深度解讀 | 等保2.0之移動互聯安全擴充套件要求解讀

數字經濟下，企業的生態核心是應用為核心。隨著移動網際網路的發展，移動應用已滲透各行各業，與工作、生活息息相關。工信部發布的資料顯示，截至2018年8月底，我國市場上監測到的移動應用App為426萬款，僅8月份，我國第三方應用商店與蘋果應用商店新上架移動應用就達12.7萬款。移動終端安全問題逐漸成為使用者關注的焦點。

當前，網路安全等級保護已經進入2.0時代，等級保護制度已被打造成新時期國家網路安全的基本國策和基本制度。對重要基礎設施重要系統以及“雲、物、移、大、工”納入等保監管，將網際網路企業納入等級保護管理，並在《網路安全等級保護基本要求 第3部分：移動互聯安全擴充套件要求》中針對移動互聯安全進行詳細描述，其中專門對移動終端相關安全內容進行描述。

網路安全等保2.0 時代已到來

國家等級保護認證是中國最權威的資訊產品安全等級資格認證，且等保1.0的核心法律依據《管理辦法》為規章，其制定的主要法律依據《計算機資訊系統安全保護條例》為行政法規；而等保2.0的核心法律依據中的《網路安全法》和《網路安全等級保護條例》，等保2.0時代的到來預示著網路安全保障已不止是市場需求，更上升到國家法律層面。

等保2.0將等保工作的技術要求和管理要求細分為了更加具體的八大類：物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全;全策略和管理制度、全管理機構和人、安全建設管理、安全運維管理。而等保2.0在以上基本要求之外，提出了雲安全、移動安全、物聯網安全、工業控制系統安全、大資料安全等網路空間擴充套件要求，且每個部分都有詳細的安全標準。

根據等級保護相關管理檔案，資訊系統的安全保護等級分為五級：

第一級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益造成特別嚴重損害，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，資訊系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，資訊系統受到破壞後，會對國家安全造成特別嚴重損害。

相關行業也陸續出臺了定級指南，如：

1、金融行業

《中國人民銀行關於銀行業金融機構資訊系統安全等級保護定級的指導意見》（銀髮〔2012〕163 號）

2、電力行業

《關於印發〈電力行業資訊系統等級保護定級工作指導意見〉的通知》（電監資訊〔2007〕44 號）

3、交通

《JT/T904—2014交通運輸行業資訊系統安全等級保護定級指南》

4、教育

《教育部辦公廳關於印發〈教育行業資訊系統安全等級保護定級工作指南（試行）〉的通知》（教技廳函 [2014]74 號）   

移動互聯等級保護安全部署迫在眉睫 

等級保護2.0之移動互聯安全移動網際網路的迅猛發展帶來的網路安全問題日益突出，如何對採用移動互聯技術的等級保護物件進行定級和有效防護，是等保技術體系下一個重要課題，在《網路安全等級保護基本要求 第3部分：移動互聯安全擴充套件要求》中也從技術要求和管理要求兩個維度進行了明確的描述。

該部分等級保護總體思想是將保護物件作為一個整體考慮其安全防護要點，“縱深防禦、分層防護”的總體策略貫穿始終。採用移動互聯技術的等級保護物件應作為一個整體物件定級，移動終端、移動應用和無線網路等要素不單獨定級，與採用移動互聯技術等級保護物件的應用環境和應用物件一起定級。

與傳統等級保護物件相比，移動互聯安全擴充套件要求是針對採用移動互聯技術的等級保護物件其移動互聯部分提出的特殊保護要求，其與傳統等級保護物件的主要區別在於移動性和便捷性。移動終端可以通過無線方式接入網路，移動終端可以遠端通過運營商基站或公共Wi-Fi接入等級保護物件，也可以通過本地無線接入裝置接入等級保護物件。與傳統資訊系統相比，採用移動互聯技術的系統所面對的攻擊面更大，且由於移動終端的便攜性更容易丟失，並造成資訊洩露資料丟失等。

