政務APP安全風險分析及應對

章 恒 祿 凱

(國家信息中心信息與網絡安全部 北京 100045)

(zhangheng@sic.gov.cn)

在當今全球經濟迅速發展的信息化時代，信息量正呈現出爆炸式的增長，互聯網技術也在不斷地改進完善與推進，人們不再僅僅滿足于只能在固定場所使用互聯網，移動互聯網已經作為一種新型的移動通信與互聯網技術相結合的創新產物，在這種大背景下孕育、產生并逐漸發展起來.隨著各國在近幾年移動互聯網技術領域持續投入，逐漸克服和解決在其發展中可能遇到的無線接入、切換與路由、資源管理、服務質量的保障、網絡安全等一些關鍵技術性問題，并在移動互聯網、移動通信、無線網絡、嵌入式系統等相關技術方面取得突破，促進了移動互聯網技術不斷創新.

中國互聯網信息中心發布的《中國互聯網絡發展狀況統計報告(2020)》數據分析顯示，截至2020年3月，我國注冊移動互聯網民的用戶規模已經高達9.04億，普及率已經達到64.5%，我國的智能手機網民用戶規模已經達到8.97億，網民中每天使用超過1部智能手機或者無線網絡上網的網民比重也已經達到99.3%[1].臺式電腦、筆記本電腦以及平板電腦的網絡使用率已經明顯下降，手機不斷地發展擠壓其他一些用于個人的網絡上網使用設備.以移動互聯終端設備為技術核心的各種移動互聯智能監控裝置，成為社會萬物移動互聯的重要技術基礎.根據《中國移動互聯網發展報告(2020)》的相關數據分析顯示，移動電子政務信息服務正在逐步邁向新發展時代，集約化、規范化發展步伐正在不斷加快.移動化和互聯網的發展促進了我國政務信息服務從“網上辦”逐步走向“指尖辦”.截至2020年3月，我國提供在線網民政務文件公開信息化服務的注冊用戶數量已經高達6.94億，占全國地區整體在線網民的76.8%，比2018年底同期同比增長76.3%[2].在新冠肺炎疫情期間，國家政務服務平臺重點推出“國家平臺新冠肺炎防疫健康信息碼綜合服務”，各地省市人民政府通過與國家政務平臺“健康碼”的信息對接服務方式逐步實現了互動確認和信息共享.

在移動應用業務大規模發展的同時，隨之而來的各類安全問題也逐步暴露出來，信息泄露、惡意代碼、違規內容等安全事件頻頻出現，一些移動應用信息發布平臺和經銷商的安全意識淡薄、安全監督管理能力差、管理風險防范措施落實不到位，也加劇了移動應用的風險.

1 互聯網+政務服務

2016年12月，國務院辦公廳正式發布印發《“互聯網+政務服務”技術體系建設指南》，明確了“互聯網+政務服務”作為信息網絡服務平臺的主要總體技術架構和主要系統功能組成，確立了加快建成一個總體部門聯動、各職能部門之間協同、省級政府統籌、一網通辦的“互聯網+政務服務”網絡技術和信息服務體系的建設戰略目標，實現了我國政務信息服務的系統信息化、精準化、便捷性、平臺一體化、協同性，提升了各級人民政府信息服務水平，使得人民群眾在行政辦事中更加方便、高效，進一步提升了群眾對服務型政府的滿意度.

“互聯網+政務服務”的快速發展打破了政府各部門之間的壁壘，加強了政府部門信息的公開共享，使得各部門不用再重新收集和整理信息，提升了政府的辦事效率，同時為民眾提供了更加快捷高效的服務.但是問題也隨之而來，“互聯網+政務服務”在推行和提升過程中，不可避免地更多地對個人信息進行采集和利用，增加了這些個人信息數據在互聯網的流通、傳播，也面臨被過度采集和泄露以及不正當利用的風險.為了避免產生這些風險，除了要增加個人信息處理者、控制者的個人信息保護意識和能力，還應在國家層面推出相應的規范、法律作為保障.

