梆梆资讯
“检”步如飞!梆梆安全破解检测机构行业多场景落地难题
2023-02-06
后疫情时代,在全球数字化转型的浪潮及我国的政策加持下,企业数字化赋能显著提速,办公及业务系统的移动化已成为企业降本增效的必备之选,随之而来的是日趋严峻的网络安全挑战。
业务安全与移动化建设的“目标冲突”难以协调;业务建设中移动接入的“安全合规”难以保障;安全事件频发,网络防守方“发展劣势”愈发显著......检测机构行业的移动安全建设,也同样面临着诸多网络安全困境,需要高效、便捷、普惠的安全建设方案匹配。
合规要求趋严,移动安全成为重点
国家高度重视网络安全工作,在各行业、多个领域密集出台了多项网络安全法律法规和政策文件,有效促进了移动安全领域的技术创新和应用落地。目前国家对移动信息安全监管提出的新要求,具体体现在三个层面:
1 网络安全法律合规要求
《网络安全法》第十七条规定,国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第四十五条也要求个人信息处理者应当事前进行个人信息保护影响评估,并定义了需要对处理情况进行记录的几种情况。
2 重点行业安全政策发布
等级保护 2.0 标准
将移动互联系统纳入了等级保护范畴,移动互联系统应按照网络安全等级保护制度要求,履行网络安全法的法律义务,开展测评工作。
教育行业移动安全政策
2019年9月,教育部等八部门联合发布《关于引导规范教育移动互联网应用有序健康发展的意见》,要求教育 App 需要进行教育业务备案。自主研发教育App应满足:未进行备案不得选用、需安全评估方可上线以及采集个人信息要合规等常态化网络安全监测预警要求。
医疗行业移动安全政策
医保网信办【2019】4号文要求:公共服务子系统是医保局向用户提供医疗服务的核心系统,客户端应用安全与否直接关系到用户隐私和数据安全,作为国家关键基础设施之一,应当遵循《关键基础设施安全保护条例》,对互联网终端应用进行安全防护,定期开展网络安全监测、检测和风险评估等。
3 国家级安全事件驱动
学习通用户数据泄露事件
超星学习通是不少在校大学生的常用学习软件。2022年6月被曝数据库信息遭公开售卖,包含姓名、手机号、性别、学校、学号、邮箱等信息 1亿7273 万条。
315晚会聚焦个人信息安全
2022年 315 晚会首设 315 信息安全实验室,通过场景实验的方式帮助大家发现那些生活中看不到、没注意、常忽略的信息安全隐患。包括:“免费WiFi”诱导用户点击,下载“暗藏”APP;恶意程序轻而易举的安装到低配置儿童表,各类 APP 无需用户授权就可以拿走定位、通讯录、麦克风和摄像头等多种敏感权限,轻松获取未成年人的位置、人脸图像、录音等隐私信息。
场景需求复杂,移动安全挑战严峻
基于政策要求及安全形势,在国家网信部门统筹协调下,各相关部门负责具体实施。检测机构、检测任务的场景需求日益复杂,移动安全面临严峻挑战。具体如下:
国家级检测任务
国家级检测任务分为行业检测任务和事件型检测任务。
行业检测任务:专业需求工具+人工完成任务,时间需求短,项目执行要求应用自动化、批量化技术。如:强化人脸识别技术的风险评估和管控、加强人脸识别认证服务系统的安全管控、人脸识别服务供应链安全管理等。
事件型检测任务:专业需求对相关场景深入研究,经验需求有成熟的案例及经验。如:关于某行业 App 人脸识别绕过的情况通报、集中检查国内 App 的人脸识别业务是否存在安全风险、将存在风险功能的 APP 下架等。
检测技术研究
检测技术研究机构是公司产品开发和业务研究的主要科研部门,承担研发和创新的重要任务。更新和增强安全检测能力是其重要工作,如顺应监管需求,对小程序、公众号进行安全检测技术研究。
等保检测任务
等保测评机构根据行业+区域进行检查工作,要求工具箱便携专业、快速输出报告。被检测方要求对应厂商提供加固解决方案、提供整改意见供客户自行修改。
专项检测任务
公安部门关于安全和隐私合规检测的专项检测任务、网信办和工信部关于隐私合规检测的专项检测任务,共性需求是:工具的专业性、权威性、便捷性,需求方可参照标准进行整改。
四大场景方案,梆梆安全助力检测机构移动安全
有效落地
虽然同为检测机构,不同的安全检测场景需求却不同。梆梆安全检测机构移动安全解决方案,在满足检测机构行业对性能、合规、可靠性等严苛的要求下,为用户构造多元场景下安全可信的建设方案,满足用户数字化转型更进一步的需求。整体方案概览如下:
场景方案1:国家级测评任务
场景方案2:研究型任务
场景方案3:等保检测任务
场景方案4:专项检测任务
截至目前,梆梆安全在检测机构行业,已服务超 50 家行业用户。
某研究所:提供移动应用进行安全检测能力,检测范围广泛、结果质量与速度并重;
某科研单位:保障电力集团内部使用的 App 的安全性,需要基于已有的安全检测产品建立一个安全标准,对内部 App 进行安全测试和管理;
某安全技术中心:提供自动化检测能力,并定制提供专项监管的检测方案。覆盖多种场景,如监管全国 5k+ 的 P2P 互联网金融移动应用,检测盗版的钓鱼应用发布,并给出警示及下架处理。
随着检测机构业务数字化转型的加速,检测机构的安全建设正从传统的边界防御向移动安全与终端安全延伸,从网络安全向数据安全、应用安全延伸。对此,作为国家级专精特新小巨人企业的梆梆安全,凭借深耕检测行业领域的多年经验,深度结合行业发展趋势,通过持续的技术更新和全情投入的服务,不断助力检测机构移动安全建设迈向更高台阶。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1