【GA公共安全标准】 信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求

ICS35.040
中华人民共和国公共安全行业标准GA/T1390.3—2017
信息安全技术
网络安全等级保护基本
要求第3部分：移动互联安全扩展要求Information security technology-General requirements for classifiedprotection of cyber security--Part 3: Special security requirements formobileinterconnection
2017-05-08发布
中华人民共和国公安部
2017-05-08实施
规范性引用文件
术语和定义
缩略语
采用移动互联技术的等级保护对象概述5.1
安全通用要求
等级保护对象构成
保护要素
保护对象定级
6第一级安全要求
技术要求
物理和环境安全
网络和通信安全
设备和计算安全
6.1.4应用和数据安全
6.2管理要求
6.2.1安全策略和管理制度
6.2.2安全管理机构和人员
6.2.3安全建设管理
6.2.4安全运维管理下载标准就来标准下载网
第二级安全要求
7.1技术要求
物理和环境安全
网络和通信安全
设备和计算安全
7.1.4应用和数据安全
7.2管理要求
安全策略和管理制度
7.2.2安全管理机构和人员
7.2.3安全建设管理
7.2.4安全运维管理
8第三级安全要求
8.1技术要求
8.1.1物理和环境安全
GA/T1390.3—2017
GA/T1390.3—2017
8.1.2网络和通信安全
8.1.3设备和计算安全
8.1.4应用和数据安全*
8.2管理要求
8.2.1安全策略和管理制度
8.2.2安全管理机构和人员
8.2.3安全建设管理
8.2.4安全运维管理
第四级安全要求·
9.1技术要求
9.1.1物理和环境安全
9.1.2网络和通信安全
9.1.3设备和计算安全
9.1.4应用和数据安全
9.2普理要求*
9.2.1安全策略和管理制度
9.2.2安全管理机构和人员
9.2.3安全建设管理
9.2.4安全运维管理
10第五级安全要求
参考文献
iiKAoiKAca
GA/T1390.3—2017
GA/T1390《信息安全技术网络安全等级保护基本要求》已经或计划发布以下部分：一第1部分：安全通用要求；
一第2部分：云计算安全扩展要求；一第3部分：移动互联安全扩展要求：第4部分：物联网安全扩展要求；第5部分：工业控制安全扩展要求：一第6部分：大数据安全扩展要求。本部分是GA/T1390的第3部分。
本部分按照GB/T1.1一2009给出的规范起草。本部分由公安部网络安全保卫局提出。本部分由公安部信息系统安全标准化技术委员会提出并归口。本部分起草单位：北京鼎普科技股份有限公司、公安部第三研究所、北京工业大学、工业控制系统信息安全技术国家工程实验室，
本部分主要起草人：王江波、于晴、张宗喜、任卫红、于东升、赵勇、杜静、周颖、谢朝海。m
iiKAoiKAca
GA/T1390.3—2017
为了适应移动互联，云计算，大数据、物联网和工业控制等新技术，新应用情况下信息安全等级保护工作的开展，公安部信息系统安全标准化技术委员会提出针对移动互联，云计算、大数据、物联网和工业控制等新技术、新应用领域制定公共安全行业系列标准。本部分是针对等级保护对象中采用移动互联技术部分提出的安全扩展要求，所以等级保护对象需同时符合GB/T22239安全通用要求。未来可能会随技术变化添加新的部分来阐述特定领域的安全扩展要求。TV
HiiKAoNiKAca
1范围
信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求GA/T1390.3—2017
GA/T1390的本部分规定了采用移动互联技术不同安全保护等级保护对象的基本保护要求。本部分适用于指导分等级的非涉密等级保护对象的安全建设和监督管理。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T25069—2010信息安全技术术语3术语和定义
GB17859—1999GB/T22239.GB/T22240和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
移动终端mobiledevice
在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。3.2
