时,针对移动端的新型网络攻击层出不穷,人脸识别绕过、业务欺诈、数据泄露、渠道洗钱、盗版仿冒等安全风险随之而来,安全威胁类型也趋于多样化,包括定制ROM、云手机、注入攻击、抓包篡改等,传统WAF、API安全网关等安全机制已很难有效应对,给电子政务行业的安全防护与合规建设带来极大挑战。
监管要求持续加码
互联网移动政务应用安全建设加速
电子政务系统的安全保障对于政府的有效运作至关重要,由于政府部门在处理公共事务时涉及大量的机密和敏感信息,这些信息的安全直接关系到国家的安全、社会的稳定以及公民的隐私保护。近年来,国家在政务服务领域密集出台多项网络安全法律法规和政策文件,以对互联网政务应用进行建设指导。
2023年6月,国家信息中心牵头编制的GB/T 35282—2023《信息安全技术 电子政务移动办公系统安全技术规范》正式发布,聚焦政务办公和政务服务两大移动应用场景,重点解决政务移动办公终端、通信、接入、应用、数据等方面安全问题。标准中对政务服务移动应用管理和安全监测方面的安全技术要求如下:
1. 移动应用管理
- 应支持对政务APP进行安全防护和加固,防止受到恶意程序的破坏、破解和篡改;
- 应支持对政务APP进行安全检测和签名,并通过应用商店或授权渠道统一提供下载。
2. 安全监测
- 应支持对移动终端的网络攻击行为进行监测和告警,包括但不限于模拟器攻击、框架攻击、位置欺诈、域名欺诈等;
- 应支持对移动政务应用的异常访问和操作行为进行监测和告警,包括但不限于账户登录异常、数据下载异常、可疑网络访问、操作异常等;
- 应支持对移动政务应用程序和服务端存在的安全漏洞和脆弱性进行持续监测。
2024年5月,中央网信办、中央编办、工业和信息化部、公安部等四部门联合发布《互联网政务应用安全管理规定》,为保障互联网政务应用安全稳定运行和数据安全,强调了针对互联网政务应用的安全监测能力建设要求:
- 各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。
- 机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。
构建端到端全渠道防御体系
梆梆安全护航政务服务高质量发展
通过建设端到端全渠道的安全联动机制,实现前后端业务风险的联动机制保障未来业务安全运行,监测人脸绕过、数据泄漏、业务欺诈等黑灰产攻击,并进行此类安全事件处置、溯源,确保互联网移动政务应用安全、合规运营。
1.静态防御措施全渠道覆盖
由于线上渠道众多,且部分API接口存在多渠道API接口共用,攻击者在发起攻击时,往往会选择防护能力最弱的渠道发起攻击,故在做静态防御措施时需要针对于全渠道进行静态防御。
2.动静结合&端到端联动
动静结合的安全防御策略是一种使用广泛的安全防御思路,动态安全防御机制需要与现有的静态防御机制进行联动及协同防御。端到端的全渠道API安全防御思路中,动态防御机制需要能够:
- 实时感知客户端风险:加固破解、动态攻击等,将前端风险感知与后端流量感知结合,实现端到端的安全协同;
- 前端风险感知能力亦需要纳入当前的静态保护范围,防止被逆向分析。
3.实时防御&全渠道联动
针对前端风险的防御机制需做到实时防御,同时防御措施需要多样化,需覆盖不同业务渠道,不同渠道安全防御能力也能联防联控,如针对APP的攻击识别情报能够同步对轻应用侧协同。
方案已在包括国家多个省、市级互联网移动政务应用安全建设中落地应用,满足电子渠道攻击溯源、业务违规联动监测、便民缴费业务反洗钱、电子渠道零信任安全体系、敏感数据防泄漏等移动政务终端场景安全建设需求,合理性及适用性得到充分验证与认可,切实保障政务移动办公、公众政务服务等移动业务的安全运行,为数字政府服务的安全稳健发展提供有力支持。
随着数字技术的蓬勃发展,使得移动政务应用成为各级政府单位高效办公、服务公众的重要渠道,其面临的安全风险和挑战愈发严峻,国家也对提高互联网政务应用安全防护水平,保障和促进互联网政务应用安全稳定运行提出明确要求,数字政府安全建设任重而道远。未来,梆梆安全将继续发挥自身在网络安全中的研究积累和技术创新,不断打磨、优化安全产品与服务,为政务应用的安全运转和顺利运行提供安全防御支撑,为我国数字政府服务高质量发展保驾护航。