当今社会,智能手机的普及加上运营商网络网速越来越快,让移动应用变成了可能,我们通过移动应用可以做很多事,看电视、听音乐、买东西、办公等等,我们越来越离不开手机,愈发地感觉到社会已从电脑端迈向移动端,那么这些移动应用要不要做等级保护测评呢,很显然这是必需的,因为应用还是那个应用,数据依然还是很重要,只是形式上变了。网络边界变得模糊,接入方式变得灵活,这就给我们开展等级保护工作带来了新的要求,移动应用的网络安全不仅要重视,更要加大加强重视,因为我们在移动应用安全上欠了很多,就像之前报道的大量家庭智能摄像头被入侵,造成个人信息、个人隐私的泄露。根据公众号:信息安全测评联盟的《等级保护2.0之移动互联安全》文章,不得不等总结了移动应用开展等保工作以下几个注意事项。
1、如何对采用移动互联技术的等级保护对象进行定级?
采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。这也符合等级保护总体思想,就是将保护对象作为一个整体考虑其安全防护要点。
2、移动应用安全防护方面部分要求
针对移动应用app存在的被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题,在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
3、无线网络安全防护方面部分要求
针对无线网络安全接入与安全传输的问题,在标准中提出了对无线网络设备安全接入、入侵防范、通信传输等方面的安全要求。例如:应能够检测、记录、定位非授权无线接入设备;应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;在无线通信传输中对敏感字段或整个报文进行加密。
4、移动终端安全防护方面部分要求
针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,例如:应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
5、移动互联安全管理方面部分要求
在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计,并纳入系统总体方案设计。
看完了移动应用的等保保护新要求,对照下自己单位的移动应用有没有落实等保2.0关于移动应用的要求,没有开展等保工作的及时开展,不能因为是移动应用就放松了对安全的要求。
(文章来源:等级保护测评)
关于得安
得安信息是中国商用密码行业的领军企业,自1997年成立以来,始终专注于信息安全领域前沿密码技术的创新,致力于为用户提供专业化、全方位的信息安全解决方案。得安信息的业务范围涵盖金融安全、电子政务安全、云计算安全安全、大数据安全、移动互联网安全、军工安全、可信计算……得安用户遍布金融、证券、政府、税务、电信、石油、邮政、保险、航空及电子政务、电子商务等领域。得安信息在山东、北京、西安、上海、广州、深圳、厦门、长沙、成都均设有研发和技术支持中心,得安业务版图覆盖国内所有省份。
得安信息安全整体解决方案
更专业 更全面 更有价值
值得用户信任的信息安全顾问