无线接入设备wirelessaccessdevice采用无线通信技术将移动终端接人有线网络的通信设备。注：本标准中无线接人设备不包括公共的无线接人设备（如公共WiFi、运营商基站等）。3.3
无线接入网关wirelessaccessgateway部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。3.4
移动应用软件mobileapplication针对移动终端开发的应用软件，包括移动终端预置的应用软件，和互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的第三方应用软件。3.5
移动终端管理系统mobiledevicemanagementsystem用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。1
HiiKAoiKAca
GA/T1390.3—2017
4缩略语
下列缩略语适用于本文件。
WEP：有线等效加密（WiredEquivalentPrivacy）MDMS：移动终端管理系统（MobileDeviceManagementSystem）DoS：拒绝服务（DenialofService）SSID：服务集标识（ServiceSetIdentifier)WPS：WiFi保护设置（Wi-FiProtectedSetup）AP：无线访问接人点（WirelessAccessPoint）WiFi：无线保真（WirelessFidelity）5采用移动互联技术的等级保护对象概述5.1安全通用要求
采用移动互联技术等级保护对象的通用安全要求应符合GB/T22239。5.2等级保护对象构成
采用移动互联技术的等级保护对象由移动终端、移动应用和无线网络3部分组成。移动终端通过无线通道连接无线接人设备并访问服务器，如图1，并通过移动终端管理系统的服务端软件向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略对移动终端进行安全管理。服务
赶动度务费
无技人
广务装
等级保护对象构成
HTTKAoNiKAca
5.3保护要素
GA/T1390.3—2017
与传统等级保护对象相比，采用移动互联技术的等级保护对象中突出3个关键要素：移动终端、移动应用和无线网络。因此，采用移动互联技术的等级保护对象的安全防护在传统等级保护对象防护的基础上，主要针对移动终端、移动应用和无线网络在物理和环境安全、，网络和通信安全、设备和计算安全、应用和数据安全4个技术层面进行扩展。5.4保护对象定级
采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级。
6第一级安全要求
6.1技术要求
6.1.1物理和环境安全
应为无线接人设备的安装选择合理位置，避免过度覆盖和电磁干扰。6.1.2网络和通信安全
6.1.2.1网络架构
本项要求包括：
无线接人网关的处理能力应满足基本业务需要；a)
b）无线接人设备的带宽应满足基本业务需要；无线接人设备应开启接人认证功能，并且禁止使用WEP方式进行认证，如使用口令，长度不小于8位字符。
6.1.2.2边界防护
有线网络与无线网络边界之间的访问和数据流应通过无线接人网关设备。6.1.2.3访问控制
应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情况下，除允许通信外，受控接口拒绝所有通信。
6.1.2.4通信传输
应采用校验技术保证无线通信过程中数据的完整性。6.1.3设备和计算安全
6.1.3.1身份鉴别
本项要求包括：
a）应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别：b）移动终端应具有登录失败处理功能。6.1.3.2
2应用管控
移动终端管理客户端应具有选择应用软件安装、运行的功能。3
GA/T1390.32017
6.1.3.3入侵防范
移动终端应遵循最小安装的原则，仅安装需要的组件和应用程序。6.1.3.4恶意代码防范
移动终端应安装防恶意代码软件，并定期进行恶意代码扫描，及时更新防恶意代码软件版本和恶意代码库。
6.1.4应用和数据安全
移动应用软件应采用校验技术保证重要数据存储的完整性。6.2管理要求
6.2.1安全策略和管理制度
应建立等级保护对象移动互联安全管理规范，并纳人等级保护对象管理安全制度。6.2.2安全管理机构和人员
6.2.2.1岗位设置
