移动政务安全风险凸显 数据和应用不落地成安全“较优解”

5月4日消息，在移动互联网快速发展的趋势下，移动办公已经成为政府机构提升政务效率、打造服务型政务的重要驱动力，移动政务安全问题也随之凸显。为了保护电子政务移动办公系统中政务数据的安全性，亚信安全建议用户实现“数据不落地”和“应用不落地”，防范被恶意攻击者找到可乘之机。

《信息安全技术电子政务移动办公系统安全技术规范》（以下简称：“移动政务安全规范”）将在今年7月1日起正式实施，要求实现数据与应用不落地，这将对我国电子政务移动办公系统的构建产生深远的影响。

数据泄露考验电子政务移动办公系统建设

2015年十二届全国人大三次会议上，李克强总理在政府工作报告中首次提出“互联网＋”行动计划。李克强在政府工作报告中提出，“制定‘互联网+’行动计划，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业互联网和互联网金融健康发展，引导互联网企业拓展国际市场。”目前基于移动互联网和云计算的新模式、新业态已成为我国实施创新驱动发展战略的重要手段。

在移动办公模式推广的同时，数据泄露成为组织用户必须要面对的严重威胁。Gemalto报告显示，在2017年上半年被盗的数据中，由于内部恶意泄露、员工疏忽无意泄露等造成的占被盗数据中的86%，远远超过外部黑客攻击。

当办公信息化流程延伸到移动端之后，要保护数据不被泄露则成为更加棘手的问题。企业内庞大的移动设备、繁杂的移动应用为保护数据安全带来了很大挑战。企业很难阻止这些移动设备连接在办公场景中，再加上移动设备具有高度的便携性，常常脱离于企业的网络管理边界范围之外，企业并不能随时掌控这些设备的状态，也无法强制规定移动设备的应用环境，这将诱生巨大的风险因素。员工手机失窃，或是有目的的数据泄露行为都将导致机密数据泄露。

在移动化的浪潮中，政府相关部门开始了移动化转型，并积极寻求通过办公流程的移动化改造来将移动终端转换为生产力工具，推动政务办公自动化，移动警务、移动海事等应用系统也开始出现。通过移动办公，可以实现随时随地的公文流转审批，发布或阅读内部公告，大大提升效率。在此背景下，大量的关键政务应用会通过移动终端进行交付，政务数据也会在移动终端上进行交互与处理，这同样对电子政务安全带来了更大的挑战。

可以预见，移动化的大趋势迫切需要有前瞻性的标准和架构解决安全的挑战！

数据不落地，强化数据泄露风险应对能力

为了保护电子政务移动办公系统的数据安全，亚信安全建议政府用户遵循“移动政务安全规范”的指导，采用虚拟化等技术实现客户端仅显示用户界面和传输用户交互数据，政务应用和政务数据仅在服务器端运行和存储，办公数据不在移动终端留存。也就是大家常说的“数据不落地”和“应用不落地”。

亚信安全产品管理副总经理余凯表示：“架构安全才能信息安全。传统的电子政务移动办公系统架构中，移动应用会将数据缓存或存储在移动设备上，无论数据落地留存的时间多短，都带来了重大安全隐患。手机若感染恶意代码数据会在较早时间被窃取转发；另一个场景是手机遗失，恶意攻击者往往先断网并通过黑客工具获取手机上的机密数据。因此，在安全性严密的移动政务系统中，移动设备应该只是作为传感器、输入设备和显示设备，避免数据在设备中的留存。”

同时，应用不落地也是规范的一个重要内容。余凯表示，一旦移动应用在移动设备中落地，黑客就有机会对应用进行逆向分析，从而发现漏洞并找到攻击点用以窃取数据，甚至伪造APP或者直接对服务器做攻击，对涉及国计民生或公民信息的政务数据带来重大威胁。

“移动政务安全规范”对政务系统的移动化提出了新的合规性要求，在移动终端成为电子政务应用重要载体的同时，政府部门需要设计一套同时覆盖人员、网络、终端、应用、数据等多层面的严密移动安全架构，不仅对政务移动终端的使用范围、使用时间制定严格的管理规范，还应该将移动政务数据的存储介质从终端转移到统一管控的数据池中，强化电子政务系统对于数据泄露风险的能力。

移动虚拟化平台是移动政务的“较优解”

亚信安全为电子政务移动办公提供了VMI云手机解决方案，该方案基于真正的移动虚拟化平台，采用了虚拟移动基础架构(Virtual Mobile Infrastructure)，可以为用户提供一个专为移动设备设计的安全虚拟工作区，能够确保移动应用数据不出数据中心，移动办公数据不落地，满足“移动政务安全规范”的要求，有效保障重要数据的安全。

目前，该解决方案在政府、金融、运营商等行业内都已有了标杆客户并支持主流的私有云和公有云平台部署。在部署云手机方案之后，客户数据不会保存在手机终端，即使手机终端被控制，黑客也无法获取到机密信息。

移动虚拟化平台的价值还在于，其通过虚拟化的方式打造了专属的政务应用处理区，并不影响移动终端正常功能的发挥。通过部署亚信安全云手机方案，政府部门还可以实现安全工作空间与个人生活空间的隔离，在安全工作空间中，政府部门可以实现对办公应用的安全管控，外部应用无法窥探内部数据，内部数据也不能走出工作区；在个人生活空间中，移动终端则与普通终端无异。

移动虚拟化平台通过架构创新轻松解决传统安全挑战，让政府客户站在一个更高的起点推进并加速移动化进程，提升运维能力和效率，是目前移动政务的较优解。

在即将召开的2018年C3安全峰会上，移动政务安全将会成为重要的热门话题，与会的安全大咖究竟将发表怎样的精彩观点呢？让我们拭目以待。