移動政務安全風險凸顯 數據和應用不落地成安全“最優解”
在移動互聯網快速發展的趨勢下,移動辦公已經成為政府機構提升政務效率、打造服務型政務的重要驅動力,移動政務安全問題也隨之凸顯。為了保護電子政務移動辦公系統中政務數據的安全性,亞信安全建議用戶實現“數據不落地”和“應用不落地”,防范被惡意攻擊者找到可乘之機。
《信息安全技術電子政務移動辦公系統安全技術規范》(以下簡稱:“移動政務安全規范”)將在今年7月1日起正式實施,要求實現數據與應用不落地,這將對我國電子政務移動辦公系統的構建產生深遠的影響。
數據泄露考驗電子政務移動辦公系統建設
2015年十二屆全國人大三次會議上,李克強總理在政府工作報告中首次提出“互聯網+”行動計劃。李克強在政府工作報告中提出,“制定‘互聯網+’行動計劃,推動移動互聯網、云計算、大數據、物聯網等與現代制造業結合,促進電子商務、工業互聯網和互聯網金融健康發展,引導互聯網企業拓展國際市場。”目前基于移動互聯網和云計算的新模式、新業態已成為我國實施創新驅動發展戰略的重要手段。
在移動辦公模式推廣的同時,數據泄露成為組織用戶必須要面對的嚴重威脅。Gemalto報告顯示,在2017年上半年被盜的數據中,由于內部惡意泄露、員工疏忽無意泄露等造成的占被盜數據中的86%,遠遠超過外部黑客攻擊。
當辦公信息化流程延伸到移動端之后,要保護數據不被泄露則成為更加棘手的問題。企業內龐大的移動設備、繁雜的移動應用為保護數據安全帶來了很大挑戰。企業很難阻止這些移動設備連接在辦公場景中,再加上移動設備具有高度的便攜性,常常脫離于企業的網絡管理邊界范圍之外,企業并不能隨時掌控這些設備的狀態,也無法強制規定移動設備的應用環境,這將誘生巨大的風險因素。員工手機失竊,或是有目的的數據泄露行為都將導致機密數據泄露。
在移動化的浪潮中,政府相關部門開始了移動化轉型,并積極尋求通過辦公流程的移動化改造來將移動終端轉換為生產力工具,推動政務辦公自動化,移動警務、移動海事等應用系統也開始出現。通過移動辦公,可以實現隨時隨地的公文流轉審批,發布或閱讀內部公告,大大提升效率。在此背景下,大量的關鍵政務應用會通過移動終端進行交付,政務數據也會在移動終端上進行交互與處理,這同樣對電子政務安全帶來了更大的挑戰。
可以預見,移動化的大趨勢迫切需要有前瞻性的標準和架構解決安全的挑戰!
數據不落地,強化數據泄露風險應對能力
為了保護電子政務移動辦公系統的數據安全,亞信安全建議政府用戶遵循“移動政務安全規范”的指導,采用虛擬化等技術實現客戶端僅顯示用戶界面和傳輸用戶交互數據,政務應用和政務數據僅在服務器端運行和存儲,辦公數據不在移動終端留存。也就是大家常說的“數據不落地”和“應用不落地”。
亞信安全產品管理副總經理余凱表示:“架構安全才能信息安全。傳統的電子政務移動辦公系統架構中,移動應用會將數據緩存或存儲在移動設備上,無論數據落地留存的時間多短,都帶來了重大安全隱患。手機若感染惡意代碼數據會在第一時間被竊取轉發;另一個場景是手機遺失,惡意攻擊者往往先斷網并通過黑客工具獲取手機上的機密數據。因此,在安全性嚴密的移動政務系統中,移動設備應該只是作為傳感器、輸入設備和顯示設備,避免數據在設備中的留存。”
同時,應用不落地也是規范的一個重要內容。余凱表示,一旦移動應用在移動設備中落地,黑客就有機會對應用進行逆向分析,從而發現漏洞并找到攻擊點用以竊取數據,甚至偽造APP或者直接對服務器做攻擊,對涉及國計民生或公民信息的政務數據帶來重大威脅。
“移動政務安全規范”對政務系統的移動化提出了新的合規性要求,在移動終端成為電子政務應用重要載體的同時,政府部門需要設計一套同時覆蓋人員、網絡、終端、應用、數據等多層面的嚴密移動安全架構,不僅對政務移動終端的使用范圍、使用時間制定嚴格的管理規范,還應該將移動政務數據的存儲介質從終端轉移到統一管控的數據池中,強化電子政務系統對于數據泄露風險的能力。
移動虛擬化平臺是移動政務的“最優解”
亞信安全為電子政務移動辦公提供了VMI云手機解決方案,該方案基于真正的移動虛擬化平臺,采用了虛擬移動基礎架構(Virtual Mobile Infrastructure),可以為用戶提供一個專為移動設備設計的安全虛擬工作區,能夠確保移動應用數據不出數據中心,移動辦公數據不落地,滿足“移動政務安全規范”的要求,有效保障重要數據的安全。
目前,該解決方案在政府、金融、運營商等行業內都已有了標桿客戶并支持主流的私有云和公有云平臺部署。在部署云手機方案之后,客戶數據不會保存在手機終端,即使手機終端被控制,黑客也無法獲取到機密信息。
移動虛擬化平臺的價值還在于,其通過虛擬化的方式打造了專屬的政務應用處理區,并不影響移動終端正常功能的發揮。通過部署亞信安全云手機方案,政府部門還可以實現安全工作空間與個人生活空間的隔離,在安全工作空間中,政府部門可以實現對辦公應用的安全管控,外部應用無法窺探內部數據,內部數據也不能走出工作區;在個人生活空間中,移動終端則與普通終端無異。
移動虛擬化平臺通過架構創新輕松解決傳統安全挑戰,讓政府客戶站在一個更高的起點推進并加速移動化進程,提升運維能力和效率,是目前移動政務的最優解。
在即將召開的2018年C3安全峰會上,移動政務安全將會成為重要的熱門話題,與會的安全大咖究竟將發表怎樣的精彩觀點呢?讓我們拭目以待。
