移动App安全等级保护测评防护重点

发布时间：2022-05-26 15:35 所属栏目：15 来源：互联网

导读：随着移动互联网的快速发展，丰富多彩的移动终端特别是移动App应用极大方便了用户的工作和生活，但是其信息安全面临极其严峻的现实考验。国家标准化管理委员会目前修订等级保护相关要求，将增加移动互联安全扩展要求。从新版等级保护关于移动互联安全扩展要求

　　随着移动互联网的快速发展，丰富多彩的移动终端特别是移动App应用极大方便了用户的工作和生活，但是其信息安全面临极其严峻的现实考验。国家标准化管理委员会目前修订等级保护相关要求，将增加移动互联安全扩展要求。从新版等级保护关于移动互联安全扩展要求征求意见稿来看，新标准要求采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级，与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。

　　为加强移动互联的安全管理，新标准在传统等级保护的基础上，在技术层面上重点针对移动终端、App应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个方面进行扩展安全要求，在管理层面上对包括安全管理策略与制度、安全管理机构和人员、安全建设管理、安全运维管理在内的4个方面提出了相关的要求。

　　1、移动终端安全防护方面部分要求

　　针对移动终端的安全，标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求，例如：应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能，应能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。

　　2、移动互联安全管理方面部分要求

　　在安全管理方面，标准要求建立移动互联安全管理制度，对移动终端实施安全控制和管理。设置移动互联安全管理员，明确管理职责。加强终端设备管理，在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计，并纳入系统总体方案设计。
　
　3、如何对采用移动互联技术的等级保护对象进行定级?

　　采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级，与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。这也符合等级保护总体思想，就是将保护对象作为一个整体考虑其安全防护要点。

　　4、移动应用安全防护方面部分要求

　　针对移动应用app存在的被篡改、被假冒的问题，标准要求采用校验技术保证代码的完整性。同时，应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题，在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。

　　5、无线网络安全防护方面部分要求

　　针对无线网络安全接入与安全传输的问题，在标准中提出了对无线网络设备安全接入、入侵防范、通信传输等方面的安全要求。例如：应能够检测、记录、定位非授权无线接入设备;应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;在无线通信传输中对敏感字段或整个报文进行加密。

　　北京旗云天下科技有限公司等保咨询团队结合《GBT28448-2019信息安全技术网络安全等级保护测评要求》中的评测指标和评测要求，通过全自动的方式，模拟攻击者攻击的方式，采用静态、动态、源码及漏洞嗅探的方式，自动检测Android/IOS应用内部存在的各种应用漏洞，包括代码保护、动态防御、本地数据、网络数据、恶意漏洞等80+项风险点，平均10分钟即可完成静态分析和动态分析检测［真机检测］，生成可视化的在线报告和Word格式的离线报告，缩短人工评测的时间。

（编辑：ASP站长网）