2024 年 11 月 8 日，以 " 数据要素驱动高质量发展 " 为主题的第六届数字发展论坛在北京成功召开，论坛由中国互联网协会主办，中国互联网协会数字化转型与发展工作委员会、伏羲智库承办，中国科学院计算技术研究所、清华大学公共管理学院、清华大学互联网治理研究中心提供学术支持。

围绕服务经济、工业转型、数字政务、数字社会、数字文明、智能城市、基础设施、数字农业等八个主题召开分论坛，分论坛邀请到政产学研等各个领域的近三十位资深专家，梆梆安全资深安全专家张裕受邀出席并发表《政务服务移动应用安全体系建设》主题演讲，共同探讨政务服务应用安全体系建设与实践应用。

政务服务移动应用安全体系建设

梆梆安全资深安全专家张裕表示，随着政务移动互联网应用的快速发展，移动端应用的数量和业务丰富度爆发式增长。与此同时，移动终端面临的安全威胁种类和数量也在不断增多，手机操作系统漏洞，不可预知的业务逻辑缺陷，运行时的动态攻击，虚假设备，地下黑产等各类攻击手段，严重影响用户数据安全及合法权益。

同时，国家出台各项政策法规要求政务服务平台应加强移动端安全防护工作。2023 年 6 月，国家信息中心牵头编制的 GB/T 35282 — 2023《信息安全技术 电子政务移动办公系统安全技术规范》对政务服务移动应用管理和安全监测两个方面提出要求，应支持对政务 APP 进行安全防护、加固、安全检测和签名，防止受到恶意程序的破坏、破解和篡改；应支持对移动终端的网络攻击行为进行监测和告警。

政务移动应用 " 端到端 " 安全建设

梆梆安全政务服务移动应用安全体系建设方案采用动静结合实时防御的安全防御策略，动态安全防御机制与现有的静态防御机制进行联动及协同防御。通过政务服务移动应用安全保障体系建设，实现以下效果：

1. 实时感知客户端风险，包括移动应用加固破解、动态攻击等；将前端风险感知与后端流量感知相结合，实现端到端的安全协同；

2. 前端风险感知能力亦需要纳入当前的静态保护范围，防止被逆向分析；

3. 针对前端风险的防御机制做到实时防御，同时覆盖不同业务渠道，不同渠道安全防御做到联防联控；

助力经济社会数字化转型特色案例

在 " 互联网助力经济社会数字化转型 " 案例征集发布环节，根据专家评审结果，中国互联网协会副理事长，伏羲智库创始人、主任李晓东教授公布了 2024" 互联网助力经济社会数字化转型 " 中国互联网协会特别推荐案例与特色案例，梆梆安全 " 政务服务移动应用安全体系建设 " 入选中国互联网协会 2024 年度互联网助力经济社会数字化转型特色案例。

该案例为某省级政务移动应用 " 某事办 "，作为某省全省各部门政务服务的 " 一站式直达 " 应用，承载政务服务移动端平台的全部功能，承建单位应提供针对客户端的安全检测、安全防护、安全监测能力，确保移动应用客户端的应用安全、数据安全、通信安全、身份认证安全、个人信息安全；某事办 " 安全管理监控能力较弱，缺少自动化的移动应用安全监控、预警能力。

梆梆安全为 " 某事办 " 提出 " 事前提高安全等级 + 事中实时监测响应 + 事后违规事件溯源 " 的移动应用全生命周期解决方案，从终端、应用、业务、数据等方面，全面构建政务服务应用应用的安全体系。

对移动应用上线前进行合规检测、安全检测及安全加固，" 某事办 " 移动应用内禁止截屏、录屏等权限控制功能，实现防止数据通过截屏 / 录屏泄漏；进行账号与手机设备进行绑定，防止重要账号被盗用，防止泄露数据。

移动应用上线后，通过移动应用威胁感知平台，发现移动应用运行过程中遭受到的攻击与威胁；检测到风险后，进行定位、阻断、溯源，全方位保护移动应用安全。

前三个月服务期间，根据平台策略安全配置规则（威胁程度、监测范围）对攻击数据进行处理后，总共监测到威胁总数共 510019 次，影响设备数为 156510 台，影响设备率 6.85%；针对于此次巡检分析，筛选出典型设备攻击示例，分别为人脸绕过攻击和渗透测试攻击。

携手共进   共创未来

在创建 " 数字中国 " 的远大目标下，我国法律法规以及监管执法的落地技术手段将不断完善。作为政务服务应用的开发者、运营者，应以长远目光结合体系化建设思路看待政务服务移动应用安全建设。未来，梆梆安全将在政务服务移动应用安全的路上，打造移动应用安全盾牌，不断完善移动安全体系，为政务应用的安全运转和顺利运行提供安全防御支撑，为我国电子政务服务业务发展保驾护航。