能源运营商解决方案
能源行业移动应用的管理体系、安全漏洞风险、安全防护手段、持续监控与管控等需求,提供移动应用全生命周期解决方案,包含标准规范建设、安全检测、加固、渠道监测、威胁感知、管控平台等
立即咨询能源行业移动应用的管理体系、安全漏洞风险、安全防护手段、持续监控与管控等需求,提供移动应用全生命周期解决方案,包含标准规范建设、安全检测、加固、渠道监测、威胁感知、管控平台等
立即咨询能源集团正向“智慧企业”进行数字化转型,智慧企业发展、智能电厂建设、精益化管理及工作效率提升均对移动业务提出日益迫切的需求,能源集团正在加速开展业务应用的移动化建设,以提供更加开放、智能、高效的服务,加快了集团智慧企业发展的步伐,实现了业务信息的实时流动和共享,极大的提高了工作效率。
同时客观上也增加了集团数据的暴露面,受到的外部威胁也日趋严重,在“没有网络安全,就没有国家安全”的背景下,国家先后对移动业务安全提出了相关标准和规范。在2019年12月1日正式实施的《网络安全等级保护条例》等级保护2.0中提出了《网络安全等级保护基本要求第3部分:移动互联安全扩展要求》, 在该安全扩展要求中明确了移动应用安全的重要性以及功能要求,等级保护2.0作为网络信息安全合规指导纲领,要求保证移动应用和数据的安全性。同时国家能源相继发布了《关于加强网络安全和信息化工作的指导意见》、《国家能源集团十三五信息化规划纲要》、《国家能源集团网络安全和信息化规划管理办法》、《国家能源集团网络安全与信息化项目立项管理办法》、《国家能源集团网络安全与信息化架构管理办法》等明确提出了对移动业务安全的相关要求。
能源企业APP倾向于传统系统建设模式,以业务驱动需求,需求驱动项目,项目定制产品的模式进行开发、实现,应用移动化过程中带来的新的信息、数据孤岛,不利于移动应用的统一管控。当前的APP类型包括互联网服务APP、内部办公、外勤生产类型等,主要风险问题如下:
移动应用的开发规范、管理制度、技术标准、安全防护、应用准入、质量检测等方面,依旧缺乏统一的、标准的治理体系,缺乏统一度量。
缺乏整体有效防护手段,不能形成基于终端、应用和数据的纵深防护体系,更不能对移动应用和敏感数据进行全生命周期保护,无法做到基于检测与响应的长效机制。
由于缺乏明确的技术约束手段,即使有制度约束,也可能会造成有章不守、有规不依,这些技术架构不一、安全策略不一的应用,在移动互联网上暴露更多的入口,增加数据泄露的风险。因此应建立统一的安全管控平台、安全防护机制,并依托技术手段对不合规应用早干预、早检查、早发现、早纠正。
移动安全威胁可能随时发生,集团移动应用运行时的安全状态,由于不能实时持续监控将无从得知,如应用运行环境是否存在异常,应用是否遭受恶意攻击,应用操作行为是否越权,应用操作是否引起敏感数据泄露等,无法保障移动应用的安全可靠运行,信息化管理部门与运维部门对移动应用失感、失管、失控。
| 标准规范建设 | 以安全设计指南、安全编码指南、安全测试指南作为指引,应用项目组在设计、编码、测试环节使用,使架构设计、编码质量、应用自身安全强度达到安全标准;同时集团公司使用安全评估指南对移动应用项目组和移动应用进行评估,以审核应用建设过程和应用自身安全强度是否符合安全标准。 |
| 安全检测 | 在移动应用App上线前或在大版本升级后,使用应用反编译检测、本地数据安全检测、通信传输安全检测、认证安全检测、内部数据交互安全检测、恶意攻击防范能力检测等。 |
| 安全加固 | 通过虚拟化保护、字符串加密、函数隐藏、动态运行防护、完整性校验、文件防篡改、资源文件加密等技术在移动应用App发布前对其进行加固。 |
| 渠道监测 | 通过对互联网应用市场、下载渠道等进行实时监测,及时发现与能源相关的盗版、钓鱼应用,并及时进行下架处理,防止因使用者误下载盗版/钓鱼应用造成损失。 |
| 威胁感知 | 建立移动应用运行时风险感知机制,对运行时设备的环境、外部风险攻击、业务运行异常等进行实时监测,发现风险后及时上报并响应。做到对客户端运行的事前感知、事中响应、事后溯源。 |
| 综合管理平台 | 为了更方便的对移动应用全生命周期安全进行管控,建立综合管理平台,将移动应用的安全开发、安全测试、安全上线、安全运行等统一纳入到综合管理平台中,实时呈现移动应用的安全状态。 |
| 网络安全有效性验证系统 | 可对当前网络所部署的安全防护体系进行持续的有效性验证,帮助企业及时识别和解决安全问题,提高企业的安全防御能力和风险管理水平。 |
京公网安备
11010802025310号
