2022年信息安全技术网络安全等级保护-移动互联安全扩展要求 .pdf
《2022年信息安全技术网络安全等级保护-移动互联安全扩展要求 .pdf》由会员分享,可在线阅读,更多相关《2022年信息安全技术网络安全等级保护-移动互联安全扩展要求 .pdf(22页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、息安全技术网络安全等级保护基本要求第 3 部分:移动互联安全扩展要求1 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-XXXX 信息安全技术网络安全等级保护基本要求第1部分:安全通用要求GB/T 22240 信息安全技术网络安全等级保护定级指南GB/T 25069-2010 信息安全技术术语2 术语和定义GB 17859-1999 、GB/T 22239.1-XXXX、GB/T 222
2、40和GB/T25069-2010界定的以及下列术语和定义适用于本文件。2.1 移动终端 mobile device 在移动业务中使用的智能终端设备,包括手机、PAD 、PC等通用终端和专用终端设备。2.2 无线接入设备 wireless access device 采用无线通信技术将移动终端接入有线网络的通信设备。本标准的无线接入设备是指为采用移动互联技术等级保护对象使用的专用无线设备,不包括公共的无线接入设备(如公共 WiFi 、运营商基站等) 。2.3 无线接入网关 wireless access gateway 部署在无线网络与有线网络之间,对等级保护对象进行安全防护的设备。2.4 移
3、动应用软件mobile application 在移动终端中运行的一般软件,包括通用移动应用软件以及等级保护对象业务移动应用软件。本标准“应用安全”要求包括通用移动应用软件安全要求和等级保护对象业务移动应用软件安全要求。2.5 移动终端管理系统mobile device management system(MDMS )用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。3 采用移动互联技术等级保护对象安全等级保护概述名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
4、- - 第 1 页,共 22 页 - - - - - - - - - 3.1 采用移动互联技术等级保护对象采用移动互联技术等级保护对象与传统等级保护对象的区别在于移动终端可以通过无线方式接入网络,如图 1采用移动互联技术等级保护对象构成所示移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护对象,也可以在本地通过本地无线接入设备接入等级保护对象。系统通过移动管理系统的服务端软件向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略,并由客户端软件执行实现系统的安全管理。图 1 采用移动互联技术等级保护对象构成3.2 采用移动互联技术等级保护对象保护要素与传统等级保护对象相比,采用移
5、动互联技术等级保护对象中突出三个关键要素:移动终端、 移动应用和无线网络。 因此, 采用移动互联技术等级保护对象的安全防护在传统等级保护对象防护的基础上,主要针对移动终端、移动应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面进行扩展。3.3 采用移动互联技术等级保护对象定级采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、 移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。4 第一级基本要求4.1 技术要求4.1.1 物理和环境安全应为无线接入设备的安装选择合理位置,避免过度覆盖。4.1.2
6、网络和通信安全4.1.2.1 网络架构本项要求包括:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 22 页 - - - - - - - - - a)应保证无线接入网关的处理能力满足基本业务需要;b)应保证无线接入设备的带宽满足基本业务需要;c)无线接入设备应开启接入认证功能,并且禁止使用WEP 方式进行认证,密钥长度不小于8 位。4.1.2.2 边界防护应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。4.1.2.3 访问控制应在有线网络与无线网络边界
7、根据访问控制策略设置访问控制规则,默认情况下,除允许通信外,受控接口拒绝所有通信。4.1.2.4 通信传输应采用校验技术保证无线通信过程中数据的完整性。4.1.3 设备和计算安全4.1.3.1 身份鉴别本项要求包括:a)应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别;b)移动终端应具有登录失败处理功能。4.1.3.2 应用管控移动终端管理客户端应具有选择应用软件安装、运行的功能。4.1.3.3 入侵防范移动终端应遵循最小安装的原则,仅安装需要的组件和应用程序。4.1.3.4 恶意代码防范移动终端应安装防恶意代码软件,并定期进行恶意代码扫描,及时更新防恶意代码软件版本
8、和恶意代码库。4.1.4 应用和数据安全移动应用软件应采用校验技术保证重要数据存储的完整性。4.2 管理要求4.2.1 安全策略和管理制度应建立等级保护对象移动互联安全管理规范,并纳入等级保护对象管理安全制度。4.2.2 安全管理机构和人员4.2.2.1 岗位设置应将移动互联管理纳入等级保护对象管理员职责。4.2.2.2 安全意识教育和培训应对各类人员进行移动互联管理安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。4.2.3 安全建设管理名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
