移動政務(wù)安全風(fēng)險凸顯 數(shù)據(jù)和應(yīng)用不落地成安全“最優(yōu)解”
2018年05月07日
在移動互聯(lián)網(wǎng)快速發(fā)展的趨勢下���,移動辦公已經(jīng)成為政府機(jī)構(gòu)提升政務(wù)效率�����、打造服務(wù)型政務(wù)的重要驅(qū)動力���,移動政務(wù)安全問題也隨之凸顯�����。為了保護(hù)電子政務(wù)移動辦公系統(tǒng)中政務(wù)數(shù)據(jù)的安全性��,亞信安全建議用戶實(shí)現(xiàn)“數(shù)據(jù)不落地”和“應(yīng)用不落地”����,防范被惡意攻擊者找到可乘之機(jī)����。
《信息安全技術(shù)電子政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范》(以下簡稱:“移動政務(wù)安全規(guī)范”)將在今年7月1日起正式實(shí)施�����,要求實(shí)現(xiàn)數(shù)據(jù)與應(yīng)用不落地�,這將對我國電子政務(wù)移動辦公系統(tǒng)的構(gòu)建產(chǎn)生深遠(yuǎn)的影響。
數(shù)據(jù)泄露考驗(yàn)電子政務(wù)移動辦公系統(tǒng)建設(shè)
2015年十二屆全國人大三次會議上��,李克強(qiáng)總理在政府工作報告中首次提出“互聯(lián)網(wǎng)+”行動計劃�����。李克強(qiáng)在政府工作報告中提出,“制定‘互聯(lián)網(wǎng)+’行動計劃���,推動移動互聯(lián)網(wǎng)�、云計算�����、大數(shù)據(jù)��、物聯(lián)網(wǎng)等與現(xiàn)代制造業(yè)結(jié)合�,促進(jìn)電子商務(wù)、工業(yè)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)金融健康發(fā)展�,引導(dǎo)互聯(lián)網(wǎng)企業(yè)拓展國際市場?�!蹦壳盎谝苿踊ヂ?lián)網(wǎng)和云計算的新模式�、新業(yè)態(tài)已成為我國實(shí)施創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略的重要手段。
在移動辦公模式推廣的同時�,數(shù)據(jù)泄露成為組織用戶必須要面對的嚴(yán)重威脅。Gemalto報告顯示�����,在2017年上半年被盜的數(shù)據(jù)中,由于內(nèi)部惡意泄露�、員工疏忽無意泄露等造成的占被盜數(shù)據(jù)中的86%,遠(yuǎn)遠(yuǎn)超過外部黑客攻擊����。
當(dāng)辦公信息化流程延伸到移動端之后,要保護(hù)數(shù)據(jù)不被泄露則成為更加棘手的問題��。企業(yè)內(nèi)龐大的移動設(shè)備���、繁雜的移動應(yīng)用為保護(hù)數(shù)據(jù)安全帶來了很大挑戰(zhàn)���。企業(yè)很難阻止這些移動設(shè)備連接在辦公場景中,再加上移動設(shè)備具有高度的便攜性�����,常常脫離于企業(yè)的網(wǎng)絡(luò)管理邊界范圍之外�����,企業(yè)并不能隨時掌控這些設(shè)備的狀態(tài)����,也無法強(qiáng)制規(guī)定移動設(shè)備的應(yīng)用環(huán)境,這將誘生巨大的風(fēng)險因素���。員工手機(jī)失竊���,或是有目的的數(shù)據(jù)泄露行為都將導(dǎo)致機(jī)密數(shù)據(jù)泄露。
在移動化的浪潮中����,政府相關(guān)部門開始了移動化轉(zhuǎn)型,并積極尋求通過辦公流程的移動化改造來將移動終端轉(zhuǎn)換為生產(chǎn)力工具���,推動政務(wù)辦公自動化��,移動警務(wù)�����、移動海事等應(yīng)用系統(tǒng)也開始出現(xiàn)���。通過移動辦公,可以實(shí)現(xiàn)隨時隨地的公文流轉(zhuǎn)審批�����,發(fā)布或閱讀內(nèi)部公告,大大提升效率�。在此背景下,大量的關(guān)鍵政務(wù)應(yīng)用會通過移動終端進(jìn)行交付�,政務(wù)數(shù)據(jù)也會在移動終端上進(jìn)行交互與處理,這同樣對電子政務(wù)安全帶來了更大的挑戰(zhàn)�。
可以預(yù)見,移動化的大趨勢迫切需要有前瞻性的標(biāo)準(zhǔn)和架構(gòu)解決安全的挑戰(zhàn)!
