政務(wù)类移动应用(yòng)风险监测解决方案发布！协助落实四部委要求！-爱加密移动应用(yòng)安(ān)全保护平台|app防反编译|app加壳|app防破解

政務(wù)类移动应用(yòng)风险监测解决方案发布！协助落实四部委要求！

发布时间：2024-07-01

随着互联网技(jì )术的快速发展，互联网政務(wù)应用(yòng)已成為(wèi)各级党政机关和事业单位（简称机关事业单位）提供公(gōng)共服務(wù)、推动政務(wù)公(gōng)开、增强政民(mín)互动的重要渠道。然而，互联网政務(wù)应用(yòng)的安(ān)全问题也日益凸显，如内容篡改、攻击致瘫、数据窃取等风险，严重威胁着互联网政務(wù)应用(yòng)的稳定运行和数据安(ān)全。

近年来，部分(fēn)APP存在过度收集“通讯录”“位置”等用(yòng)户隐私信息的现象，互联网政務(wù)应用(yòng)也不例外，很(hěn)容易成為(wèi)黑客发布诋毁信息或盗取用(yòng)户信息的“帮凶”，在用(yòng)户不了解的情况下，对政府造成影响。甚至有(yǒu)可(kě)能(néng)造成严重的安(ān)全事件，例如利用(yòng)虚假的政務(wù)App实施贷款诈骗的犯罪。為(wèi)此中(zhōng)央网信办(bàn)、中(zhōng)央编办(bàn)、工(gōng)业和信息化部、公(gōng)安(ān)部制定了《互联网政務(wù)应用(yòng)安(ān)全管理(lǐ)规定》，该法规将于2024年7月1日正式实施，各级机关事业单位应对照《规定》进行自查，于2024年年底前完成问题整改。爱加密已针对该文(wén)进行解读

互联网政務(wù)应用(yòng)功能(néng)较多(duō)，品类不同，基层工(gōng)作(zuò)人员疲于应付。制定一套合理(lǐ)有(yǒu)效的解决方案，是解决目前互联网政務(wù)应用(yòng)安(ān)全的首要大事。在四部委制定的《互联网政務(wù)应用(yòng)安(ān)全管理(lǐ)规定》的大略方针下，爱加密运用(yòng)多(duō)年移动应用(yòng)安(ān)全技(jì )术积累结合政務(wù)类应用(yòng)特点制定了《政務(wù)类移动应用(yòng)风险监测解决方案》。

——

解决方案

爱加密政務(wù)类移动应用(yòng)风险监测解决方案，旨在配合监管机构全面贯彻落实《互联网政務(wù)应用(yòng)安(ān)全管理(lǐ)规定》下，通过技(jì )术手段，对政務(wù)类App的开发、测试、发布、运营、下架等全生命周期的信息安(ān)全、网络和数据安(ān)全等方面进行监测，确保互联网政務(wù)应用(yòng)的安(ān)全稳定运行和数据安(ān)全。

1、政務(wù)类App的摸排服務(wù)

政務(wù)类移动应用(yòng)程序的分(fēn)发应严格遵循规范流程，仅在经过备案的权威应用(yòng)程序分(fēn)发平台或机关事业单位官方网站上提供，并且确保各平台所发布的最新(xīn)应用(yòng)版本一致。未经授权传播的分(fēn)发平台应当要求其下架，避免误导公(gōng)众下载到仿冒盗版应用(yòng)。确保公(gōng)众能(néng)够从可(kě)信渠道获取到最新(xīn)、最安(ān)全的政務(wù)应用(yòng)，有(yǒu)效避免从非法或未经授权的平台下载到潜在的仿冒或盗版应用(yòng)。

爱加密监测1900+个海内外的应用(yòng)分(fēn)发渠道，实时对新(xīn)上架、更新(xīn)的应用(yòng)进行信息采集，通过对安(ān)装(zhuāng)包的应用(yòng)名(míng)称、包名(míng)、签名(míng)、接入域名(míng)ip、文(wén)件MD5、sha256等提取识别，帮助机关事业单位及时掌握自己或區(qū)域内的资产(chǎn)数量（包括已知和未知）、版本、发布渠道、机构名(míng)称、备案等发布是否规范、信息是否一致。

2、督促备案及备案状态监测

通过对國(guó)家党政机关事业单位移动互联网应用(yòng)标识识别，能(néng)够对已经取得标识及未取得标识的应用(yòng)區(qū)分(fēn)展示，便于督促未取得标识的移动应用(yòng)主體(tǐ)单位完善标识的申请和展现。对党政类移动应用(yòng)请求的域名(míng)分(fēn)析，确保使用(yòng)“.gov.cn”或“.政務(wù)”的域名(míng)。同时预警是否存在非政務(wù)类App使用(yòng)“.gov.cn”或“.政務(wù)”的风险。

3、漏洞风险监测

爱加密移动应用(yòng)安(ān)全检测分(fēn)為(wèi)静态分(fēn)析和动态分(fēn)析，对政務(wù)类移动应用(yòng)中(zhōng)存在的多(duō)项风险点进行全面深入检测，提供给出专业的安(ān)全检测报告。

