在移动互联网加快速度进行发展的趋势下,移动办公慢慢的变成了政府机构提升政务效率、打造服务型政务的重要驱动力,移动政务安全问题也随之凸显。为保护电子政务移动办公系统中政务数据的安全性,亚信安全建议用户实现“数据不落地”和“应用不落地”,防范被恶意攻击者找到可乘之机。
《信息安全技术电子政务移动办公系统安全技术规范》(以下简称:“移动政务安全准则规范”)将在今年7月1日起正式实施,要求实现数据与应用不落地,这将对我国电子政务移动办公系统的构建产生深远的影响。
2015年十二届全国人大三次会议上,总理在政府工作报告中首次提出“互联网+”行动计划。在政府工作报告中提出,“制定互联网+行动计划,推动移动网络、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网公司拓展国际市场。”目前基于移动网络和云计算的新模式、新业态已成为中国实施创新驱动发展的策略的重要手段。
在移动办公模式推广的同时,数据泄露成为组织用户必须要面对的严重威胁。Gemalto报告数据显示,在2017年上半年被盗的数据中,由于内部恶意泄露、员工疏忽无意泄露等造成的占被盗数据中的86%,远超于外部黑客攻击。
当办公信息化流程延伸到移动端之后,要保护数据不被泄露则成为更加棘手的问题。企业内庞大的移动电子设备、繁杂的移动应用为保护数据安全带来了很大挑战。企业很难阻止这些移动电子设备连接在办公场景中,再加上移动电子设备具有高度的便携性,常常脱离于企业的网络管理边界范围之外,企业并不能随时掌控这些设备的状态,也无法强制规定移动设备的应用环境,这将诱生巨大的风险因素。员工手机失窃,或是有目的的数据泄露行为都将导致机密数据泄露。
在移动化的浪潮中,政府有关部门开始了移动化转型,并积极寻求通过办公流程的移动化改造来将移动终端转换为生产力工具,推动政务办公自动化,移动警务、移动海事等应用系统也慢慢的出现。通过移动办公,能轻松实现随时随地的公文流转审批,发布或阅读内部公告,极大的提升效率。在此背景下,大量的关键政务应用会通过移动终端进行交付,政务数据也会在移动终端上进行交互与处理,这同样对电子政务安全带来了更大的挑战。
为了保护电子政务移动办公系统的数据安全,亚信安全建议政府用户遵循“移动政务安全准则规范”的指导,采用虚拟化等技术实现客户端仅显示用户界面和传输用户交互数据,政务应用和政务数据仅在服务器端运行和存储,办公数据不在移动终端留存。也就是大家常说的“数据不落地”和“应用不落地”。
亚信安全产品管理副总经理余凯表示:“架构安全才能信息安全。传统的电子政务移动办公系统架构中,移动应用会将数据缓存或存储在移动电子设备上,无论数据落地留存的时间多短,都带来了重大安全风险隐患。手机若感染恶意代码数据会在第一时间被窃取转发;另一个场景是手机遗失,恶意攻击者往往先断网并通过黑客工具获取手机上的机密数据。因此,在安全性严密的移动政务系统中,移动电子设备应该只是作为传感器、输入设备和显示设备,避免数据在设备中的留存。”
同时,应用不落地也是规范的一个重要内容。余凯表示,一旦移动应用在移动电子设备中落地,黑客就有机会对应用进行逆向分析,从而发现漏洞并找到攻击点用以窃取数据,甚至伪造APP或者直接对服务器做攻击,对涉及国计民生或公民信息的政务数据带来重大威胁。
“移动政务安全准则规范”对政务系统的移动化提出了新的合规性要求,在移动终端成为电子政务应用重要载体的同时,政府部门要设计一套同时覆盖人员、网络、终端、应用、数据等多层面的严密移动安全架构,不仅对政务移动终端的应用限制范围、使用时间制定严格的管理规范,还应该将移动政务数据的存储介质从终端转移到统一管控的数据池中,强化电子政务系统对于数据泄露风险的能力。
亚信安全为电子政务移动办公提供了VMI云手机解决方案,该方案基于真正的移动虚拟化平台,采用了虚拟移动基础架构(Virtual Mobile Infrastructure),可以为用户更好的提供一个专为移动电子设备设计的安全虚拟工作区,能保证移动应用数据不出数据中心,移动办公数据不落地,满足“移动政务安全准则规范”的要求,有效保障重要数据的安全。
目前,该解决方案在政府、金融、运营商等行业内都已有了标杆客户并支持主流的私有云和公有云平台部署。在部署云手机方案之后,客户数据不会保存在手机终端,即使手机终端被控制,黑客也无法获取到机密信息。
移动虚拟化平台的价值还在于,其通过虚拟化的方式打造了专属的政务应用处理区,并不影响移动终端正常功能的发挥。通过部署亚信安全云手机方案,政府部门还能轻松实现安全工作空间与个人生活空间的隔离,在安全工作空间中,政府部门能轻松实现对办公应用的安全管控,外部应用无法窥探内部数据,内部数据也不能走出工作区;在个人生活空间中,移动终端则与普通终端无异。
移动虚拟化平台通过架构创新轻松解决传统安全挑战,让政府客户站在一个更高的起点推进并加速移动化进程,提升运维能力和效率,是目前移动政务的最优解。
在即将召开的2018年C3安全峰会上,移动政务安全将会成为重要的热门话题,与会的安全大咖究竟将发表怎样的精彩观点呢?让我们拭目以待。
随着移动互联及智能移动终端的快速普及,各行各业的企业出现了对移动办公的迫切需求。移动办公能大大的提升工作效率,满足员工对办公设备的个性化追求,但同时也给公司能够带来了更多的数据安全风险。因此如何在无线及移动网络上确保信息与业务的安全,如何在保证员工隐私的同时保障移动办公安全成为企业用户运维管理的当务之急。
信息技术在企业管理领域应用迅速普及,其对提升企业核心竞争力的作用也日益明显。不断加剧的市场之间的竞争,让我国运营商企业意识到了企业信息化的重要性。宁夏省移动公司也意识到企业信息化建设是提高核心竞争力的关键手段之一,并已基于2.5G或3G的移动语音和数据业务发展趋势,建立了支持新业务运营的完善、坚实的信息化支撑平台。