《信息安全技术 移动互联网应用服务器安全技术要求-编制说明》.pdfVIP

一、 任务来源 《移动互联网第三方应用服务器安全技术要求》国家标准编制任务由中国信 息通信研究院（原工业和信息化部电信研究院）提出申请，由全国信息安全标准 化技术委员会下达并归口，项目编号为2013bzzd-WG6-003。由中国信息通信研 究院（原工业和信息化部电信研究院）牵头承担标准制定工作，起草单位包括中 国信息通信研究院 （原工业和信息化部电信研究院）、中国电信广东研究院和北 京邮电大学。 二、 编制原则 规范性：遵循现行国家标准，采用和借鉴国内外先进标准。本标准编写格式 按国家标准GB/T 1.1-2009 《标准化工作导则 第 1部分：标准的结构和编写规 则》的规定予以编写。 先进性：移动互联网是近年来兴起的新事物，而移动互联网第三方应用服务 器安全更是目前信息安全研究的前沿领域之一。课题组在充分借鉴传统网络服务 器安全标准的基础上，结合移动互联网和移动应用的特点，针对移动互联网第三 方应用服务器安全面临的新形势、新问题提出了技术规范，体现了先进性的要求； 全面性：信息安全的一项重要原则是纵深防御，即安全措施需要成体系推进。 本标准的制定过程也充分体现了这一思路，首先对应用服务器的资产进行分析， 结合每类资产的安全需求确定安全框架，最后针对安全框架的每个层次提出安全 技术要求，不同层面环环相扣，互为补充和增强，从而达到全面保护应用服务器 安全的目的。 普适性：移动应用软件种类繁多，每种应用使用的后台支撑服务器的规模、 架构和技术体系也各有不同。课题组充分调研了业界在建设应用服务器时采用的 各种方案，剥离与本标准无关的细节，抽取出各种应用服务器的共性安全需求制 定安全要求。同时，将文稿提交TC260/WG6秘书处（中国通信标准化协会（CCSA） 网络与信息安全技术委员会 （TC8）无线安全技术工作组(WG2)会议）组织会议讨 论，并征求工信部相关主管单位的意见，接受“全国信息安全标准化技术委员会” 的项目检查工作，记录、分析每一次会议意见，针对意见对文本进行修改，做好 意见反馈工作。 三、 主要工作过程 1.2013年10月，由标准起草单位联合成立 “移动互联网第三方应用服务器 安全技术要求”项目组，开展标准制定前期的技术积累等筹备工作； 2. 2013年11月，继续就相关技术进行调研； 3.2013年12月，经过大量的前期预研工作，标准项目组正式启动标准编制 工作，成立标准编制小组； 4. 2014年1月至3月，编制小组进一步讨论和明确标准框架、范围和主要 技术内容，开展并完成标准主要内容的起草工作，并形成标准征求意见稿，并提 交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第15次联合会议讨论。会议提出 部分修改意见，并要求以第二次征求意见稿进行讨论； 5. 2014年4月至6月，根据上次会议意见进行修订，对本标准项目进行内 部评审工作和修改，形成标准第二次征求意见稿，并提交 2014 年 3 月 CCSA/TC8/WG1和CCSA/TC8/WG2第 16次联合会议讨论。会议通过征求意见稿， 进入送审稿状态； 6.2014年7月至9月，形成标准送审稿，提交2014年10月CCSA/TC8/WG1 和CCSA/TC8/WG2第17次联合会议讨论，提出编辑性问题，并要求以第二次送审 稿进行讨论； 7. 2014年 11月至2015年2月，形成标准第二次送审稿，提交2015年3 月CCSA/TC8/WG1和CCSA/TC8/WG2第19次联合会议讨论，通过送审稿，进入报 批稿。 8.2015年3月至2015年8月，在TC260/WG6 （CCSA/TC8/WG2工作组）开展 标准评审工作，并根据评审意见对标准文本进行了修改，形成标准报批稿。 TC260/WG6秘书处将把标准报批稿提交TC260公开征求意见。 9.2016年6月到7月，在全国信息安全标准化技术委员会2016年第一次工 作组 “会议周”(TC8/WG6)开展标准评审工作，并根据评审意见对标准文本进行 了修改，形成标准征求意见稿。 四、 标准的主要内容 移动互联网第三方应用服务器位于移动互联网 “云、管、端”架构的云端， 是支撑移动互联网应用业务功能的各类后台服务器的统称 （不包括应用商店）。 随着移动互联网应用对在线服务的依赖程度逐渐加深，第三方应用服务器的重要 程度也与日俱增，如果其中存在安全问题，轻则致使大量用户无法正常使用移动 互联网应用提供的各类业务，重则可能导致用户个人信息遭到大规模泄露等安