应将移动互联管理纳人等级保护对象管理员职责。6.2.2.2安全意识教育和培训
应对各类人员进行移动互联管理安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。
6.2.3安全建设管理
6.2.3.1安全方案设计
应根据等级保护对象的安全保护等级选择移动互联基本安全措施，依据风险分析的结果补充和调整安全措施。
6.2.3.2产品采购和使用
移动互联信息安全产品采购和使用应符合国家的有关规定。6.2.3.3工程实施
应指定或授权专门的部门或人员负责系统移动互联工程实施过程的管理。6.2.3.4测试验收
应对系统的移动互联部分进行必要的安全性测试验收。6.2.3.5系统交付
本项要求包括：
a）应根据交付清单对所交接的移动互联设备、移动应用软件和文档等进行清点；b）应对负责系统移动互联运行维护的技术人员进行相应的技能培训。4
6.2.3.6服务供应商选择
本项要求包括：
a）移动互联安全服务商的选择应符合国家的有关规定GA/T1390.3—2017
b）应与选定的移动互联安全服务商签订与安全相关的协议，明确约定相关责任。6.2.4
安全运维管理
6.2.4.1设备维护管理
应对各种移动互联设备（包括无线接人设备）维护纳人等级保护对象进行管理。6.2.4.2漏洞和风险管理
应采取必要的措施识别移动互联安全漏洞和隐患，对发现的安全漏洞和隐惠定期进行修补。6.2.4.3应用软件来源管理
移动终端安装，运行的应用软件应来自可靠证书签名或可靠分发架道。6.2.4.4恶意代码防范管理
应对移动终端应用软件恶意代码防范要求作出规定，包括防恶意代码软件的授权使用、恶意代码库升级和恶意代码的定期查杀等。6.2.4.5备份与恢复管理
本项要求包括：
a）应识别需要定期备份的移动终端中的关键业务信息、系统数据及软件系统等；b）应规定备份信息的备份方式、备份频度、存储介质、保存期等。7
第二级安全要求
7.1技术要求
物理和环境安全
应为无线接人设备的安装选择合理位置，避免过度覆盖和电磁干扰。7.1.2网络和通信安全
7.1.2.1网络架构
本项要求包括：
a）无线接人网关的处理能力应满足业务高峰期需要；b）无线接人设备的带宽应满足业务高峰期需要：c）无线接人设备应开启接人认证功能，并且禁止使用WEP方式进行认证，如使用口令，长度不小于8位字符并且由数字、字母和特殊字符两种或两种以上进行组合。7.1.2.2边界防护
有线网络与无线网络边界之间的访问和数据流应通过无线接人网关设备。5
GA/T1390.32017
7.1.2.3访问控制
本项要求包括：
应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情况下，除允许通信a)
外，受控接口拒绝所有通信；
应对来自移动终端的数据流量、数据包和协议等进行检查，以允许/拒绝数据包通过。b)
7.1.2.4入侵防范
本项要求包括：
应能够检测、记录非授权无线接入设备；a）
应能够对非授权移动终端接入的行为进行检测、记录；b)
应具备对针对无线接入设备的网络扫描，DoS攻击，密钥破解，中间人攻击和欺骗攻击等行为进行检测、记录；
d）应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态。7.1.2.5通信传输
本项要求包括：
应采用校验技术保证无线通信过程中数据的完整性：a)
采用加解密结束保证无线通信过程中敏感信息字段或整个报文的保密性。b)
7.1.2.6安全审计
应启用设备安全审计功能，审计覆盖到每个移动终端，对重要的终端行为和重要安全事件进行审计。
网络设备防护
本项要求包括：
应能发现系统移动终端、无线接入设备、无线接入网关设备可能存在的漏洞，并在经过充分测a)
试评估后，及时修补漏洞；
应禁用无线接入设备和无线接入网关存在风险的功能，如SSID广播、WEP认证等；b)
应禁止多个AP使用同一个鉴别密钥。e）
7.1.3设备和计算安全
1身份鉴别
本项要求包括：
应对移动终端用户登录，移动终端管理系统登录及其他系统级应用登录进行身份鉴别：移动终端应具有登录失败处理功能。b)
应用管控
移动终端管理客户端本项要求包括：a）应具有软件白名单功能，应能根据白名单控制应用软件安装、运行：应具有应用软件权限控制功能，应能控制应用软件对移动终端中资源的访问；b)
应只充许可靠证书签名的应用软件安装和运行。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。