9、 - - 第 3 页,共 22 页 - - - - - - - - - 4.2.3.1 安全方案设计应根据等级保护对象的安全保护等级选择移动互联基本安全措施,依据风险分析的结果补充和调整安全措施。4.2.3.2 产品采购和使用应确保移动互联信息安全产品采购和使用符合国家的有关规定。4.2.3.3 工程实施应指定或授权专门的部门或人员负责系统移动互联工程实施过程的管理。4.2.3.4 测试验收应对系统的移动互联部分进行必要的安全性测试验收。4.2.3.5 系统交付本项要求包括:a)应根据交付清单对所交接的移动互联设备、移动应用软件和文档等进行清点;b)应对负责系统移动互联运行维护的技术人员进行相
10、应的技能培训。4.2.3.6 服务供应商选择本项要求包括:a)应确保移动互联安全服务商的选择符合国家的有关规定;b)应与选定的移动互联安全服务商签订与安全相关的协议,明确约定相关责任。4.2.4 安全运维管理4.2.4.1 设备维护管理应对各种移动互联设备(包括无线接入设备)维护纳入等级保护对象进行管理。4.2.4.2 漏洞和风险管理应采取必要的措施识别移动互联安全漏洞和隐患,对发现的安全漏洞和隐患定期进行修补。4.2.4.3 应用软件来源管理应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。4.2.4.4 恶意代码防范管理应对移动终端应用软件恶意代码防范要求做出规定,包括防恶
11、意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等。4.2.4.5 备份与恢复管理本项要求包括:a)应识别需要定期备份的移动终端中的关键业务信息、系统数据及软件系统等;b)应规定备份信息的备份方式、备份频度、存储介质、保存期等。5 第二级基本要求5.1 技术要求5.1.1 物理和环境安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 22 页 - - - - - - - - - 应为无线接入设备的安装选择合理位置,避免过度覆盖。5.1.2 网络和通信安全5.1.2
12、.1 网络架构本项要求包括:a)应保证无线接入网关的处理能力满足业务高峰期需要;b)应保证无线接入设备的带宽满足业务高峰期需要;c)无线接入设备应开启接入认证功能,并且禁止使用WEP 方式进行认证, 密钥长度不小于8 位并且由数字、字母和特殊字符两种或两种以上进行组合。5.1.2.2 边界防护应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。5.1.2.3 访问控制本项要求包括:a)应在有线网络与无线网络边界根据访问控制策略设置访问控制规则,默认情况下, 除允许通信外,受控接口拒绝所有通信;b)应对来自移动终端的数据流量、数据包和协议等进行检查,以允许/ 拒绝数据包通过。5.
13、1.2.4 入侵防范本项要求包括:a)应能够检测、记录非授权无线接入设备;b)应能够对非授权移动终端接入的行为进行检测、记录;c)应具备对针对无线接入设备的网络扫描、DoS攻击、 密钥破解、 中间人攻击和欺骗攻击等行为进行检测、记录;d)应能够检测到无线接入设备的SSID 广播、 WPS 等高风险功能的开启状态。5.1.2.5 通信传输本项要求包括:a)应保证无线通信过程中数据的完整性;b)应保证无线通信过程中敏感信息字段或整个报文的保密性。5.1.2.6 安全审计应启用设备安全审计功能,审计覆盖到每个移动终端,对重要的终端行为和重要安全事件进行审计。5.1.2.7 网络设备防护本项要求包括:
14、a)应能发现系统移动终端、无线接入设备、无线接入网关设备可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞;b)应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、 WEP 认证等;c)应禁止多个AP使用同一个鉴别密钥。5.1.3 设备和计算安全5.1.3.1 身份鉴别本项要求包括:a)应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 22 页 - - - - - - - - - b
15、)移动终端应具有登录失败处理功能。5.1.3.2 应用管控移动终端管理客户端本项要求包括:a)应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;b)应具有应用软件权限控制功能,应能控制应用软件对移动终端中资源的访问;c)应只允许可靠证书签名的应用软件安装和运行。5.1.3.3 入侵防范移动终端本项要求包括:a)应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应能发现可能存在的漏洞,及时修补漏洞;c)应能够发现用户权限异常改变的情况。5.1.3.4 恶意代码防范移动终端应安装防恶意代码软件,并定期进行恶意代码扫描,及时更新防恶意代码软件版本和恶意代码库。5.1.3.5 资源控制本
16、项要求包括:a)应将移动终端处理访问不同等级保护对象的进行应用级隔离;b)应将移动终端处理访问等级保护对象的应用软件、数据存储区与处理访问非等级保护对象的应用件、数据存储区等进行隔离;c)应限制用户或进程对移动终端系统资源的最大使用限度,防止移动终端被提权。5.1.4 应用和数据安全5.1.4.1 身份鉴别本项要求包括:a)使用口令登录时,应强制用户首次登录时修改初始口令,对用户的鉴别信息进行复杂度检查;b)用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全。5.1.4.2 软件审核与检测应保证等级保护对象业务移动应用软件开发结束后经合规性审核。5.1.4.3 数据完整
17、性移动应用软件本项要求包括:a)应采用校验技术或密码技术保证通信过程中数据的完整性;b)应采用校验技术或密码技术 保证重要数据存储的完整性。5.1.4.4 数据保密性移动应用软件本项要求包括:a)应采用密码技术保证重要数据在本地存储时的保密性;b)应对通信过程中的敏感信息字段进行加密。5.2 管理要求5.2.1 安全策略和管理制度本项要求包括:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 22 页 - - - - - - - - - a)应建立等级保护对象移动互联安全管