歐盟于2018年5月25日正式頒布了《通用數據保護條例》(General Data Protection Regulation, GDPR).新條例極大擴展了其適用范圍，對于業務范圍涉及歐盟成員國領土及其公民的企業都具有約束力，同時更加注重數據主體保護的權利，實行嚴格的問責制度，加大了處罰力度[3].GDPR的頒布體現了歐盟對個人信息保護的重視程度，監管更加嚴格，使得相關企業需要制定相應的措施來確保符合GDPR的規定.

2018年5月1日，我國推薦性國家標準《GB/T 35273個人信息安全規范》正式實施，2020年發布了該標準新版.該標準的實施對個人信息收集存儲使用單位是否合規提出了更明確的要求，除了信息安全要求的完整性、保密性、可用性以外，還要求具備透明性、可干預性、不可聯結性等特征.該標準為相關單位進行個人信息保護體系制度建設提供了具體的指導意見，督促相關單位完善內部管理和隱私政策制定，保障民眾個人信息的安全[4].

2 政務APP安全狀況

隨著“互聯網+政務服務”的推進，政務APP作為我國移動互聯網的重要組成部分，隨著我國移動互聯網和其他移動智慧終端的快速普及和發展，已日益滲透到人們的日常生活中.根據電子政務信息安全等級保護測評中心隨機抽樣統計數據分析結果顯示，北京、廣東、浙江的政務APP數量占比分別為27%,11.72%，7.86%，其檢測結果顯示，北京地區的政務APP檢出漏洞數量占總漏洞的28.61%，居全國首位，其次是廣東、浙江、上海等地，可以清楚地看出目前市場上的政務APP仍然存在不少安全問題，而北京市作為國家的政治中心，其中政務APP的數量和發現漏洞率占比均是最高.

移動互聯網技術的快速發展帶來價值的同時也帶來了多樣化的安全風險，網絡邊界的模糊性、移動平臺開放性、開發語言可逆向性等眾多問題無時無刻都在威脅著移動系統的安全.

2.1 政務APP的特征

政務APP作為政府創新履職和為民服務模式，旨在建立全新的移動網絡政務服務平臺，加強政民互動，滿足公共服務需求，提高政府行政效率.政務APP是一種泛指地方各級人民政府和有關公共服務部門根據其工作要求，自行或者授權第三方共同開發的一種完全可以在智能手機、平板電腦以及其他移動終端上使用的政策性軟件應用程序，政務APP以提供公共服務的方式為導向，依托互聯網和信息技術，實現對政府公共服務的“隨身攜帶”，達到了讓政策和數據多跑路，讓社會群眾少跑腿的目標.

目前，政務管理APP軟件根據其主要使用者人群的情況可以劃分為以下2類：第1類人群指的主要是各級政府職能管理部門、公共服務管理機關和居民社區，他們充分利用我國移動智能互聯網和移動互聯網的各種信息處理技術手段，以政務APP和其他移動智能終端應用軟件的結合形式，為全國的社區群眾提供各類電子政務和其他公共服務，包括各類政務政策宣傳、政民溝通互動、政務咨詢資料下載查詢、政務信息管理等，是“互聯網+政務服務”的重要應用載體.第2類是政府辦公人員所使用的APP，包括辦公服務類、社交通信類、生活服務類、系統工具類等.政務APP主要是通過移動應用市場進行發布，同時，也有少量的APP通過其門戶網站、官方微信公眾號等途徑進行發布.

隨著“互聯網+政務服務”的推進，各種類型的終端和網絡互聯互通，移動接入為移動政務辦公帶來了較大的安全隱患，成為制約移動政務發展的一個重要因素.面對當前日益猖獗的多樣性網絡威脅，移動APP自身的安全脆弱性，以及應用自身的漏洞容易被不法分子利用，進而造成暗中實施竊取個人隱私、惡意違規扣費等嚴重危及用戶合法權益的情況時有發生，政務應用的安全形勢不容樂觀.

