《中国移动物联网安全保障体系系列规范2》是中国移动针对物联网终端安全管理的重要文档,旨在保障物联网业务的健康有序发展,强化物联网终端的安全。本规范适用于中国移动通信集团内部的物联网终端,包括智能硬件、智能家居、车载终端、行业终端和工控设备等,但不包含传统通信终端如手机和含上网卡的PC机。
在组织体系方面,集团信息安全管理与运行中心是物联网终端安全管理的归口部门,负责建立安全管理制度并指导工作。各相关部门、省公司和专业公司则依据该规范在立项、研发、入网、运行等阶段执行安全管理职责。采购部门依据相关安全评估规范对采购的物联网终端进行安全测评,研发部门则需遵循技术要求进行安全研发。
物联网终端安全管理遵循“谁主管,谁负责;谁运营,谁负责;谁使用,谁负责;谁接入,谁负责”的原则,涵盖立项规划、终端研发、入网测评、运行监测和应急响应等关键阶段。在立项规划中,安全需求应与业务需求同步提出,技术方案需评估安全风险,并参照相关规范进行评估。与第三方厂商合作时,需明确厂商的安全资质、安全责任和产品安全规范。
在终端研发阶段,安全风险被视为核心考虑因素,开发过程应遵循《中国移动智能硬件安全技术要求》等规范,避免设计缺陷和安全漏洞。代码安全审计和端到端安全测试是必备环节。此外,系统调用应遵循最小权限原则,开发人员接触敏感信息时需确保信息安全,测试数据中的客户信息需进行模糊化处理。
入网测评根据预期部署规模采用不同级别,确保终端在符合安全要求的情况下才能入网。测评结果由集团终端安全管理部门备案,对于不符合要求的终端,不得入网。同时,业务管理部门需配套相应的安全保障措施,实现端到端安全。
总结来说,此规范详细阐述了中国移动物联网终端的安全管理流程,强调了各阶段的安全责任和标准,旨在构建一个全面、严谨的物联网安全管理体系,保障网络和用户信息的安全。