01.电子政务超级APP发展现状

随着移动互联网的整体发展进入高峰期，移动应用在政府、金融、通信、交通等各行业变得越来越重要。为加强政民互动，满足公共服务需求，提高政府行政效率，各省市地区陆续推出了一些政务类“超级APP”。超级APP是指平台化的基础APP，此类APP除去流量分发的工作外，还将自身引擎化来承载各种小程序、轻应用的运行，以期提供多样化的功能服务，“北京通”“闽政通”“皖事通”就是典型的政务类超级APP。使用者通过这些应用的实名认证后即可享受“一网通办”的便捷移动端服务，服务范围涵盖公安、人社、民政、卫生、医保、司法等重点领域。政务类超级APP由于其提供服务场景的特殊性，必然会处理包含大量涉及公民信息、商业秘密甚至国家安全等方面数据的海量信息。因此，如何保障移动政务应用的信息安全成为了开发者不得不重点考虑的问题。

02.电子政务超级APP安全风险分析

针对移动应用的破解教程在各大技术论坛层出不穷，一个仅有数月编程经验的人根据教程就足以对应用发起攻击并造成严重影响。随着移动互联网的快速发展，应用商店内的移动应用日益丰富的同时，其安全防护程度也因应用的复杂度不同而参差不齐。政务类超级APP本质上是一个宿主移动应用和一系列小程序的聚合形态。这就意味着，政务类超级APP除了传统移动应用的固有安全风险，也因引入集成小程序增加了额外的安全风险。

一方面，超级APP本质是移动应用，在传统安全风险的角度，攻击者使用开源的逆向工具即可对下载到的大多数移动应用进行逆向反编译，通过分析业务逻辑，对关键限制代码进行篡改，对敏感数据进行窃取，甚至添加恶意代码后二次打包，将应用变成恶意代码传播的载体。

另一方面，超级APP集成的小程序一般由移动应用开发者之外的服务商提供，代码逻辑无法被宿主APP的开发者完全了解，由此带来更多特有的安全风险：

• 合规风险：小程序可能会采集一些用户信息，带来合规风险。
• 数据泄露风险：小程序在传输数据的过程中如未使用必要的保障措施，可能会带来敏感数据泄露风险。
• 声誉风险：小程序不使用安全防护手段，被攻击者攻破后会影响宿主APP的声誉。

综合来看，政务类超级APP既有移动应用的固有安全需求，也有自身因集成程序带来的安全防护需求。

移动应用“固有”安全需求

安全合规需求：随着《网络安全法》《个人信息保护法》的发布，国家监管机构对移动应用处理个人信息及隐私保护提出了严格要求，开发者有义务开展并做好APP合规工作。

安全开发需求：由于目前移动政务应用的开发人员对移动安全的攻防对抗了解较少，安全开发经验不足，导致编码不规范、重要功能组件存在安全漏洞等安全问题层出不穷，迫切需要专业安全人员的指导。

安全测试需求：移动应用安全问题层出不穷，如逆向反编译、恶意病毒植入、三方SDK漏洞等，急需在上线前发现并解决这些问题。

安全发布需求：目前国内有近千家应用市场，碎片化非常严重，这给盗版应用可乘之机，如何保障应用市场上不存在盗版应用成了另一重大问题。

安全运营需求：应用上线后，快速发现对应用进行的非法渗透测试、脱壳、数据爬取、暴力破解、横向越权等恶意攻击行为并作出预警，已经成为越来越多开发者想要建立安全体系的一部分。

政务类超级APP“特有”安全需求

小程序安全检测需求：超级APP中的各个小程序功能模块一般由第三方负责接入，宿主APP运营者需要判断代码是否存在安全风险。

开放接口安全防护需求：超级APP中使用的API接口被攻击者获取后容易造成敏感数据的爬取，因此需要设置安全的身份验证机制。

小程序运行监测需求：超级APP中引入的小程序缺乏运行监测，将会存在安全盲区。

03.电子政务超级APP安全解决方案

梆梆安全结合自身在移动安全领域深耕十余年的行业经验，推出了全生命周期的电子政务超级APP安全解决方案。整体方案通过控制手段使用、代码缺陷探测、安全事件预警三大部分保证移动应用设计开发阶段、打包发布阶段、上线运营阶段的安全，满足电子政务超级APP的固有和特有安全需求。

• 设计开发阶段

a. 提供移动安全咨询服务，对如何进行安全架构设计，如何建设移动终端隐私合规体系等给出专家参考意见，使开发者对移动化信息安全有一个清晰的认识。

b. 提供安全键盘、防界面劫持SDK、白盒密钥保护SDK、通讯协议SDK等安全组件，保护移动应用的数据处理安全及数据传输安全。

• 打包发布阶段

a. 通过应用安全测评平台发现移动应用及其中引入的小程序、轻应用存在的安全风险，并给出整改建议。

b. 通过移动应用合规平台对移动应用进行合规检测，帮助开发者解决应用合规问题，避免出现应用因不合规被通报下架的情况。

c. 通过应用安全加固平台对移动应用及其中引入的小程序、轻应用进行加固处理，帮助开发者解决代码反编译、动态调试等问题。

• 上线运营阶段

a. 通过在移动应用及小程序、轻应用里植入探针的形式，对应用运行过程及运行环境进行全方位实时监测，及时发现运行时的未授权渗透、恶意攻击、数据爬取等行为，并做出适当反应。

b. 通过渠道监测平台对应用市场内出现的盗版、仿冒应用进行预警下架，避免山寨应用混淆视听，损害政府公信力。随着“互联网+政务服务”的不断推进，各省市电子政务超级APP功能不断完善，相应的安全保障工作也得到越来越多的重视。梆梆安全在电子政务领域积累了丰富的项目经验，通过移动应用安全监测、安全测评、安全合规、应用加固等产品及服务保障了包括国家政务服务平台APP、个人所得税APP等在内的众多移动应用的安全平稳运行。未来，梆梆安全将持续关注并着力解决移动应用的生态治理问题，为电子政务的安全健康发展保驾护航。

梆梆安全

梆梆安全正在以当今网络重心移动互联网为源点，逐渐将安全防护能力向传统互联网以及未来物联网延伸，并参考共享经济模式创新性提出“共享安全”理念，围绕业务安全、数据安全帮助用户制定网络安全建设规划，构筑覆盖全网络环境的新型信息安全整体纵深防御系统。