等保2.0标准下移动APP如何开展等保工作
移动互联网高速发展的今天,人们利用移动APP来进行各种在线活动,每天各种移动APP产生大量的数据,生活的和工作的数据被各种APP的获取和存储。由于之前缺乏对于移动互联网的管理,也没有相关的法律法规来规范相关的移动APP的网络安全的建设,导致这一领域出现了很多安全事件,以及存在很多明知存在漏洞也不去整理的无良APP运营者。通过多年的努力,等保正式发布,针对移动互联网技术提出了拓展要求,为移动APP开展等保工作提供了标准。注意下面的内容,便于您开展移动APP等保工作。
1、如何对采用移动互联技术的等级保护对象进行定级?
采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。这也符合等级保护总体思想,就是将保护对象作为一个整体考虑其安全防护要点。
2、移动应用安全防护方面部分要求
针对移动应用app存在的被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题,在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
3、无线网络安全防护方面部分要求
针对无线网络安全接入与安全传输的问题,在标准中提出了对无线网络设备安全接入、入侵防范、通信传输等方面的安全要求。例如:应能够检测、记录、定位非授权无线接入设备;应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;在无线通信传输中对敏感字段或整个报文进行加密。
4、移动终端安全防护方面部分要求
针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,例如:应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
5、移动互联安全管理方面部分要求
在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计,并纳入系统总体方案设计。
1、如何对采用移动互联技术的等级保护对象进行定级?
采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。这也符合等级保护总体思想,就是将保护对象作为一个整体考虑其安全防护要点。
2、移动应用安全防护方面部分要求
针对移动应用app存在的被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题,在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
3、无线网络安全防护方面部分要求
针对无线网络安全接入与安全传输的问题,在标准中提出了对无线网络设备安全接入、入侵防范、通信传输等方面的安全要求。例如:应能够检测、记录、定位非授权无线接入设备;应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;在无线通信传输中对敏感字段或整个报文进行加密。
4、移动终端安全防护方面部分要求
针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,例如:应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
5、移动互联安全管理方面部分要求
在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计,并纳入系统总体方案设计。