《移动办公及业务应用安全保障白皮书》中提到的等保2.0标准的移动互联安全要求

2020-03-18 14:19:37 摘录于中国网络安全产业联盟网 91

  2020年3月13日,中国网络安全产业联盟网发布《移动办公及业务应用安全保障白皮书》,移动办公及业务应用安全保障白皮书文档内容请到中国网络安全产业联盟网获取。本文摘录了《移动办公及业务应用安全保障白皮书》中提到的等保2.0标准的移动互联安全要求部分内容,便于大家了解相关内容。

  1. 等级保护 2.0 移动互联安全扩展要求

  GB/T 22239-2019《网络安全等级保护基本要求》为了便于实现对不同级别和不同形态的等级保护对象的共性化和个性化保护,GB/T 22239-2019《网络安全等级保护基本要求》在提出安全通用要求的同时,针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。其中明确规定,采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成。GB/T 22239-2019 移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求,与通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。

  图8 等级保护 2.0 的移动互联场景

图片关键词

  以 GB/T 22239-2019 中三级定级对象的移动互联扩展要求为例,一共包括了 9 个控制点,其中 5 个控制点与无线网络安全有关,4 个控制点与移动终端和移动应用安全有关,其结构如下表所示:

图片关键词

  表4 等级保护 2.0 移动互联安全扩展要求

  2. 移动智能终端安全架构

  GB/T 23927-2016《信息安全技术移动智能终端安全架构》提出了智能移动终端的安全框架,由硬件安全、系统软件安全、应用软件安全、接口安全、及用户数据安全五部分组成,如下图所示:

图片关键词

  图9 智能移动终端的安全框架图

  在应用软件安全方面,标准描述了最小权限原则、安全扫描、应用安装、安全软件等四项安全需求,在用户数据安全方面,标准描述了远程保护、状态提示、用户确认、信息保护、信息收集、文件分级等六项安全需求。

       PS:如果贵公司需要移动APP或者办公软件需要做等级保护相关的服务,欢迎在线咨询或者留言,万方安全提供一站式的等保建设服务,包括等保备案、等保测评以及等保整改加固服务。

等保一站式服务