等保2.0標準下移動APP如何開展等保工作
移動互聯(lián)網(wǎng)高速發(fā)展的今天,人們利用移動APP來進行各種在線活動,每天各種移動APP產(chǎn)生大量的數(shù)據(jù),生活的和工作的數(shù)據(jù)被各種APP的獲取和存儲。由于之前缺乏對于移動互聯(lián)網(wǎng)的管理,也沒有相關(guān)的法律法規(guī)來規(guī)范相關(guān)的移動APP的網(wǎng)絡(luò)安全的建設(shè),導(dǎo)致這一領(lǐng)域出現(xiàn)了很多安全事件,以及存在很多明知存在漏洞也不去整理的無良APP運營者。通過多年的努力,等保正式發(fā)布,針對移動互聯(lián)網(wǎng)技術(shù)提出了拓展要求,為移動APP開展等保工作提供了標準。注意下面的內(nèi)容,便于您開展移動APP等保工作。
1、如何對采用移動互聯(lián)技術(shù)的等級保護對象進行定級?
采用移動互聯(lián)技術(shù)的等級保護對象應(yīng)作為一個整體對象定級,移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)等要素不單獨定級,與采用移動互聯(lián)技術(shù)等級保護對象的應(yīng)用環(huán)境和應(yīng)用對象一起定級。這也符合等級保護總體思想,就是將保護對象作為一個整體考慮其安全防護要點。
2、移動應(yīng)用安全防護方面部分要求
針對移動應(yīng)用app存在的被篡改、被假冒的問題,標準要求采用校驗技術(shù)保證代碼的完整性。同時,應(yīng)保證等級保護對象業(yè)務(wù)移動應(yīng)用軟件開發(fā)后、上線前經(jīng)專業(yè)測評機構(gòu)安全檢測等。針對移動應(yīng)用app發(fā)布的問題,在移動應(yīng)用app發(fā)布渠道與管理中要求應(yīng)保證移動終端安裝、運行的應(yīng)用軟件來自可靠證書簽名或可靠分發(fā)渠道。
3、無線網(wǎng)絡(luò)安全防護方面部分要求
針對無線網(wǎng)絡(luò)安全接入與安全傳輸?shù)膯栴},在標準中提出了對無線網(wǎng)絡(luò)設(shè)備安全接入、入侵防范、通信傳輸?shù)确矫娴陌踩?。例如:?yīng)能夠檢測、記錄、定位非授權(quán)無線接入設(shè)備;應(yīng)能夠檢測到無線接入設(shè)備的SSID廣播、WPS等高風(fēng)險功能的開啟狀態(tài);在無線通信傳輸中對敏感字段或整個報文進行加密。
4、移動終端安全防護方面部分要求
針對移動終端的安全,標準主要對移動終端的安全環(huán)境、應(yīng)用安裝管控、終端自身安全進行了要求,例如:應(yīng)將移動終端處理訪問不同等級保護對象的進行應(yīng)用級隔離;應(yīng)具有軟件白名單功能,應(yīng)能根據(jù)白名單控制應(yīng)用軟件安裝、運行;移動終端應(yīng)接受等級保護對象移動終端管理服務(wù)端的設(shè)備生命周期管理、設(shè)備遠程控制、設(shè)備安全管控。
5、移動互聯(lián)安全管理方面部分要求
在安全管理方面,標準要求建立移動互聯(lián)安全管理制度,對移動終端實施安全控制和管理。設(shè)置移動互聯(lián)安全管理員,明確管理職責(zé)。加強終端設(shè)備管理,在移動終端設(shè)備丟失后進行遠程數(shù)據(jù)擦除。在系統(tǒng)建設(shè)前要求根據(jù)信息系統(tǒng)的安全保護等級進行移動互聯(lián)安全方案設(shè)計,并納入系統(tǒng)總體方案設(shè)計。
1、如何對采用移動互聯(lián)技術(shù)的等級保護對象進行定級?
采用移動互聯(lián)技術(shù)的等級保護對象應(yīng)作為一個整體對象定級,移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)等要素不單獨定級,與采用移動互聯(lián)技術(shù)等級保護對象的應(yīng)用環(huán)境和應(yīng)用對象一起定級。這也符合等級保護總體思想,就是將保護對象作為一個整體考慮其安全防護要點。
2、移動應(yīng)用安全防護方面部分要求
針對移動應(yīng)用app存在的被篡改、被假冒的問題,標準要求采用校驗技術(shù)保證代碼的完整性。同時,應(yīng)保證等級保護對象業(yè)務(wù)移動應(yīng)用軟件開發(fā)后、上線前經(jīng)專業(yè)測評機構(gòu)安全檢測等。針對移動應(yīng)用app發(fā)布的問題,在移動應(yīng)用app發(fā)布渠道與管理中要求應(yīng)保證移動終端安裝、運行的應(yīng)用軟件來自可靠證書簽名或可靠分發(fā)渠道。
3、無線網(wǎng)絡(luò)安全防護方面部分要求
針對無線網(wǎng)絡(luò)安全接入與安全傳輸?shù)膯栴},在標準中提出了對無線網(wǎng)絡(luò)設(shè)備安全接入、入侵防范、通信傳輸?shù)确矫娴陌踩?。例如:?yīng)能夠檢測、記錄、定位非授權(quán)無線接入設(shè)備;應(yīng)能夠檢測到無線接入設(shè)備的SSID廣播、WPS等高風(fēng)險功能的開啟狀態(tài);在無線通信傳輸中對敏感字段或整個報文進行加密。
4、移動終端安全防護方面部分要求
針對移動終端的安全,標準主要對移動終端的安全環(huán)境、應(yīng)用安裝管控、終端自身安全進行了要求,例如:應(yīng)將移動終端處理訪問不同等級保護對象的進行應(yīng)用級隔離;應(yīng)具有軟件白名單功能,應(yīng)能根據(jù)白名單控制應(yīng)用軟件安裝、運行;移動終端應(yīng)接受等級保護對象移動終端管理服務(wù)端的設(shè)備生命周期管理、設(shè)備遠程控制、設(shè)備安全管控。
5、移動互聯(lián)安全管理方面部分要求
在安全管理方面,標準要求建立移動互聯(lián)安全管理制度,對移動終端實施安全控制和管理。設(shè)置移動互聯(lián)安全管理員,明確管理職責(zé)。加強終端設(shè)備管理,在移動終端設(shè)備丟失后進行遠程數(shù)據(jù)擦除。在系統(tǒng)建設(shè)前要求根據(jù)信息系統(tǒng)的安全保護等級進行移動互聯(lián)安全方案設(shè)計,并納入系統(tǒng)總體方案設(shè)計。