移動(dòng)政務(wù)安全風(fēng)險(xiǎn)凸顯 數(shù)據(jù)和應(yīng)用不落地成安全“最優(yōu)解”
2018年05月07日
在移動(dòng)互聯(lián)網(wǎng)快速發(fā)展的趨勢(shì)下�,移動(dòng)辦公已經(jīng)成為政府機(jī)構(gòu)提升政務(wù)效率、打造服務(wù)型政務(wù)的重要驅(qū)動(dòng)力�,移動(dòng)政務(wù)安全問(wèn)題也隨之凸顯。為了保護(hù)電子政務(wù)移動(dòng)辦公系統(tǒng)中政務(wù)數(shù)據(jù)的安全性���,亞信安全建議用戶實(shí)現(xiàn)“數(shù)據(jù)不落地”和“應(yīng)用不落地”,防范被惡意攻擊者找到可乘之機(jī)���。
《信息安全技術(shù)電子政務(wù)移動(dòng)辦公系統(tǒng)安全技術(shù)規(guī)范》(以下簡(jiǎn)稱:“移動(dòng)政務(wù)安全規(guī)范”)將在今年7月1日起正式實(shí)施�,要求實(shí)現(xiàn)數(shù)據(jù)與應(yīng)用不落地����,這將對(duì)我國(guó)電子政務(wù)移動(dòng)辦公系統(tǒng)的構(gòu)建產(chǎn)生深遠(yuǎn)的影響。
數(shù)據(jù)泄露考驗(yàn)電子政務(wù)移動(dòng)辦公系統(tǒng)建設(shè)
2015年十二屆全國(guó)人大三次會(huì)議上��,李克強(qiáng)總理在政府工作報(bào)告中首次提出“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃。李克強(qiáng)在政府工作報(bào)告中提出��,“制定‘互聯(lián)網(wǎng)+’行動(dòng)計(jì)劃���,推動(dòng)移動(dòng)互聯(lián)網(wǎng)�����、云計(jì)算���、大數(shù)據(jù)、物聯(lián)網(wǎng)等與現(xiàn)代制造業(yè)結(jié)合����,促進(jìn)電子商務(wù)、工業(yè)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)金融健康發(fā)展����,引導(dǎo)互聯(lián)網(wǎng)企業(yè)拓展國(guó)際市場(chǎng)?�!蹦壳盎谝苿?dòng)互聯(lián)網(wǎng)和云計(jì)算的新模式��、新業(yè)態(tài)已成為我國(guó)實(shí)施創(chuàng)新驅(qū)動(dòng)發(fā)展戰(zhàn)略的重要手段�����。
在移動(dòng)辦公模式推廣的同時(shí)�,數(shù)據(jù)泄露成為組織用戶必須要面對(duì)的嚴(yán)重威脅。Gemalto報(bào)告顯示�,在2017年上半年被盜的數(shù)據(jù)中,由于內(nèi)部惡意泄露���、員工疏忽無(wú)意泄露等造成的占被盜數(shù)據(jù)中的86%����,遠(yuǎn)遠(yuǎn)超過(guò)外部黑客攻擊�。
當(dāng)辦公信息化流程延伸到移動(dòng)端之后,要保護(hù)數(shù)據(jù)不被泄露則成為更加棘手的問(wèn)題���。企業(yè)內(nèi)龐大的移動(dòng)設(shè)備��、繁雜的移動(dòng)應(yīng)用為保護(hù)數(shù)據(jù)安全帶來(lái)了很大挑戰(zhàn)��。企業(yè)很難阻止這些移動(dòng)設(shè)備連接在辦公場(chǎng)景中�,再加上移動(dòng)設(shè)備具有高度的便攜性�����,常常脫離于企業(yè)的網(wǎng)絡(luò)管理邊界范圍之外,企業(yè)并不能隨時(shí)掌控這些設(shè)備的狀態(tài)��,也無(wú)法強(qiáng)制規(guī)定移動(dòng)設(shè)備的應(yīng)用環(huán)境����,這將誘生巨大的風(fēng)險(xiǎn)因素。員工手機(jī)失竊�,或是有目的的數(shù)據(jù)泄露行為都將導(dǎo)致機(jī)密數(shù)據(jù)泄露。