政務類APP不僅面臨著高危漏洞安全風險，同時也面臨著運營和維護乏力等問題，很多地方政府部門在研究和開發一款政務APP時，仍舊是著眼于注重前期的建設資金投入，而忽略后期的維護模式，以至于這些政務APP的版本迭代緩慢，漏洞不能及時得到有效修復，甚至還存在大量僵尸應用.政務信息類網站APP的信息發布量多年保持持續快速增長，與此同時，網絡安全受到嚴重威脅的影響范圍和威脅內涵也在不斷擴大及演化，安全形勢和挑戰日趨嚴峻.在此背景下，確保政務網絡和數據信息的安全可控逐漸成為政府部門在政務APP發展工作中的重中之重.

2.2 移動惡意程序

根據國家計算機網絡應急技術處理協調中心發布的《2019年我國互聯網網絡安全態勢綜述》顯示，2019年新增各類移動終端互聯網惡意應用數量279萬余個，其中具有流氓行為、資費消耗等低危惡意行為的APP數量約占69.3%，具有遠程控制、惡意扣費等高危惡意行為的APP數量約占10.6%[5].

移動惡意程序的變化非?？?，并且其危害性極大，移動惡意程序可以時刻實現監控和檢測被感染手機用戶的所有電子通話以及短信接收的情況，進而使得它們可以隨意竊取手機用戶的數據，在用戶毫無知覺的狀態下，將手機用戶隱私數據發送到網絡上并傳遞給黑客.如2015年爆發的蜥蜴之尾木馬，一旦手機被惡意攻擊感染，這種惡意的程序會迅速感染系統各種客體，例如感染系統的庫文件、替代系統的文件、注入系統的進程、偷取手機用戶的信息、監視通話與短信，對手機用戶的個人隱私安全造成危害，而且這類移動惡意攻擊的形式及種類隨著互聯網絡技術的發展也在飛速迭代和更新.相對于應用程序更新較慢的政務行業領域來說，這是致命的.如何進行移動惡意程序的防護與自身移動應用的安全穩定運營已引起越來越多的政府企事業單位重視.

2.3 APP權限的過度使用

用戶在下載APP安裝時發現，有些APP可能要求用戶獲得除APP業務以外的其他權限，例如閱讀通信錄、圖片等不合理的權限，而非此即彼“全部允許”和“取消安裝”的授權模式，使得用戶在下載過程中無法正確識別和管理自己所有應用的權限，只能選擇被動地接受.而部分隱私信息閱讀對于應用如何更好地運行實際是毫無明顯效果的，該行為對于用戶的隱私構成了侵害，用戶的隱私并不應當成為制造商牟利的工具.

艾美咨詢發布的《2018中國手機APP隱私權限測評報告》中指出：54.3%的受訪網民知道APP泄露隱私，但同時表示沒有辦法仍會繼續使用；27.1%的受訪網民知道威脅存在，并表示采取了抵制措施[6].這種讓用戶開放不合理使用權限的現象屬于強迫性行為，移動應用APP廠商這些行為是違規的甚至可以說是違法的，對用戶造成了嚴重影響.

2.4 開發安全隱患

軟件應用的開發過程中，如果不注重軟件開發安全，將會為后期移動端應用的安全穩定運行埋下隱患.如在開發的過程中存在大量開發工作外包、開發人員不懂安全開發知識、缺乏安全意識等都會造成開發層面的安全風險，如何有效規避由于不當開發造成的風險變得尤為重要.

對于政務行業來說，如果存在開發層面的安全風險，那么將面對的不僅僅是簡單的漏洞修復問題，還可能造成用戶數據的泄露，而這些數據包含著終端用戶的個人敏感信息和政務信息，一旦發生類似問題，對民眾滿意度和政府部門形象都會造成很大的影響.針對于上述現狀，如何從軟件開發伊始就開始進行安全知識、安全開發規則的培訓學習，受到越來越多政務APP開發者的重視.然而通過測試發現，雖然大部分開發者或開發單位已經進行了開發層面安全問題的處理，但是仍有相當一部分政務APP暴露出開發安全風險，整體行業的安全形勢不容樂觀.