18、理规范,并纳入等级保护对象管理安全制度;b)应对管理人员或移动终端操作人员执行的日常管理操作建立操作规程。5.2.2 安全管理机构和人员5.2.2.1 岗位设置应将移动互联管理纳入等级保护对象管理员职责。5.2.2.2 授权和审批应针对移动互联系统变更、重要操作、物理访问和系统接入等事项执行审批过程。5.2.2.3 安全意识教育和培训应对各类人员进行移动互联管理安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。5.2.3 安全建设管理5.2.3.1 安全方案设计本项要求包括:a)应根据等级保护对象的安全保护等级选择移动互联基本安全措施,依据风险分析的结果补充和调整安全措施;b)应根据
19、等级保护对象的安全保护等级进行移动互联安全方案设计。5.2.3.2 产品采购和使用应确保移动互联信息安全产品采购和使用符合国家的有关规定。5.2.3.3 移动应用软件开发本项要求包括:a)应要求对移动业务应用软件开发者进行资格审查;b)应确保开发移动业务应用软件的签名证书合法性;c)应要求移动应用软件开发完提供软件设计文档和使用指南;d)应要求应用软件开发使用的工具来源可靠;e)自行开发移动应用软件, 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;f)自行开发移动应用软件, 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;g)自行开发移动应用软件, 应确保
20、具备软件设计的相关文档和使用指南,并对文档使用进行控制;h)自行开发移动应用软件, 应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制。5.2.3.4 工程实施应指定或授权专门的部门或人员负责系统移动互联工程实施过程的管理。5.2.3.5 测试验收应对系统的移动互联部分进行安全性测试验收。5.2.3.6 系统交付本项要求包括:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 22 页 - - - - - - - - - a)应根据交付清单对所交接的移动互
21、联设备、移动应用软件和文档等进行清点;b)应对负责系统移动互联运行维护的技术人员进行相应的技能培训;c)应确保提供移动互联建设过程中的文档和指导用户进行系统运行维护的文档。5.2.3.7 服务供应商选择本项要求包括:a)应确保移动互联安全服务商的选择符合国家的有关规定;b)应与选定的移动互联安全服务商签订与安全相关的协议,明确约定相关责任;c)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的信息安全相关义务。5.2.4 安全运维管理5.2.4.1 设备维护管理应对各种移动互联设备(包括无线接入设备)维护纳入等级保护对象进行管理。5.2.4.2 漏洞和风险管理应采取必要的措施识别
22、移动互联安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后 进行修补。5.2.4.3 应用软件来源管理本项要求包括:a)应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道;b)应保证移动终端安装、运行的等级保护对象业务移动应用软件由经审核的开发者开发。5.2.4.4 恶意代码防范管理应对移动终端应用软件恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等。5.2.4.5 备份与恢复管理本项要求包括:a)应识别需要定期备份的移动终端中的重要业务信息、系统数据及软件系统等;b)应规定备份信息的备份方式、备份频度、存储介质、保存
23、期等。5.2.4.6 安全事件处置本项要求包括:a)应报告所发现的移动互联安全弱点和可疑事件;b)应明确移动互联安全事件的报告和处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责。6 第三级基本要求6.1 技术要求6.1.1 物理和环境安全应为无线接入设备的安装选择合理位置,避免过度覆盖。6.1.2 网络和通信安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 22 页 - - - - - - - - - 6.1.2.1 网络架构本项要求包括:a)应保证无线接
24、入网关的处理能力满足业务高峰期需要;b)应保证无线接入设备的带宽满足业务高峰期需要;c)无线接入设备应开启接入认证功能,并支持采用认证服务器或国产算法进行加密。6.1.2.2 边界防护应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。6.1.2.3 访问控制本项要求包括:a)应在有线网络与无线网络边界根据访问控制策略设置访问控制规则,默认情况下, 除允许通信外,受控接口拒绝所有通信;b)应对来自移动终端的数据流量、数据包和协议等进行检查,以允许/ 拒绝数据包通过;c)应在无线接入网关上对进出无线网络的数据进行内容过滤;d)应设置访问控制规则限制移动终端可访问的等级保护对象资源
25、。6.1.2.4 入侵防范本项要求包括:a)应能够检测、记录、定位 非授权无线接入设备;b)应能够对非授权移动终端接入的行为进行检测、记录、定位;c)应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位 ;d)应能够检测到无线接入设备的SSID广播、 WPS 等高风险功能的开启状态。6.1.2.5 通信传输本项要求包括:a)应采用 密码技术 保证无线通信过程中数据的完整性;b)应采用 密码技术 保证无线通信过程中敏感信息字段或整个报文的保密性。6.1.2.6 安全审计本项要求包括:a)应启用设备安全审计功能,审计覆盖到每个移动终端,对重要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年信息安全技术网络安全等级保护-移动互联安全扩展要求 2022 信息 安全技术 网络安全 等级 保护 移动 安全 扩展 要求
限制150内