信息安全技术-网络安全等级保护-移动互联安全扩展要求教学提纲.docVIP

信息安全技术-网络安全等级保护-移动互联安全扩展要求 息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 25069-2010　信息安全技术 术语 术语和定义 GB 17859-1999、GB/T 22239.1-XXXX、GB/T 22240和GB/T25069-2010界定的以及下列术语和定义适用于本文件。 移动终端 mobile device 在移动业务中使用的智能终端设备，包括手机、PAD、PC等通用终端和专用终端设备。 无线接入设备 wireless access device 采用无线通信技术将移动终端接入有线网络的通信设备。本标准的无线接入设备是指为采用移动互联技术等级保护对象使用的专用无线设备，不包括公共的无线接入设备（如公共WiFi、运营商基站等）。 无线接入网关 wireless access gateway 部署在无线网络与有线网络之间，对等级保护对象进行安全防护的设备。 移动应用软件mobile application 在移动终端中运行的一般软件，包括通用移动应用软件以及等级保护对象业务移动应用软件。本标准“应用安全”要求包括通用移动应用软件安全要求和等级保护对象业务移动应用软件安全要求。 移动终端管理系统mobile device management system（MDMS） 用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。 采用移动互联技术等级保护对象安全等级保护概述 采用移动互联技术等级保护对象 采用移动互联技术等级保护对象与传统等级保护对象的区别在于移动终端可以通过无线方式接入网络，如图1采用移动互联技术等级保护对象构成所示移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护对象，也可以在本地通过本地无线接入设备接入等级保护对象。系统通过移动管理系统的服务端软件向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略，并由客户端软件执行实现系统的安全管理。 图1采用移动互联技术等级保护对象构成 采用移动互联技术等级保护对象保护要素 与传统等级保护对象相比，采用移动互联技术等级保护对象中突出三个关键要素：移动终端、移动应用和无线网络。因此，采用移动互联技术等级保护对象的安全防护在传统等级保护对象防护的基础上，主要针对移动终端、移动应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面进行扩展。 采用移动互联技术等级保护对象定级 采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级，与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。 第一级基本要求 技术要求 物理和环境安全 应为无线接入设备的安装选择合理位置，避免过度覆盖。 网络和通信安全 网络架构 本项要求包括： 应保证无线接入网关的处理能力满足基本业务需要； 应保证无线接入设备的带宽满足基本业务需要； 无线接入设备应开启接入认证功能，并且禁止使用WEP方式进行认证，密钥长度不小于8位。 边界防护 应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。 访问控制 应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情况下，除允许通信外，受控接口拒绝所有通信。 通信传输 应采用校验技术保证无线通信过程中数据的完整性。 设备和计算安全 身份鉴别 本项要求包括： 应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别； 移动终端应具有登录失败处理功能。 应用管控 移动终端管理客户端应具有选择应用软件安装、运行的功能。 入侵防范 移动终端应遵循最小安装的原则，仅安装需要的组件和应用程序。 恶意代码防范 移动终端应安装防恶意代码软件，并定期进行恶意代码扫描，及时更新防恶意代码软件版本和恶意代码库。 应用和数据安全 移动应用软件应采用校验技术保证重要数据存储的完整性。 管理要求 安全策略和管理制度 应建立等级保护对象移动互联安全管理规范，并纳入等级保护对象管理安全制度。 安全管理机构和人员 岗位设置 应将移动互联管理纳入等级保护对象管理员职责。 安全意识教育和培训 应对各类人员进行移动互联管理安全意识教育和岗位技能培训，并告知相关的安全责