2.5 盜版仿冒隱患

目前應用市場中的很多APP都未采用可靠加固手段進行整體安全防護，造成APP代碼易被破解、篡改，攻擊者可輕易植入廣告、木馬、病毒，重新打包上傳到第三方軟件市場供用戶下載.

部分第三方發布渠道并沒有嚴格安全審查的機制，上架應用后存在著安全問題，因而成為攻擊者實施非法行動的重要研究對象.很多政務APP是無意中下載了被自己植入惡意代碼的政務APP或者是盜版仿冒APP，用戶一旦下載這類政務APP，輕則可能會被網絡垃圾信息和惡意廣告所侵襲和騷擾，重則可能導致網絡隱私信息的泄露、惡意違規扣費、流量虧損等危害，如果政務APP在遭到盜版后被自己植入了廣告和修改后發布的信息內容，可能會對政務APP產生誤導，甚至有些可能還會影響到黨政事業單位的形象，進一步影響經濟社會穩定發展.

2019年，CNCERT通過其自主監控與投訴舉報的方式抓取了大量出現在網絡上的仿冒APP.這些仿冒APP具有容易被人復制、版本更新頻繁、蹭網絡熱點迅速傳遞等功能，例如春運期間就可能會出現大量的仿冒“12306”“智行火車票”APP，在“個人所得稅”APP正式推出期間，也可能會出現大批的仿冒應用.

2.6 業務安全隱患

隨著互聯網經濟的爆炸式發展，政府部門也完成了服務功能的轉型，服務模式由以前單一的柜臺服務向多元化發展，同時服務內容也更加便捷和人性化.而隨著業務模式與業務形態的轉變，隨之而來的業務風險也在逐年增高.常見的業務風險有交易欺詐、爬蟲風險等.

交易詐騙主要是以移動應用劫持的方式來騙取用戶支付信息，其中涉及支付詐騙、虛假退款、“支付故障”等行為.對于政務行業來說，一旦發生交易欺詐，首先就是損害終端用戶的經濟利益，其次對相關政府部門的形象也會產生影響.

信息公開和公示是我國政府職能服務化發展的必然趨勢，能夠給廣大人民群眾日常的生產和生活帶來巨大的方便，但與此同時也給不法分子帶來可乘之機.不法分子通過爬蟲長期全方位地爬取各類政務APP公開數據，經過精心的數據儲備、整合、分析，就可獲得有價值的情報信息.這類信息可能包括我國的金融體系薄弱環節、國土資源的分布、戰備能源的儲備能力、裝備制造業的水平、戰時醫療能力的承載力，以及各城市的戰略交通布局等重要情報信息.在大數據情報分析能力大幅躍升的今天，有這些基礎數據就不難制定相應的打擊策略.

3 政務APP脆弱性分析

LSA分類法將Android應用漏洞分為4類：組件安全漏洞、數據安全漏洞、源文件安全漏洞、業務邏輯漏洞[7].本文在此基礎上進行了擴展，將APP漏洞分為通信安全、通用安全、組件安全、代碼安全、數據安全、業務安全6大類.通過對抽樣檢測的政務行業APP的漏洞進行統計分析，我們發現目前政務行業APP存在的問題還有很多.如圖1所示，從漏洞統計結果來看，目前最大的問題是代碼安全問題，其次是數據安全和組件安全問題，風險較少的是業務安全問題.通過圖1不難看出，政務行業的APP開發者有安全開發的意識，從一定的角度解決了業務安全問題，但是對于其他層面的安全缺乏相應的知識和手段，導致這些安全問題正在威脅政務行業的信息化發展腳步，也時刻威脅著個人隱私的安全，因此，提高整個行業的移動安全建設，提升行業相關單位移動安全意識刻不容緩.

