能(néng)源运营商(shāng)解决方案
能(néng)源行业移动应用(yòng)的管理(lǐ)體(tǐ)系、安(ān)全漏洞风险、安(ān)全防护手段、持续监控与管控等需求,提供移动应用(yòng)全生命周期解决方案,包含标准规范建设、安(ān)全检测、加固、渠道监测、威胁感知、管控平台等
立即咨询能(néng)源行业移动应用(yòng)的管理(lǐ)體(tǐ)系、安(ān)全漏洞风险、安(ān)全防护手段、持续监控与管控等需求,提供移动应用(yòng)全生命周期解决方案,包含标准规范建设、安(ān)全检测、加固、渠道监测、威胁感知、管控平台等
立即咨询能(néng)源集团正向“智慧企业”进行数字化转型,智慧企业发展、智能(néng)電(diàn)厂建设、精(jīng)益化管理(lǐ)及工(gōng)作(zuò)效率提升均对移动业務(wù)提出日益迫切的需求,能(néng)源集团正在加速开展业務(wù)应用(yòng)的移动化建设,以提供更加开放、智能(néng)、高效的服務(wù),加快了集团智慧企业发展的步伐,实现了业務(wù)信息的实时流动和共享,极大的提高了工(gōng)作(zuò)效率。
同时客观上也增加了集团数据的暴露面,受到的外部威胁也日趋严重,在“没有(yǒu)网络安(ān)全,就没有(yǒu)國(guó)家安(ān)全”的背景下,國(guó)家先后对移动业務(wù)安(ān)全提出了相关标准和规范。在2019年12月1日正式实施的《网络安(ān)全等级保护条例》等级保护2.0中(zhōng)提出了《网络安(ān)全等级保护基本要求第3部分(fēn):移动互联安(ān)全扩展要求》, 在该安(ān)全扩展要求中(zhōng)明确了移动应用(yòng)安(ān)全的重要性以及功能(néng)要求,等级保护2.0作(zuò)為(wèi)网络信息安(ān)全合规指导纲领,要求保证移动应用(yòng)和数据的安(ān)全性。同时國(guó)家能(néng)源相继发布了《关于加强网络安(ān)全和信息化工(gōng)作(zuò)的指导意见》、《國(guó)家能(néng)源集团十三五信息化规划纲要》、《國(guó)家能(néng)源集团网络安(ān)全和信息化规划管理(lǐ)办(bàn)法》、《國(guó)家能(néng)源集团网络安(ān)全与信息化项目立项管理(lǐ)办(bàn)法》、《國(guó)家能(néng)源集团网络安(ān)全与信息化架构管理(lǐ)办(bàn)法》等明确提出了对移动业務(wù)安(ān)全的相关要求。
能(néng)源企业APP倾向于传统系统建设模式,以业務(wù)驱动需求,需求驱动项目,项目定制产(chǎn)品的模式进行开发、实现,应用(yòng)移动化过程中(zhōng)带来的新(xīn)的信息、数据孤岛,不利于移动应用(yòng)的统一管控。当前的APP类型包括互联网服務(wù)APP、内部办(bàn)公(gōng)、外勤生产(chǎn)类型等,主要风险问题如下:
移动应用(yòng)的开发规范、管理(lǐ)制度、技(jì )术标准、安(ān)全防护、应用(yòng)准入、质(zhì)量检测等方面,依旧缺乏统一的、标准的治理(lǐ)體(tǐ)系,缺乏统一度量。
缺乏整體(tǐ)有(yǒu)效防护手段,不能(néng)形成基于终端、应用(yòng)和数据的纵深防护體(tǐ)系,更不能(néng)对移动应用(yòng)和敏感数据进行全生命周期保护,无法做到基于检测与响应的長(cháng)效机制。
由于缺乏明确的技(jì )术约束手段,即使有(yǒu)制度约束,也可(kě)能(néng)会造成有(yǒu)章不守、有(yǒu)规不依,这些技(jì )术架构不一、安(ān)全策略不一的应用(yòng),在移动互联网上暴露更多(duō)的入口,增加数据泄露的风险。因此应建立统一的安(ān)全管控平台、安(ān)全防护机制,并依托技(jì )术手段对不合规应用(yòng)早干预、早检查、早发现、早纠正。
移动安(ān)全威胁可(kě)能(néng)随时发生,集团移动应用(yòng)运行时的安(ān)全状态,由于不能(néng)实时持续监控将无从得知,如应用(yòng)运行环境是否存在异常,应用(yòng)是否遭受恶意攻击,应用(yòng)操作(zuò)行為(wèi)是否越权,应用(yòng)操作(zuò)是否引起敏感数据泄露等,无法保障移动应用(yòng)的安(ān)全可(kě)靠运行,信息化管理(lǐ)部门与运维部门对移动应用(yòng)失感、失管、失控。
| 标准规范建设 | 以安(ān)全设计指南、安(ān)全编码指南、安(ān)全测试指南作(zuò)為(wèi)指引,应用(yòng)项目组在设计、编码、测试环节使用(yòng),使架构设计、编码质(zhì)量、应用(yòng)自身安(ān)全强度达到安(ān)全标准;同时集团公(gōng)司使用(yòng)安(ān)全评估指南对移动应用(yòng)项目组和移动应用(yòng)进行评估,以审核应用(yòng)建设过程和应用(yòng)自身安(ān)全强度是否符合安(ān)全标准。 |
| 安(ān)全检测 | 在移动应用(yòng)App上線(xiàn)前或在大版本升级后,使用(yòng)应用(yòng)反编译检测、本地数据安(ān)全检测、通信传输安(ān)全检测、认证安(ān)全检测、内部数据交互安(ān)全检测、恶意攻击防范能(néng)力检测等。 |
| 安(ān)全加固 | 通过虚拟化保护、字符串加密、函数隐藏、动态运行防护、完整性校验、文(wén)件防篡改、资源文(wén)件加密等技(jì )术在移动应用(yòng)App发布前对其进行加固。 |
| 渠道监测 | 通过对互联网应用(yòng)市场、下载渠道等进行实时监测,及时发现与能(néng)源相关的盗版、钓鱼应用(yòng),并及时进行下架处理(lǐ),防止因使用(yòng)者误下载盗版/钓鱼应用(yòng)造成损失。 |
| 威胁感知 | 建立移动应用(yòng)运行时风险感知机制,对运行时设备的环境、外部风险攻击、业務(wù)运行异常等进行实时监测,发现风险后及时上报并响应。做到对客户端运行的事前感知、事中(zhōng)响应、事后溯源。 |
| 综合管理(lǐ)平台 | 為(wèi)了更方便的对移动应用(yòng)全生命周期安(ān)全进行管控,建立综合管理(lǐ)平台,将移动应用(yòng)的安(ān)全开发、安(ān)全测试、安(ān)全上線(xiàn)、安(ān)全运行等统一纳入到综合管理(lǐ)平台中(zhōng),实时呈现移动应用(yòng)的安(ān)全状态。 |
| 网络安(ān)全有(yǒu)效性验证系统 | 可(kě)对当前网络所部署的安(ān)全防护體(tǐ)系进行持续的有(yǒu)效性验证,帮助企业及时识别和解决安(ān)全问题,提高企业的安(ān)全防御能(néng)力和风险管理(lǐ)水平。 |
京公(gōng)网安(ān)备
11010802025310号