在移動(dòng)化的浪潮中����,政府相關(guān)部門開(kāi)始了移動(dòng)化轉(zhuǎn)型,并積極尋求通過(guò)辦公流程的移動(dòng)化改造來(lái)將移動(dòng)終端轉(zhuǎn)換為生產(chǎn)力工具����,推動(dòng)政務(wù)辦公自動(dòng)化,移動(dòng)警務(wù)�、移動(dòng)海事等應(yīng)用系統(tǒng)也開(kāi)始出現(xiàn)。通過(guò)移動(dòng)辦公�����,可以實(shí)現(xiàn)隨時(shí)隨地的公文流轉(zhuǎn)審批����,發(fā)布或閱讀內(nèi)部公告����,大大提升效率����。在此背景下�����,大量的關(guān)鍵政務(wù)應(yīng)用會(huì)通過(guò)移動(dòng)終端進(jìn)行交付����,政務(wù)數(shù)據(jù)也會(huì)在移動(dòng)終端上進(jìn)行交互與處理,這同樣對(duì)電子政務(wù)安全帶來(lái)了更大的挑戰(zhàn)��。
可以預(yù)見(jiàn)���,移動(dòng)化的大趨勢(shì)迫切需要有前瞻性的標(biāo)準(zhǔn)和架構(gòu)解決安全的挑戰(zhàn)!
數(shù)據(jù)不落地����,強(qiáng)化數(shù)據(jù)泄露風(fēng)險(xiǎn)應(yīng)對(duì)能力
為了保護(hù)電子政務(wù)移動(dòng)辦公系統(tǒng)的數(shù)據(jù)安全�����,亞信安全建議政府用戶遵循“移動(dòng)政務(wù)安全規(guī)范”的指導(dǎo),采用虛擬化等技術(shù)實(shí)現(xiàn)客戶端僅顯示用戶界面和傳輸用戶交互數(shù)據(jù)��,政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)僅在服務(wù)器端運(yùn)行和存儲(chǔ)��,辦公數(shù)據(jù)不在移動(dòng)終端留存����。也就是大家常說(shuō)的“數(shù)據(jù)不落地”和“應(yīng)用不落地”。
亞信安全產(chǎn)品管理副總經(jīng)理余凱表示:“架構(gòu)安全才能信息安全�。傳統(tǒng)的電子政務(wù)移動(dòng)辦公系統(tǒng)架構(gòu)中,移動(dòng)應(yīng)用會(huì)將數(shù)據(jù)緩存或存儲(chǔ)在移動(dòng)設(shè)備上�����,無(wú)論數(shù)據(jù)落地留存的時(shí)間多短��,都帶來(lái)了重大安全隱患�。手機(jī)若感染惡意代碼數(shù)據(jù)會(huì)在第一時(shí)間被竊取轉(zhuǎn)發(fā);另一個(gè)場(chǎng)景是手機(jī)遺失,惡意攻擊者往往先斷網(wǎng)并通過(guò)黑客工具獲取手機(jī)上的機(jī)密數(shù)據(jù)��。因此��,在安全性嚴(yán)密的移動(dòng)政務(wù)系統(tǒng)中�����,移動(dòng)設(shè)備應(yīng)該只是作為傳感器、輸入設(shè)備和顯示設(shè)備����,避免數(shù)據(jù)在設(shè)備中的留存?�!?/span>
同時(shí)�,應(yīng)用不落地也是規(guī)范的一個(gè)重要內(nèi)容�。余凱表示,一旦移動(dòng)應(yīng)用在移動(dòng)設(shè)備中落地�,黑客就有機(jī)會(huì)對(duì)應(yīng)用進(jìn)行逆向分析,從而發(fā)現(xiàn)漏洞并找到攻擊點(diǎn)用以竊取數(shù)據(jù)�����,甚至偽造APP或者直接對(duì)服務(wù)器做攻擊�,對(duì)涉及國(guó)計(jì)民生或公民信息的政務(wù)數(shù)據(jù)帶來(lái)重大威脅。
