电话热线
服务热线 400-0033361
等保2.0时代,采用移动互联技术的信息系统如何进行等级保护? 2022-03-04

移动智能终端的出现给我们带来便利的同时,也给移动互联网信息系统的等级保护工作带来了新的挑战。等保2.0时代,等级保护对象范围扩大,除基础信息网络安全外,新增工业控制系统、云计算平台、采用移动互联技术的信息系统等保护对象,其中,采用移动互联技术的信息系统的等保测评就受到了重视。

《网络安全等级保护基本要求》第3部分:移动互联安全扩展要求中针对移动互联安全进行了详细描述。规定了采用移动互联技术不同安全保护等级保护对象的基本保护要求。等保标准规定:采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用(APP)、无线网络以及相关应用系统等。

采用移动互联技术的信息系统如何进行等级保护?

采用移动互联技术等级保护对象突出三个关键要素:移动终端、移动应用和无线网络。因此,安全防护技术要求在传统等级保护的基础上,重点在移动终端、移动应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面进行扩展,并以一系列管理要求进行联合。

1、移动终端安全防护方面

针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,例如:应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。

2、移动应用安全防护方面

针对移动应用app存在的被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题,在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。

3、无线网络安全防护方面

针对无线网络安全接入与安全传输的问题,在标准中提出了对无线网络设备安全接入、入侵防范、通信传输等方面的安全要求。例如:应能够检测、记录、定位非授权无线接入设备;应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;;在无线通信传输中对敏感字段或整个报文进行加密。

需要注意的是,由于移动互联网信息系统的主要接入终端设备延伸至移动智能终端设备,在等保测评过程中,除按照《信息安全技术信息系统安全等级保护基本要求》进行评估外,还应考虑移动终端接入对服务系统造成的安全风险。普一科技提供专业的等保服务,为企业制定专项等级保护解决方案,帮助企业采用移动互联网技术信息系统通过等级评估,实施等级保护。