安全資訊

    移動(dòng)互聯(lián)網(wǎng)高速發(fā)展的今天，人們利用移動(dòng)APP來(lái)進(jìn)行各種在線(xiàn)活動(dòng)，每天各種移動(dòng)APP產(chǎn)生大量的數據，生活的和工作的數據被各種APP的獲取和存儲。由于之前缺乏對于移動(dòng)互聯(lián)網(wǎng)的管理，也沒(méi)有相關(guān)的法律法規來(lái)規范相關(guān)的移動(dòng)APP的網(wǎng)絡(luò )安全的建設，導致這一領(lǐng)域出現了很多安全事件，以及存在很多明知存在漏洞也不去整理的無(wú)良APP運營(yíng)者。通過(guò)多年的努力，等保正式發(fā)布，針對移動(dòng)互聯(lián)網(wǎng)技術(shù)提出了拓展要求，為移動(dòng)APP開(kāi)展等保工作提供了標準。注意下面的內容，便于您開(kāi)展移動(dòng)APP等保工作。
        1、如何對采用移動(dòng)互聯(lián)技術(shù)的等級保護對象進(jìn)行定級？
    采用移動(dòng)互聯(lián)技術(shù)的等級保護對象應作為一個(gè)整體對象定級，移動(dòng)終端、移動(dòng)應用和無(wú)線(xiàn)網(wǎng)絡(luò )等要素不單獨定級，與采用移動(dòng)互聯(lián)技術(shù)等級保護對象的應用環(huán)境和應用對象一起定級。這也符合等級保護總體思想，就是將保護對象作為一個(gè)整體考慮其安全防護要點(diǎn)。
    2、移動(dòng)應用安全防護方面部分要求
    針對移動(dòng)應用app存在的被篡改、被假冒的問(wèn)題，標準要求采用校驗技術(shù)保證代碼的完整性。同時(shí)，應保證等級保護對象業(yè)務(wù)移動(dòng)應用軟件開(kāi)發(fā)后、上線(xiàn)前經(jīng)專(zhuān)業(yè)測評機構安全檢測等。針對移動(dòng)應用app發(fā)布的問(wèn)題，在移動(dòng)應用app發(fā)布渠道與管理中要求應保證移動(dòng)終端安裝、運行的應用軟件來(lái)自可靠證書(shū)簽名或可靠分發(fā)渠道。
    3、無(wú)線(xiàn)網(wǎng)絡(luò )安全防護方面部分要求
    針對無(wú)線(xiàn)網(wǎng)絡(luò )安全接入與安全傳輸的問(wèn)題，在標準中提出了對無(wú)線(xiàn)網(wǎng)絡(luò )設備安全接入、入侵防范、通信傳輸等方面的安全要求。例如：應能夠檢測、記錄、定位非授權無(wú)線(xiàn)接入設備；應能夠檢測到無(wú)線(xiàn)接入設備的SSID廣播、WPS等高風(fēng)險功能的開(kāi)啟狀態(tài)；在無(wú)線(xiàn)通信傳輸中對敏感字段或整個(gè)報文進(jìn)行加密。
    4、移動(dòng)終端安全防護方面部分要求
    針對移動(dòng)終端的安全，標準主要對移動(dòng)終端的安全環(huán)境、應用安裝管控、終端自身安全進(jìn)行了要求，例如：應將移動(dòng)終端處理訪(fǎng)問(wèn)不同等級保護對象的進(jìn)行應用級隔離；應具有軟件白名單功能，應能根據白名單控制應用軟件安裝、運行；移動(dòng)終端應接受等級保護對象移動(dòng)終端管理服務(wù)端的設備生命周期管理、設備遠程控制、設備安全管控。
    5、移動(dòng)互聯(lián)安全管理方面部分要求
    在安全管理方面，標準要求建立移動(dòng)互聯(lián)安全管理制度，對移動(dòng)終端實(shí)施安全控制和管理。設置移動(dòng)互聯(lián)安全管理員，明確管理職責。加強終端設備管理，在移動(dòng)終端設備丟失后進(jìn)行遠程數據擦除。在系統建設前要求根據信息系統的安全保護等級進(jìn)行移動(dòng)互聯(lián)安全方案設計，并納入系統總體方案設計。