共建移动政务安全生态 | 梆梆安全亮相2022第四届中国电子政务安全大会 - 新鲜讯息

日前，由中国信息协会主办，信息化观察网、中国信息协会传媒中心承办的“2022第四届中国电子政务安全大会”在北京圆满举办。本次大会以“数字政府新发展政务安全新服务”为主题，广邀政产学研企各方，针对数字政府的安全保护、合规运营、职能转变等话题进行深入研讨和交流。梆梆安全受邀参加并发表《数据“统采共用”趋势下的移动政务安全探讨》主题演讲。

当前，数字政府建设已成为各级政府部门顺应数字经济时代发展潮流、把握发展机遇的一项重要战略举措。特别是在数字化转型已经步入深水区、国内疫情防控常态化的背景下，数字政府建设正在大力推动“新政务”的落地，政务服务由各地专办向跨省通办推进，政府管理由单向管理服务向交互式应用转变，政务信息由数据资源管理向大数据应用转变，政府监管由普遍化向精准化转变，数据安全由部分可控向自主可控转变等。

但与此同时，国家级网络攻击愈演愈烈，大规模数据泄露也趋于常态化，供应链攻击持续高发，数据合规成为政府、企业安全运营的关键。电子政务作为关键信息基础设施的重要组成部分，其安全、合规、可信、可控更需引起高度重视。

会上，梆梆安全解决方案总监张晋从移动政务的安全风险与挑战、安全建设思路及安全体系落地等多角度进行分享。

移动政务的安全风险与挑战

根据《2022联合国电子政务调查报告》显示，我国电子政务发展指数得分逐年升高。该发展指数包括在线服务、电信基础设施和人力资本三个维度，其中我国在“在线服务”指数上的得分最高。另有数据表明，截止2021年底，我国一体化政务服务平台实名用户超10亿，汇聚一万多项高频应用标准化服务。

随着移动互联网的普及和技术的发展，我国移动政务服务已经整体进入广泛建设阶段，各地积极推动高频政务服务事项“掌上办”“指尖办”，涌现出了许多创新实践，未来数字政府的建设趋势将以打造集约高效的政务超级APP为重要抓手。

政务类超级APP本质上是一个宿主移动应用和一系列小程序的聚合形态。这就意味着，政务类超级APP除了传统移动应用的固有安全风险，也因引入集成小程序增加了额外的安全风险。主要存在以下五个方面：

1. 数据传输安全：第三方小程序跟宿主APP进行数据传输通信时，需要与超级APP采用一致的防护措施，以防出现第三方传输的数据安全风险；

2. 程序入口安全：数据开放给第三方的API接口，攻击者通过模拟器、自动化脚本等多种不同形式进行各种自动化业务攻击，从而引发数据爬取、撞库攻击等安全问题；

3. 数据存储安全：数据共享给第三方应用后，数据在不可信环境下的安全存储问题；

4. 第三方程序自身安全：第三方程序易被逆向、代码盗用、从而将导致用户敏感信息泄露、数据篡改以及病毒植入等风险；

5. 运行安全：第三方程序在实际运行时，由于缺乏安全监测手段，无法感知是否存在攻击者、自动化脚本等攻击的存在。

政务超级APP安全建设思路

当前，政务APP蓬勃发展，超级APP快速崛起，我国政务数据规模大、权威性强，蕴含着巨大的经济价值和社会价值。由于政务类超级APP提供服务场景的特殊性，必然会处理包含大量涉及公民信息、商业秘密甚至国家安全等方面数据的海量信息，网络安全防护的难度不断升级。基于此，梆梆安全提出了政务超级APP安全建设的相关思路：

1. 加强政务APP自身的风险防护：由于APP在设计、编码、测试、运行阶段全生命周期均存在安全风险，针对政务APP不同生命周期阶段的风险特点，APP应具备对安全漏洞、隐私合规问题基础的检测和防护能力。

2. 关注政务超级APP新增的安全风险防护：在防范APP自身风险的同时，对引入的第三方程序（小程序/H5）进行安全准入管理，如安全检测、隐私合规检测以及基本的安全加固防护。

面对不断涌现的安全风险，需要全面规划、合理部署安全防护。国务院办公厅印发的《全国一体化政务服务平台移动端建设指南》，进一步明确了政务服务平台移动端的目标定位、层级和技术架构、平台支撑、运营保障等内容和要求，对进一步加强政务服务平台移动端标准化、规范化建设和互联互通进行部署，指导各地区和国务院有关部门集约建设、规范管理。