### 移动互联扩展要求详解
#### 一、标准概述
- **标准名称**:《信息安全技术网络安全等级保护基本要求》GB/T22239-2019中的第3节“移动互联安全扩展要求”;《信息安全技术网络安全等级保护测评要求》GB/T28448-2019中的第3节“移动互联安全扩展测评要求”。
- **实现目标**:根据当前移动互联技术的发展水平,提出适用于不同安全级别的移动互联技术等级保护对象的基本安全保护要求,包括技术和管理两方面的要求。
#### 二、安全防护思路
- **面临的威胁**:移动互联技术的应用系统面临多种威胁,如未授权访问、数据泄露、恶意软件等。
- **安全风险**:包括但不限于用户身份验证失效、应用操作过程中存在的安全漏洞、数据存储与传输时的数据安全问题等。
- **防护策略**:采取分层分域的防护方法,针对不同安全等级制定相应的安全保护措施。
- **移动终端安全**:涉及设备安全配置、恶意软件防护等。
- **无线网络安全**:关注无线边界接入安全、网络结构安全、网络设备安全等。
- **移动应用安全**:确保应用本身的安全性,防止被逆向工程、二次打包等问题。
- **数据安全**:保护无线数据的完整性和保密性。
- **安全保护要求**:
- **第二级**:侧重于BYOD(自带设备)的管控和移动应用的管控。
- **第三级**:引入移动管理系统(MDM/MAM/MCM),强化移动应用认证和入侵防范能力。
- **第四级**:进一步加强对专用终端的管控,并加强移动数据安全措施。
#### 三、测评要点解读
- **测评依据**:GB/T22239-2019《信息安全技术网络安全等级保护基本要求》与GB/T28448-2019《信息安全技术网络安全等级保护测评要求》。
- **测评指标选择**:结合安全通用要求与移动互联安全扩展要求,以及相应的测评要求。
- **测评对象选择**:包括网络设备和安全设备、移动终端及移动应用等。
- **网络设备**:如无线接入点(AP)、无线接入网关(AC)和无线安全防护设备(WIDS/WIPS)。
- **移动终端和应用**:移动终端管理系统(MDM/MAM/MCM)、移动应用APP等。
- **具体测评内容**:
- **移动终端**:评估移动终端的安全配置、恶意软件防护等。
- **无线接入设备**:检查无线接入点的物理位置、无线接入网关的安全配置等。
- **移动应用**:审查移动应用的来源、安装与更新机制、数据加密存储及传输等。
- **移动应用软件开发**:评估移动应用的开发流程是否符合安全规范,包括代码审计、安全测试等环节。
#### 四、注意事项
- **安全意识培训**:定期为员工提供移动安全相关的培训,提高他们的安全意识。
- **设备管理**:实施严格的设备管理制度,包括设备注册、审批流程等。
- **网络架构设计**:合理规划无线网络架构,确保无线边界接入的安全性。
- **移动应用安全**:加强对移动应用的安全审查,确保应用的可信度和安全性。
- **数据加密**:对于敏感数据采取加密存储和传输的措施,防止数据泄露。
通过以上对移动互联扩展要求的深入解读,我们可以更好地理解并实施移动互联环境下的安全保护措施,有效应对各种安全挑战。
