梆梆资讯
“互联网+”时代,梆梆安全助力社保行业移动端安全建设
2023-01-04
近年来,以互联网为基础的现代化信息技术迅猛发展,深度融入我国经济社会的各个方面,极大地影响、改变了经济和社会的运行方式以及人们的生活方式,进而也深刻地影响了社保等民生服务行业的工作。
社保卡全称是“中华人民共和国社会保障卡”,最初的规划设计是一卡多用、全国通用,服务于更多民生业务的集成。2018年,根据“互联网+”的需要,人社部推出可加载到手机中的电子社保卡,百姓出门用手机就能完成实体社保卡的功效。截至2022年6月底,社保卡持卡人数已覆盖96.3%的人口,其中98%以上加载了金融功能的社保卡,通过手机移动端申请电子社保卡的人数也覆盖到了40%以上的人口。
社保行业的发展趋势与挑战
近年来,社保卡一直在不断创新,由之前人社范围内的一卡通办到目前实现支持更多政务数据的一卡共享、各类民生服务的一卡多用。社保业务转移到手机端之后,可使用电子社保卡进行查询、办事、支付。百姓可直接展示电子社保卡二维码,用电子社保卡扫一扫实现身份认证,以及直接使用电子社保卡的线上服务。
电子社保卡秉承开放理念,人社部重点搭建完善服务内核,以将内核嵌到地方政府APP及各大银行APP中,方便广大群众使用电子社保卡。
由于社保数据的特殊性,它早已成为个人信息泄露的“重灾区”,如被公开售卖,用于牟利。2019年9月的公信宝事件,就曝出国内知名币圈项目公信宝明码标价爬取出售社保数据的情况。
社保数据的抓取和出售
社保行业移动安全合规要求
基于前述的安全形势,人社部为有序推进电子社会保障卡工作,进一步提高电子社会保障卡的服务水平,加强电子社会保障卡的安全防护能力,于2020年11月制定了《电子社会保障卡服务渠道管理办法(试行)》(后文简称《管理办法》)和《电子社会保障卡服务渠道接入安全技术规范(1.0版)》(后文简称《安全技术规范》)。
《管理办法》主要针对电子社保卡的服务渠道提出相关管理制度的要求。《安全技术规范》则对服务渠道的接入提出了安全技术规范的要求,针对移动端(App和H5小程序)方面,主要包括抗攻击能力(客户端)、环境校验(客户端)、信息输入安全(客户端)、用户个人信息保护及H5页面安全(客户端)等方面。
梆梆安全社保行业移动安全解决方案
基于社保行业移动端的安全态势及行业政策,梆梆安全提出了社保行业移动安全解决方案。防护对象包括App和H5小程序,方案覆盖安全合规、安全监测、安全防护以及安全运营保障四大框架。另外,根据人社移动端安全建设任务的紧迫程度,建议分期进行建设。
01
一期建设
App作为社保业务的重要承载渠道,以及作为安全合规检查的重点对象,一期建议优先构建App端的安全防护措施及安全运营保障。
安全防护措施
应用安全加固:为智能应用软件提供一体化加固服务,有效防止针对智能应用软件的逆向分析、二次打包、内存注入、动态调试、数据窃取、界面劫持、应用钓鱼等恶意攻击行为,使客户端具备基本的抗攻击能力,全面保护智能应用软件安全。
App安全软键盘:提供一个自定义安全键盘的控件,该控件通过梆梆安全独有的白盒加密技术对密钥进行保护,使用严格的加密方式对用户输入的信息进行安全处理,并提供多种类型的输入字符供用户进行切换,降低了输入数据泄露的风险,保障客户端信息输入的安全。
安全运营保障
App安全监测:保障客户端的环境校验,检查客户端运行时所必须的条件,确保客户端自身和所处运行环境的安全性。通过对移动应用运行过程的持续监控,利用大数据及机器学习技术,从设备、系统、应用、行为四个维度,实时监测移动应用各种运行时攻击行为,从动态攻击的技术源头进行感知分析,提供多维度的安全态势统计,并以可视化图表的方式展现整体安全形势,帮助用户快速建立事前、事中、事后的移动应用安全监测防御体系。
02
二期建设
在完成一期App客户端安全防护建设的基础上,二期建议继续构建H5小程序端安全防护措施。
应用安全加固:梆梆安全H5安全加固系统可以有效防止针对H5 Web应用、H5混合应用、小程序、公众号进行的反编译、动态调试、代码篡改、JavaScript盗用等攻击行为,降低因H5自身安全缺陷带来的各种风险,使H5页面具备基本的抗攻击能力。
H5安全软键盘:保障H5小程序端信息输入的安全。可以为开发者提供高强度数据加密保护能力,同时H5安全软键盘支持展示企业Logo、安全软键盘等信息,让用户在输入过程中意识到被保护,提升用户对企业安全服务能力的认可和品牌认同感。
03
常态化建设
致力于赋能社保行业客户,后续将进行常态化建设,使其具备持续安全合规能力及安全检测能力。
个人隐私合规评估服务:根据客户提供的行业合规要求,帮助企业在监管部门检查前自查自纠,提前发现问题,确保其符合行业安全合规、个人信息合规要求,保障服务渠道在采集用户个人敏感数据时的合规性。
安全渗透测试服务:利用漏洞产生原理和渗透测试方法,通过黑盒方式对各类信息系统及应用等进行深度弱点探测和脆弱性测试,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据和解决方案,保障服务渠道避免由软件漏洞引发的安全风险,帮助用户建立安全可靠的应用服务。
随着电子社保卡业务的不断创新,不断打破原有政务部门的的数据壁垒,如部分地市进一步把电子社保卡和区块链技术结合开展探索发展,中央网信办联合相关部委也在推动区块链的试点应用。新技术的探索往往会引发新的信息安全风险,梆梆安全将持续关注社保行业业务安全问题,不断输出切实可行的安全解决方案,为我国社保行业的健康发展保驾护航。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1