圖1 政務行業Android應用安全漏洞類型分布比例

通過對漏洞等級進行統計，發現絕大部分漏洞屬于中高危類型漏洞，而且中危漏洞接近半數.高危漏洞排名靠前的為Java代碼反編譯風險、SO文件加固檢測、本地SQL注入檢測，眾所周知Android的應用由Java代碼撰寫的dex文件和SO文件組成，如果沒有相應的加固策略，很容易通過一些手段獲取源碼(如反編譯工具，動態調試等等)，一旦源碼泄露，將會對政務業務產生巨大的威脅.比如源碼被反編譯后，黑客進行注入惡意代碼重新發布，偽裝成原APP，最終導致用戶敏感信息泄露，危害到移動應用的整體安全運行.中危漏洞排名靠前的是數據越權備份風險、Java層關鍵函數風險和日志泄露風險，這些問題都能造成用戶信息泄露.

根據典型漏洞占比統計(如圖2所示)，可以發現排名靠前的漏洞基本都是容易造成信息泄露的漏洞，也可以看出目前行業開發者對于移動應用相關安全防護知識和防護方法了解仍有欠缺，安全防護意識也有待提高.這些政務APP的漏洞一旦被黑客利用，不僅會威脅民眾的個人敏感信息和財產安全，還可能因此影響相關政府部門的形象.

圖2 政務行業Android應用典型漏洞比例

4 典型風險場景分析

1) 敏感信息泄露

由于政務APP的業務辦理功能一般都涉及人員信息采集(身份認定)、業務辦理范圍的材料采集、信息存儲、專業網絡信息和互聯網信息交互等，都涉及到個人隱私、行業數據安全，這些重要信息也成為攻擊者攻擊的主要目標.

移動APP會在本地數據庫中存儲一些敏感信息，非root或者越獄的場景下，其他應用程序都不能讀取所有的數據.但是在使用手機root或者越獄時，惡意程序就能直接閱讀這些文件，從而實現偷盜和篡改用戶個人信息的目的，如果APP未作安全加固很容易被攻擊者惡意獲取和篡改.另外，攻擊者也會用界面劫持、軟鍵盤輸入、仿冒短信、病毒木馬、HOOK攻擊等手段竊取敏感信息.

除了需要注意防止APP被非法的root或者越獄，還需要特別注意客戶端和服務終端在進行敏感信息傳輸時是否已經采用相應的加密算法和數據傳輸協議對數據進行了保護，如果這些保護措施不到位，也會導致APP應用中的敏感信息完全暴露在黑客的眼皮底下，黑客會輕而易舉地獲取這些敏感信息，最直接的損失可能就是當前用戶賬號遭受盜竊、網銀遭受盜刷等.同時，這些敏感信息的泄露也可能會引起黑客試探性對該服務端網站進行攻擊，導致整個服務器陷入危險的境地.無線傳輸的數據容易被第三方輕松攔截，由于客戶端與服務器之間的數據傳輸需要遵循無線通信協議中所指定的格式和內容類型，如果沒有使用任何加密措施，通過網絡嗅探裝置及一些技術手段，傳輸出的數據可被分解為網絡層的數據包并對其進行分析，直接暴露了用戶的各種重要數據，例如用戶名，密碼.

相對于其他行業的APP，政務行業APP一旦發生敏感信息資料泄露，其危害更大，因為其不僅僅涉及到用戶的敏感數據安全，同時關系著社會的穩定發展.

2) 內容篡改

移動應用內容被惡意篡改之后進行二次打包不僅會嚴重威脅移動應用的開發商版權及其經濟利益，同時可能導致使用戶在網絡上遭受不法應用的惡意侵犯.例如沒有對移動傳輸數據進行安全保護造成流量劫持、移動網絡應用被二次打包后重新發布等情況，均可能導致移動網絡應用程序代碼被惡意篡改，使得不法攻擊者隨時都可以刪除或更換移動網絡服務器客戶端中的資源圖片、設備信息、圖標，借此達到植入網絡廣告，發布涉政、涉黃等敏感信息的目的.

