政务类移动应用风险监测解决方案发布！协助落实四部委要求！

随着互联网技术的快速发展，互联网政务应用已成为各级党政机关和事业单位（简称机关事业单位）提供公共服务、推动政务公开、增强政民互动的重要渠道。然而，互联网政务应用的安全问题也日益凸显，如内容篡改、攻击致瘫、数据窃取等风险，严重威胁着互联网政务应用的稳定运行和数据安全。

近年来，部分APP存在过度收集“通讯录”“位置”等用户隐私信息的现象，互联网政务应用也不例外，很容易成为黑客发布诋毁信息或盗取用户信息的“帮凶”，在用户不了解的情况下，对政府造成影响。甚至有可能造成严重的安全事件，例如利用虚假的政务App实施贷款诈骗的犯罪。为此中央网信办、中央编办、工业和信息化部、公安部制定了《互联网政务应用安全管理规定》，该法规将于2024年7月1日正式实施，各级机关事业单位应对照《规定》进行自查，于2024年年底前完成问题整改。爱加密已针对该文进行解读，可点击下图查看详情。

互联网政务应用功能较多，品类不同，基层工作人员疲于应付。制定一套合理有效的解决方案，是解决目前互联网政务应用安全的首要大事。在四部委制定的《互联网政务应用安全管理规定》的大略方针下，爱加密运用多年移动应用安全技术积累结合政务类应用特点制定了《政务类移动应用风险监测解决方案》。

——

解决方案

爱加密政务类移动应用风险监测解决方案，旨在配合监管机构全面贯彻落实《互联网政务应用安全管理规定》下，通过技术手段，对政务类App的开发、测试、发布、运营、下架等全生命周期的信息安全、网络和数据安全等方面进行监测，确保互联网政务应用的安全稳定运行和数据安全。

政务类App的摸排服务

政务类移动应用程序的分发应严格遵循规范流程，仅在经过备案的权威应用程序分发平台或机关事业单位官方网站上提供，并且确保各平台所发布的最新应用版本一致。未经授权传播的分发平台应当要求其下架，避免误导公众下载到仿冒盗版应用。确保公众能够从可信渠道获取到最新、最安全的政务应用，有效避免从非法或未经授权的平台下载到潜在的仿冒或盗版应用。

爱加密监测1900+个海内外的应用分发渠道，实时对新上架、更新的应用进行信息采集，通过对安装包的应用名称、包名、签名、接入域名ip、文件MD5、sha256等提取识别，帮助机关事业单位及时掌握自己或区域内的资产数量（包括已知和未知）、版本、发布渠道、机构名称、备案等发布是否规范、信息是否一致。

督促备案及备案状态监测

通过对国家党政机关事业单位移动互联网应用标识识别，能够对已经取得标识及未取得标识的应用区分展示，便于督促未取得标识的移动应用主体单位完善标识的申请和展现。对党政类移动应用请求的域名分析，确保使用“.gov.cn”或“.政务”的域名。同时预警是否存在非政务类App使用“.gov.cn”或“.政务”的风险。

漏洞风险监测

爱加密移动应用安全检测分为静态分析和动态分析，对政务类移动应用中存在的多项风险点进行全面深入检测，提供给出专业的安全检测报告。

静态检测：在不运行移动应用代码的情况下，通过词法分析、语法分析、控制流、数据流分析等技术对移动应用程序代码和配置文件进行扫描，验证移动应用是否满足规范性、安全性、可靠性、可维护性等指标，将具有安全隐患的代码进行摘录并存入到检测平台后台，为后续的安全检测报告提供数据依据。

动态检测：通过沙箱模型、虚拟机等方式对移动应用的安装、运行过程中发生的操作、通讯、数据等行为进行监测分析、从外界观察应用程序的执行过程并进行分析，记录应用程序所表现出来的恶意行为。

内容风险监测

通过对政务类应用的文字、图片、视频等多种形式的信息提取，系统会通过自然语言处理（NLP）技术，对文本进行语义分析、关键词识别等，以检测是否存在不良信息、敏感词汇或违规内容，包括“指尖上的形式主义”中的打卡、签到等。对于图片和视频，内容检测则依赖于图像识别和视频分析技术，以识别出涉黄、涉赌、涉政等不适宜展示的内容。

爱加密移动应用内容风险监测，通过应用的签名、服务器信息、代码指纹、网络指纹，进行识别，并结合关键词以及监测应用范围、监测频率、时长等，对应用进行全天24小时不间断地运行监测。

个人信息合规监测

政务类App的个人信息合规监测是确保公众数据安全与隐私保护的重要环节。这涉及对App的数据收集、存储、传输和使用过程进行全面审查，确保其遵循《个人信息保护法》和政策要求。关注隐私政策的透明度、权限申请的合理性、个人信息的收集最小必要性、数据传输的安全性以及个人信息处理的合规性等方面，确保政务App在提供便捷服务的同时，也充分保障公众的合法权益。

数据合规监测

识别政务类移动应用潜在威胁，分析可能的数据安全风险，如外部攻击、内部泄露、误操作等；评估风险影响。对潜在威胁可能造成的后果进行评估，包括数据泄露、业务中断、声誉损失等；制定风险等级。根据风险的可能性和影响程度，制定风险等级，以便后续制定针对性的防护措施。

持续性风险预警

持续采集政务类移动应用资产，实时掌握监管区域的资产情况。持续对移动应用进行检测、分析，实时掌握移动应用资产的风险情况及风险趋势。探测互联网等分发平台是否存在未登记审核的应用、超出备案版本发布的APP等，并针对分发渠道进行风险监测，能够监测存在未授权发布的渠道以及应用分发渠道是否存在盗版仿冒政务类应用等风险。

——

方案优势

全面覆盖：覆盖了政务类App的全生命周期，包括开发、测试、发布、运营、下架等各个环节，确保了对政务应用安全管理的全面性和系统性。

高效精准：通过自动化和智能化的技术手段，对政务应用进行高效、精准的安全检测和内容监测，大幅提升了监管效率和准确性。

实时监测：实现对政务应用的实时监测和预警，能够及时发现并处理潜在的安全风险，确保政务应用的稳定运行和数据安全。

降低风险：通过全面的监测和预警服务，有效降低网络安全事件对政务工作和民众生活的潜在影响。

作为国内知名的移动信息安全综合服务提供商，爱加密已成为CNCERT、CNVD、CNNVD、CAPPVD支撑单位，将以终为始，加强自身技术、服务经验的积累。并积极配合监管部门工作安排，已收到工业和信息化部信息通信管理局、国家计算机病毒应急处理中心、国家计算机网络应急技术处理协调中心多地分中心、四川省公安厅网络安全保卫总队等监管部门的感谢信。未来将会依托自身技术、服务经验的积累，为国家网络安全工作提供最有力的支撑，实现产业报国。

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容

HISTORY

往期推荐