數(shù)據(jù)不落地����,強(qiáng)化數(shù)據(jù)泄露風(fēng)險應(yīng)對能力
為了保護(hù)電子政務(wù)移動辦公系統(tǒng)的數(shù)據(jù)安全,亞信安全建議政府用戶遵循“移動政務(wù)安全規(guī)范”的指導(dǎo)��,采用虛擬化等技術(shù)實(shí)現(xiàn)客戶端僅顯示用戶界面和傳輸用戶交互數(shù)據(jù)���,政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)僅在服務(wù)器端運(yùn)行和存儲����,辦公數(shù)據(jù)不在移動終端留存��。也就是大家常說的“數(shù)據(jù)不落地”和“應(yīng)用不落地”�����。
亞信安全產(chǎn)品管理副總經(jīng)理余凱表示:“架構(gòu)安全才能信息安全����。傳統(tǒng)的電子政務(wù)移動辦公系統(tǒng)架構(gòu)中,移動應(yīng)用會將數(shù)據(jù)緩存或存儲在移動設(shè)備上��,無論數(shù)據(jù)落地留存的時間多短�����,都帶來了重大安全隱患����。手機(jī)若感染惡意代碼數(shù)據(jù)會在第一時間被竊取轉(zhuǎn)發(fā);另一個場景是手機(jī)遺失,惡意攻擊者往往先斷網(wǎng)并通過黑客工具獲取手機(jī)上的機(jī)密數(shù)據(jù)���。因此��,在安全性嚴(yán)密的移動政務(wù)系統(tǒng)中��,移動設(shè)備應(yīng)該只是作為傳感器��、輸入設(shè)備和顯示設(shè)備����,避免數(shù)據(jù)在設(shè)備中的留存?���!?/span>
同時,應(yīng)用不落地也是規(guī)范的一個重要內(nèi)容����。余凱表示,一旦移動應(yīng)用在移動設(shè)備中落地�,黑客就有機(jī)會對應(yīng)用進(jìn)行逆向分析,從而發(fā)現(xiàn)漏洞并找到攻擊點(diǎn)用以竊取數(shù)據(jù)���,甚至偽造APP或者直接對服務(wù)器做攻擊��,對涉及國計民生或公民信息的政務(wù)數(shù)據(jù)帶來重大威脅����。
“移動政務(wù)安全規(guī)范”對政務(wù)系統(tǒng)的移動化提出了新的合規(guī)性要求��,在移動終端成為電子政務(wù)應(yīng)用重要載體的同時���,政府部門需要設(shè)計一套同時覆蓋人員����、網(wǎng)絡(luò)、終端�、應(yīng)用、數(shù)據(jù)等多層面的嚴(yán)密移動安全架構(gòu)�,不僅對政務(wù)移動終端的使用范圍����、使用時間制定嚴(yán)格的管理規(guī)范,還應(yīng)該將移動政務(wù)數(shù)據(jù)的存儲介質(zhì)從終端轉(zhuǎn)移到統(tǒng)一管控的數(shù)據(jù)池中���,強(qiáng)化電子政務(wù)系統(tǒng)對于數(shù)據(jù)泄露風(fēng)險的能力����。
移動虛擬化平臺是移動政務(wù)的“最優(yōu)解”
亞信安全為電子政務(wù)移動辦公提供了VMI云手機(jī)解決方案���,該方案基于真正的移動虛擬化平臺��,采用了虛擬移動基礎(chǔ)架構(gòu)(Virtual Mobile Infrastructure)����,可以為用戶提供一個專為移動設(shè)備設(shè)計的安全虛擬工作區(qū)�,能夠確保移動應(yīng)用數(shù)據(jù)不出數(shù)據(jù)中心,移動辦公數(shù)據(jù)不落地�����,滿足“移動政務(wù)安全規(guī)范”的要求,有效保障重要數(shù)據(jù)的安全���。
目前����,該解決方案在政府��、金融���、運(yùn)營商等行業(yè)內(nèi)都已有了標(biāo)桿客戶并支持主流的私有云和公有云平臺部署����。在部署云手機(jī)方案之后���,客戶數(shù)據(jù)不會保存在手機(jī)終端����,即使手機(jī)終端被控制���,黑客也無法獲取到機(jī)密信息�。
移動虛擬化平臺的價值還在于,其通過虛擬化的方式打造了專屬的政務(wù)應(yīng)用處理區(qū)��,并不影響移動終端正常功能的發(fā)揮�����。通過部署亞信安全云手機(jī)方案��,政府部門還可以實(shí)現(xiàn)安全工作空間與個人生活空間的隔離��,在安全工作空間中��,政府部門可以實(shí)現(xiàn)對辦公應(yīng)用的安全管控����,外部應(yīng)用無法窺探內(nèi)部數(shù)據(jù)��,內(nèi)部數(shù)據(jù)也不能走出工作區(qū);在個人生活空間中����,移動終端則與普通終端無異。
移動虛擬化平臺通過架構(gòu)創(chuàng)新輕松解決傳統(tǒng)安全挑戰(zhàn)��,讓政府客戶站在一個更高的起點(diǎn)推進(jìn)并加速移動化進(jìn)程�,提升運(yùn)維能力和效率�����,是目前移動政務(wù)的最優(yōu)解�����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺建設(shè)�、動漫設(shè)計、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”���、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面���、可信的方案���,業(yè)務(wù)涵蓋咨詢、評估����、規(guī)劃、管控���、建設(shè)�����、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