静态检测：在不运行移动应用(yòng)代码的情况下，通过词法分(fēn)析、语法分(fēn)析、控制流、数据流分(fēn)析等技(jì )术对移动应用(yòng)程序代码和配置文(wén)件进行扫描，验证移动应用(yòng)是否满足规范性、安(ān)全性、可(kě)靠性、可(kě)维护性等指标，将具(jù)有(yǒu)安(ān)全隐患的代码进行摘录并存入到检测平台后台，為(wèi)后续的安(ān)全检测报告提供数据依据。

动态检测：通过沙箱模型、虚拟机等方式对移动应用(yòng)的安(ān)装(zhuāng)、运行过程中(zhōng)发生的操作(zuò)、通讯、数据等行為(wèi)进行监测分(fēn)析、从外界观察应用(yòng)程序的执行过程并进行分(fēn)析，记录应用(yòng)程序所表现出来的恶意行為(wèi)。

4、内容风险监测

通过对政務(wù)类应用(yòng)的文(wén)字、图片、视频等多(duō)种形式的信息提取，系统会通过自然语言处理(lǐ)（NLP）技(jì )术，对文(wén)本进行语义分(fēn)析、关键词识别等，以检测是否存在不良信息、敏感词汇或违规内容，包括“指尖上的形式主义”中(zhōng)的打卡、签到等。对于图片和视频，内容检测则依赖于图像识别和视频分(fēn)析技(jì )术，以识别出涉黄、涉赌、涉政等不适宜展示的内容。

爱加密移动应用(yòng)内容风险监测，通过应用(yòng)的签名(míng)、服務(wù)器信息、代码指纹、网络指纹，进行识别，并结合关键词以及监测应用(yòng)范围、监测频率、时長(cháng)等，对应用(yòng)进行全天24小(xiǎo)时不间断地运行监测。

5、个人信息合规监测

政務(wù)类App的个人信息合规监测是确保公(gōng)众数据安(ān)全与隐私保护的重要环节。这涉及对App的数据收集、存储、传输和使用(yòng)过程进行全面审查，确保其遵循《个人信息保护法》和政策要求。关注隐私政策的透明度、权限申请的合理(lǐ)性、个人信息的收集最小(xiǎo)必要性、数据传输的安(ān)全性以及个人信息处理(lǐ)的合规性等方面，确保政務(wù)App在提供便捷服務(wù)的同时，也充分(fēn)保障公(gōng)众的合法权益。

6、数据合规监测

识别政務(wù)类移动应用(yòng)潜在威胁，分(fēn)析可(kě)能(néng)的数据安(ān)全风险，如外部攻击、内部泄露、误操作(zuò)等；评估风险影响。对潜在威胁可(kě)能(néng)造成的后果进行评估，包括数据泄露、业務(wù)中(zhōng)断、声誉损失等；制定风险等级。根据风险的可(kě)能(néng)性和影响程度，制定风险等级，以便后续制定针对性的防护措施。

7、持续性风险预警

持续采集政務(wù)类移动应用(yòng)资产(chǎn)，实时掌握监管區(qū)域的资产(chǎn)情况。持续对移动应用(yòng)进行检测、分(fēn)析，实时掌握移动应用(yòng)资产(chǎn)的风险情况及风险趋势。探测互联网等分(fēn)发平台是否存在未登记审核的应用(yòng)、超出备案版本发布的APP等，并针对分(fēn)发渠道进行风险监测，能(néng)够监测存在未授权发布的渠道以及应用(yòng)分(fēn)发渠道是否存在盗版仿冒政務(wù)类应用(yòng)等风险。

——

方案优势

全面覆盖：覆盖了政務(wù)类App的全生命周期，包括开发、测试、发布、运营、下架等各个环节，确保了对政務(wù)应用(yòng)安(ān)全管理(lǐ)的全面性和系统性。

高效精(jīng)准：通过自动化和智能(néng)化的技(jì )术手段，对政務(wù)应用(yòng)进行高效、精(jīng)准的安(ān)全检测和内容监测，大幅提升了监管效率和准确性。

实时监测：实现对政務(wù)应用(yòng)的实时监测和预警，能(néng)够及时发现并处理(lǐ)潜在的安(ān)全风险，确保政務(wù)应用(yòng)的稳定运行和数据安(ān)全。

降低风险：通过全面的监测和预警服務(wù)，有(yǒu)效降低网络安(ān)全事件对政務(wù)工(gōng)作(zuò)和民(mín)众生活的潜在影响。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密已成為(wèi)CNCERT、CNVD、CNNVD、CAPPVD支撑单位，将以终為(wèi)始，加强自身技(jì )术、服務(wù)经验的积累。并积极配合监管部门工(gōng)作(zuò)安(ān)排，已收到工(gōng)业和信息化部信息通信管理(lǐ)局、國(guó)家计算机病毒应急处理(lǐ)中(zhōng)心、國(guó)家计算机网络应急技(jì )术处理(lǐ)协调中(zhōng)心多(duō)地分(fēn)中(zhōng)心、四川省公(gōng)安(ān)厅网络安(ān)全保卫总队等监管部门的感謝(xiè)信。未来将会依托自身技(jì )术、服務(wù)经验的积累，為(wèi)國(guó)家网络安(ān)全工(gōng)作(zuò)提供最有(yǒu)力的支撑，实现产(chǎn)业报國(guó)。

END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容