第19届中国—东盟博览会圆满举办，梆梆安全创始人受邀发表主题演讲

第19届中国—东盟博览会于2022年9月16日—19日在广西南宁隆重举行。第5届中国—东盟信息港论坛作为博览会高层论坛，由中国国家互联网信息办公室、国家发展和改革委员会、工业和信息化部及广西壮族自治区人民政府共同主办。中国—东盟数字安全论坛为专业分论坛之一，梆梆安全创始人、董事长兼CEO阚志刚受邀参加并发表《为电子政务超级APP保驾护航》的主题演讲。

本次数字安全论坛以“筑牢数字安全屏障，护航数字丝绸之路”为主题，聚焦网络安全和数据安全，共同探讨网络安全领域的法律、技术和产品发展的新形势、新动态，搭建生态合作、互利共赢平台，提升数字安全防护能力。

我国电子政务发展指数从 2018 年的 0.68 提高到 2020 年的 0.79，排名比 2018 年提升了 20 位，位列45 位，取得历史新高。作为衡量国家电子政务发展水平核心指标的“在线服务指数”上升为 0.91，指数排名大幅提升至全球第 9 位。究其原因，与我国大力推动全国一体化政务服务平台建设密不可分。

目前围绕电子政务服务的APP种类众多，为进一步提升电子政务APP的服务质量和统一性，未来在数字政府建设中，要把构建超级APP作为重要抓手。在数字安全论坛上，梆梆安全创始人、董事长兼CEO阚志刚从电子政务超级APP的安全风险、安全建设及解决方案等多角度进行分享。

“超级APP”作为电子政务服务的总门户、应用场景的集结地、便民利民的大通道，以及政府、市场、社会协作的大平台，应重视解决APP运行中的突出问题，如标准不一、各自为政、缺乏整合、个人信息外泄、缺乏有效监督等；同时，进行大规模整合，围绕政务服务、民生服务及百姓生活服务等，整合政府、企业、社会等各类与公众服务管理密切相关的APP，破除不同机构属性之间的制度和机制壁垒，以便民、利民为价值导向，确定应用的领域和事项，其中政务服务、公共企业服务、医疗、交通出行、教育以及公共安全等要走在前列。

电子政务超级APP安全风险

随着移动互联网的快速发展，应用商店内的移动应用日益丰富的同时，其安全防护程度也因应用的复杂度不同而参差不齐。政务类超级APP本质上是一个宿主移动应用和一系列小程序的聚合形态。这就意味着，政务类超级APP除了传统移动应用的固有安全风险，也因引入集成小程序增加了额外的安全风险。主要存在以下五个方面风险：

1. 数据传输安全：第三方小程序跟宿主APP进行数据传输通信时，需要与超级APP采用一致的防护措施，以防出现第三方传输的数据安全风险；

2. 程序入口安全：数据开放给第三方的API接口，攻击者通过模拟器、自动化脚本等多种不同形式进行各种自动化业务攻击，从而引发数据爬取、撞库攻击等安全问题；

3. 数据存储安全：数据共享给第三方应用后，数据在不可信环境下的安全存储问题；

4. 第三方程序自身安全：第三方程序易被逆向、代码盗用、从而将导致用户敏感信息泄露、数据篡改以及病毒植入等风险；

5. 运行安全：第三方程序在实际运行时，由于缺乏安全监测手段，无法感知是否存在攻击者、自动化脚本等攻击的存在。

电子政务超级APP安全建设原则

在面临严峻挑战的局面下，梆梆安全提出了电子政务超级APP的三点安全建设原则。

1. 防范政务APP的风险：超级APP是以一个独立的APP形态出现在各大应用市场，应优先满足监管合规需求。针对政务APP不同生命周期阶段的风险特点，APP应具备对安全漏洞、隐私合规问题基础的检测和防护能力。

2. 应对政务超级APP风险：在防范APP自身风险的同时，对引入的第三方程序（小程序/H5）进行安全准入管理，如安全检测、隐私合规检测以及基本的安全加固防护。

3. 遵从《全国一体化政务服务平台移动端建设指南》：

综合利用密码技术、安全审计等手段强化安全保障和风险防控能力，构建全方位、多层次、一致性的防护体系——即采用加固/加密、安全检测等技术手段。
加强数据安全管理，强化用户隐私保护，严格规范用户信息采集，保障用户知情权、选择权和隐私权——即采用个人隐私合规咨询服务等方式。

电子政务超级APP安全解决方案

梆梆安全结合自身在移动安全领域深耕十余年的行业经验，推出了全生命周期的电子政务超级APP安全解决方案。整体方案通过事前检测、事中防护以及事后监测三大阶段，满足宿主APP和引入小程序的全生命周期安全需求。

事前检测阶段

A. 为宿主APP提供Android、iOS应用的安全检测服务，以及个人信息合规咨询服务，提前发现宿主APP的安全漏洞和个人信息合规问题并提供整改咨询服务，避免出现应用因不合规被通报下架的情况。

B. 为引入的小程序、H5应用提供合规及准入检测，包括：小程序安全检测、H5安全检测以及个人信息合规咨询。确保引入的小程序、H5应用不存在安全漏洞和个人信息合规风险。

事中防护阶段

A. 为宿主APP提供Android和iOS应用安全加固，帮助开发者解决代码反编译、动态调试等问题，保护APP内的核心算法、代码、数据等知识产权内容不被窃取、盗用。

B. 为引入的小程序、H5应用提供小程序安全加固和H5安全加固，为引入的小程序、H5应用提供针对性的安全准入防护手段。

事后监测阶段

A. 通过在宿主APP及引入的小程序、H5应用里植入探针的形式，对应用运行过程及运行环境进行全方位实时监测，及时发现运行时的未授权渗透、恶意攻击、数据爬取等行为，并做出适当响应。

B. 通过渠道监测平台对应用市场内出现的盗版、仿冒应用进行预警下架，避免山寨应用混淆视听，损害政府公信力。

随着“互联网+政务服务”的不断推进，各省市电子政务超级APP功能不断完善，并进一步加强相应的安全保障工作。梆梆安全在电子政务领域积累了丰富的项目经验，通过移动应用安全监测、安全测评、安全合规、应用加固等产品及服务保障了包括国家政务服务平台APP、个人所得税APP等在内的众多移动应用的安全平稳运行，并多次在国际和国家重要会议活动上承担移动安全重点保障工作。未来，梆梆安全将持续关注并着力解决移动应用的生态治理问题，为电子政务的可持续发展保驾护航。