《信息安全技术 信息系统等级保护安全设计技术要求 第3部分：对采用移动互联技术的信息系统的扩展设计要求-编制说明》.pdfVIP

一、 工作简况 1.1任务来源 《信息安全技术 网络安全等级保护安全设计技术要求 第3部分：移动互 联安全要求》是国家标准化管理委员会 2015年下达的信息安全国家标准制定项 目，国标计划号为：GB/T 25070.3-2010，由北京工业大学承担，参与单位包括 北京中软华泰信息技术有限责任公司、蓝盾信息安全技术有限公司、中国电力科 学研究院、成都卫士通信息安全技术公司、浙江中烟工业有限责任公司等单位。 1.2主要工作过程 1)准备阶段 2013年12月，在公安部11局的统一领导下，北京工业大学同协作单位共 同成立标准编写项目组。 2）调研阶段 标准起草组成立以后，项目组收集了大量移动终端相关的国内外相关标准， 进行了研讨。同时项目组参考了国内等级保护相关标准，对移动互联系统的等级 保护安全需求、安全风险进行了充分讨论。为了真实了解行业内的安全要求，项 目组也对行业内的企事业单位进行了调研。 3）编写阶段 2014年1月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关 领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。 标准起草组按照分工，对标准各部分进行了编写，形成了标准草案。 4）首次征求专家意见 2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标 准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。项目组根据专家 意见，对标准进行了修改。 5）第二次征求专家意见 2014年10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专 家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。同时专家 认为标准达到了项目申报要求。项目组根据专家意见修改后，提交安标委。 6）系列标准统一修订阶段 2015年4月，公安部一所组织等级保护设计要求系列标准起草组进行统一 研讨，会上针对系列标准，制订了统一模板。同时要求根据安标委的统一部署， 将标准名称修改为 《信息安全技术 信息系统等级保护安全设计技术要求 第3 部分：对采用移动互联技术的信息系统的扩展设计要求》。会后项目组根据相关 要求，对标准进行了修订。 7）标准更名 2016年10月，WG5工作组2016第二次会议周上，专家建议标准名称修订 为 《网络安全等级保护安全设计技术要求 第3部分：移动互联安全要求》。 二、编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： 1）科学性与实用性相结合的原则 科学性是标准化的最基本原则，规范的科学性直接关系到该体系能否对移 动互联系统安全起到积极、稳定和长久的正面作用。实用性表明标准体系是否与 实际情况相符合，是标准化研究中最重要的基本原则。科学性与实用性相结合就 是理论与实践相结合在标准体系研究中的具体体现。 2）先进性与开放性相结合的原则 在执行本标准研制项目时，要积极引入先进的管理理念和前沿技术，充分 考虑到移动互联系统未来发展的方向和特点。但同时也要考虑到目前的需求和技 术水平，使规范能够根据科学技术以及需求的变化而不断进行扩充和完善。 3）安全性和可用性相结合的原则 本规范用来指导和规范移动互联系统等级保护安全设计，是安全范畴的规 范。但是规范在起草过程中不能一味地追求绝对安全，而应根据当前移动互联系 统的实际情况，构建保证业务系统可用性基础上的适度安全体系。 2.2 主要内容 本项目主要包括以下三部分内容： 首先，针对不同的移动互联系统应用系统，选取最具代表性的典型应用场 景，根据几种不同的场景抽象出具有普适意义的移动互联系统网络拓扑结构。 其次，根据移动互联系统网络拓扑抽象，对要进行安全设计的移动互联系 统进行安全区域划分，主要包括三个部分：计算环境、区域边界和通信网络。 根据该应用的重要程度，针对各安全区域的不同安全需求，给出移动互联系统 安全防御体系设计，分等级规范移动互联系统安全设计技术要求。 最后，给出第三级系统安全保护环境设计示例，为系统提供商提供安全设计 的方法论和设计指导。 1)移动互联系统网络拓扑抽象 移动互联系统最为典型的应用场景主要包括下列3个：  局域网内部移动办公 该场景主要是针对局域网的移动办公需求，在无线网络中拥有一个类似于 以太网集线器的接入点，移动终端之间的连接和移动终端与服务器