當前政務APP作為我國政民群眾互動最為重要的工具和手段，大多肩負著政府信息公開和服務政策的責任.一旦其中內容遭到篡改，可能會對社會公眾輿論造成誤導，甚至影響到政府的真實性和公信力;惡意二次打包除了能夠對手機移動應用內容進行篡改以外，還可以通過自己的方式實現對應用網絡釣魚、增加病毒源代碼、增加惡意源代碼，從而達到偷盜和破壞自己登錄的賬號密碼、支付賬戶密碼，攔截手機驗證碼短信，修改自己轉賬的目標賬號、款項等目的.《中華人民共和國網絡安全法》第42條規定：網絡運營者不得泄露、篡改、損毀其收集的個人信息，應采取必要的技術措施和其他必要措施確保個人信息安全[8].政務信息行業移動終端應用的主要開發者以及網絡服務運營商，應嚴格遵守現行國家的相關法律，保障所有者提供的信息服務以及軟件的安全，保證公開的政務信息及其權威性與真實度.

3) 第三方關聯交易認證

政務APP交易的身份認證主要是依靠支付賬號密碼、短信驗證碼、圖案密碼、指紋識別以及人臉識別等來實現身份認證與交易的確認.這些傳統的方式給用戶帶來的一個問題是：密碼有時很可能是在一個社工庫里被用戶通過碰撞獲得，密碼的輸入有時也很可能由惡意的程序所記錄，甚至有時很可能是由高清鏡頭所記錄，指紋有時也很可能被盜取，人臉在未知情況下很可能由手機拍攝盜取，木馬也很可能偷取微博信息或者短信.所以當一個攻擊者已經通過任何非法的方式、惡意的程序、木馬手段獲取了用戶的個人信息，冒充用戶的真實姓名，交易就不一定是安全的，這些用戶認證的方式也不一定是可靠的.

如果政務行業移動應用的這些認證信息不安全，容易導致用戶賬戶安全、資金安全、個人信息安全出現問題.

5 政務APP安全建議

1) 提升安全開發意識

政務APP是國家政務信息化發展的重要手段，但是目前政務APP開發多數外包給中小企業完成，中小型軟件開發企業的多數產品，甚至部分大型軟件開發公司的項目大多都沒有采用適當的安全保障措施來確保安全控制目標的實現.作為政務APP的開發者或者開發企業，在注重APP功能便捷性的同時還必須重視安全.

在對某省政務APP評測中，挑選了運行較為成熟、便于比較的10余款APP進行測試.從數據傳輸安全、個人信息泄露、惡意代碼篡改等APP常見安全環節進行了安全性測試，發現普遍存在數據傳輸安全隱患，少數存在惡意代碼篡改情況.開發人員安全意識落后，結合政務APP快速發展的現狀，使得政務APP的安全變得更加難以保障.

大部分的安全問題是在開發階段引入的，因此要想提高政務APP的安全性，需從源頭抓起，首先要加強開發人員的基本安全意識，特別要注意先對程序開發人員灌輸基本的信息安全意識.

在設計階段，應將安全性納入考慮，從框架、業務、規范、核心模塊等維度進行統一安全設計，建立威脅分析模型，制定相應的安全需求和安全設計規范，并根據安全開發需求完成相應安全功能的設計，規避前期業務應用設計中可能出現的應用漏洞和一些邏輯性漏洞，降低后期可能出現應用漏洞的安全風險，并制定相應的移動安全管理體系，最大程度提升移動應用的安全性.

在技術開發階段，開發者應在充分考慮各種業務開發技術需求的前提下，制訂出自己相應的安全技術開發要求和安全技術開發規范，在技術開發的過程中嚴格地遵循技術開發規范.在移動軟件開發者們完成移動軟件應用的開發之后，制定必要的安全測試工作流程和技術標準，如通過滲透性測試、源代碼審計等手段，對移動軟件應用和源代碼進行安全及性能評估和審核，發現可能存在的安全漏洞并及時進行修復，保證移動軟件應用的穩定性和安全性.

最后在移動應用發布以后，開發人員也需要關注應用運行過程中出現的崩潰、閃退等問題，便于及時修復.