“移動(dòng)政務(wù)安全規(guī)范”對(duì)政務(wù)系統(tǒng)的移動(dòng)化提出了新的合規(guī)性要求���,在移動(dòng)終端成為電子政務(wù)應(yīng)用重要載體的同時(shí)�,政府部門需要設(shè)計(jì)一套同時(shí)覆蓋人員���、網(wǎng)絡(luò)��、終端����、應(yīng)用、數(shù)據(jù)等多層面的嚴(yán)密移動(dòng)安全架構(gòu)����,不僅對(duì)政務(wù)移動(dòng)終端的使用范圍、使用時(shí)間制定嚴(yán)格的管理規(guī)范���,還應(yīng)該將移動(dòng)政務(wù)數(shù)據(jù)的存儲(chǔ)介質(zhì)從終端轉(zhuǎn)移到統(tǒng)一管控的數(shù)據(jù)池中����,強(qiáng)化電子政務(wù)系統(tǒng)對(duì)于數(shù)據(jù)泄露風(fēng)險(xiǎn)的能力���。
移動(dòng)虛擬化平臺(tái)是移動(dòng)政務(wù)的“最優(yōu)解”
亞信安全為電子政務(wù)移動(dòng)辦公提供了VMI云手機(jī)解決方案���,該方案基于真正的移動(dòng)虛擬化平臺(tái),采用了虛擬移動(dòng)基礎(chǔ)架構(gòu)(Virtual Mobile Infrastructure)����,可以為用戶提供一個(gè)專為移動(dòng)設(shè)備設(shè)計(jì)的安全虛擬工作區(qū)�,能夠確保移動(dòng)應(yīng)用數(shù)據(jù)不出數(shù)據(jù)中心��,移動(dòng)辦公數(shù)據(jù)不落地�,滿足“移動(dòng)政務(wù)安全規(guī)范”的要求,有效保障重要數(shù)據(jù)的安全����。
目前,該解決方案在政府��、金融����、運(yùn)營(yíng)商等行業(yè)內(nèi)都已有了標(biāo)桿客戶并支持主流的私有云和公有云平臺(tái)部署���。在部署云手機(jī)方案之后����,客戶數(shù)據(jù)不會(huì)保存在手機(jī)終端�,即使手機(jī)終端被控制,黑客也無(wú)法獲取到機(jī)密信息����。
移動(dòng)虛擬化平臺(tái)的價(jià)值還在于���,其通過(guò)虛擬化的方式打造了專屬的政務(wù)應(yīng)用處理區(qū),并不影響移動(dòng)終端正常功能的發(fā)揮�����。通過(guò)部署亞信安全云手機(jī)方案���,政府部門還可以實(shí)現(xiàn)安全工作空間與個(gè)人生活空間的隔離����,在安全工作空間中��,政府部門可以實(shí)現(xiàn)對(duì)辦公應(yīng)用的安全管控���,外部應(yīng)用無(wú)法窺探內(nèi)部數(shù)據(jù)����,內(nèi)部數(shù)據(jù)也不能走出工作區(qū);在個(gè)人生活空間中��,移動(dòng)終端則與普通終端無(wú)異�����。
移動(dòng)虛擬化平臺(tái)通過(guò)架構(gòu)創(chuàng)新輕松解決傳統(tǒng)安全挑戰(zhàn)��,讓政府客戶站在一個(gè)更高的起點(diǎn)推進(jìn)并加速移動(dòng)化進(jìn)程,提升運(yùn)維能力和效率,是目前移動(dòng)政務(wù)的最優(yōu)解��。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運(yùn)維平臺(tái)建設(shè)���、動(dòng)漫設(shè)計(jì)�����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�����、“制度流程”����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評(píng)估���、規(guī)劃��、管控��、建設(shè)、培訓(xùn)等����。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商��。