2) 建立政務APP安全檢測規范

對于政務APP而言，其對安全性、可靠性、性能效率等諸多質量屬性有著較高要求.需要針對電子政務的實際情況，結合移動應用程序開發特點，研究測試技術，編制檢測規范，并最終量化為具體的檢測指標，這樣可以客觀地檢驗出政務APP的應用水平，發現其中的問題，總結運營和管理經驗.另外，開發者在完成移動應用的開發任務后，需通過具備檢測檢驗資格的第三方機構對應用進行代碼安全審查.審查的目標是發現代碼漏洞，減少代碼滲透風險，并以詳細報告的方式將弱點明細和建議提供給開發者，提升代碼安全水平.

政務APP安全檢測應依據國家相關標準，結合電子政務業務特點，借鑒金融、交通等行業的經驗進行，可分為技術安全部分和管理安全部分.技術安全部分需涵蓋客戶端、通信鏈路和服務器端安全，在過程上需包括安裝過程安全、運行態安全和卸載后安全.另外，多數政務APP需要用戶的個人身份證、手機號、住址等敏感信息輸入，需增加對數據安全的檢測要求.數據安全檢測要求至少包括數據加密安全、殘留數據安全、信息篡改安全、通信數據劫持安全等.管理安全部分需包含開發組織架構、安全管理制度、業務流程管理等，通過管理手段監督和保障政務APP安全有效的落地執行.

測試機構應該通過研編政務APP安全檢測規范，建立起一套科學系統的移動應用開發和檢測程序，將標準化要求貫徹到移動應用開發的各個環節，促進規章制度更加完善，開發管理更加規范，人員技能更加精湛，檢測手段更加可靠，相關人員標準化意識明顯提高，軟件質量、安全水平進一步提升.

3) 加強政務APP發布渠道管理

由于Android平臺的開放性，應用市場門檻較低，沒有權威發布機構，安全審核機制不夠嚴格，來自Android平臺的移動應用存在安全違規問題比例較大，甚至導致互聯網上惡意應用泛濫，很多應用市場上架大量存在高危安全漏洞的APP，不僅影響應用提供者的安全，而且用戶安裝使用其APP時，也會受到安全威脅.

政務APP需要在使用中不斷完善，版本的更新頻率比較高，應用市場在Android應用供應鏈生態處于十分關鍵的位置，也是安全問題頻發的環節，針對此環節應在以下幾方面進一步加強建設：

首先，建立統一的政務APP發布渠道，加強對渠道的監管，建立嚴格的行業準入和退出機制，規范應用審核和發布流程，各環節嚴格把控，對于發現盜版或仿冒APP一律協調下架，確保APP發布渠道可控可管；

其次，完善應用開發者的管理規范，實施有效的獎懲措施，打擊惡意開發者，防止惡意開發者渾水摸魚；

最后，提升自身惡意應用檢測能力或采購成熟的第三方檢測服務，預防惡意應用進入應用市場.

6 結束語

隨著當前我國政務信息化體系建設創新進程的不斷深入推進，傳統政務信息安全系統已經與現代云計算、大數據、移動互聯網、物聯網、區塊鏈等這些網絡與信息新技術相結合并進行創新應用，安全信息威脅也逐漸呈現出復雜、常態化的發展趨勢.其中，由于政務APP涉及到國家政務信息，其重要性不言而喻.政務移動互聯應用技術作為一個基于移動時代互聯網和公共政務信息領域技術相互深度融合的新產物，不可避免地導致在實踐中不斷出現各種復雜問題，只有妥善地處理解決這些復雜問題，才能為廣大社會民眾利益提供安全、優質的公共政務信息服務.這就要求我們全面地分析政務APP的安全風險，強化安全監測和評價，加強對安全態勢的感知和監測預警措施，建立健全互聯網與政務APP的信息安全服務風險保障制度，提升政務APP的網絡安全風險防范、應急處置的能力，為“互聯網+政務服務”保駕護航.