因此，採用移動互聯技術等級保護物件中突出3個關鍵要素：移動終端、移動應用和無線網路。因此安全防護技術要求在傳統等級保護的基礎上，重點針對移動終端、移動應用和無線網路在物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全四個技術層面進行擴充套件，並以一系列管理要求進行聯合。

以第四級安全要求為例:

（1）在網路和通訊安全中針對 “入侵防範”要求包括：

① 應能夠檢測、記錄、定位非授權無線接入裝置；

② 應能夠對非授權移動終端接入的行為進行檢測、記錄、定位並阻斷；

③ 應具備對針對無線接入裝置的網路掃描、DoS攻擊、金鑰破解、中間人攻擊和欺騙攻擊等行為進行檢測、記錄、分析定位；

④ 應能夠檢測到無線接入裝置的SSID廣播、WPS等高風險功能的開啟狀態。

（2）在裝置和計算安全中針對 “惡意程式碼防範”要求包括：

① 應安裝防惡意程式碼軟體，並定期進行惡意程式碼掃描，及時更新防惡意程式碼軟體版本和惡意程式碼庫；

② 應支援移動業務應用軟體僅執行在安全容器內，防止被惡意程式碼攻擊。

（3）在安全運維管理中針對 “漏洞和風險管理”要求包括：

應採取必要的措施識別移動網際網路安全漏洞和隱患，對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。

    等級保護2.0具體實施策略分析  

 根據前期的深入研究和針對技術要求分析，幾維安全提出可從事前加固、事中監測、事發響應、事後評估形成RMRE閉環安全防護體系，並研發形成一系列產品，結合不同行業、不同場景特徵及需求，以單產品、產品組合或一體化產品體系構建等多種方式進行安全加固。

金融業為例，國家互金專委會曾在報告中指出，網際網路金融是金融與網際網路技術相融合的領域，資訊流的安全性是網際網路金融發展的基礎和保障。網際網路金融資訊系統在執行過程中一旦發生資料洩露、盜取等事件，會對雙方造成巨大損失。網貸資訊系統等保測評趨嚴是行業規範化發展的時代要求。

目前，大多數網際網路金融平臺獲得的以第二級認證為主，資訊保安等保三級備案是國家對非銀行金融機構的最高階認證，屬於“監管保護級”。據公開資料顯示，截至2018年3月底，網貸行業正常運營平臺數量降至1700餘家，其中通過資訊系統安全等保三級備案認證的平臺僅為175家。對於P2P網貸平臺來說，能夠獲得等保三級不僅是對使用者資金安全負責，也在一定程度上彰顯了平臺實力。

根據對金融行業特徵和風險隱患分析發現，該行業主要風險隱患包括：

（1）使用者資訊洩漏

攻擊者非法竊取使用者資訊、交易記錄等，進行精準詐騙和惡意營銷。

（2）感染病毒、木馬

使用者安全意識低，App執行裝置易感染病毒、木馬，造成使用者資訊洩漏、資金丟失。

（3）演算法金鑰洩漏

演算法金鑰保護強度弱，存在洩漏風險，進一步造成本地資料和網路資料洩漏問題。

（4）核心模組破解

核心程式碼保護方案不完整，難以對抗高技術的黑產組織，造成企業資產損失。

基於金融行業移動網際網路安全需求特徵，幾維安全以原創的KiwiVM原始碼虛擬化保護技術進行多維度防護、加固。如，圍繞APP全生命週期進行分階段加固技術研發和產品部署。

      結 語  

國家網路安全等級保護制度實施十年來，已經成為了國家的網路安全基本制度、基本國策，為適應新技術的發展，解決雲端計算、物聯網、移動互聯和工控領域資訊系統的資訊保安問題，國家對網路安全等級保護制度提出了新的要求，網路安全等級保護制度也進入2.0時代。順應時代發展實施網路安全等級保護，不只是國家的制度要求，也是塑造企業品牌、共建可信移動網際網路生態環境的有力抓手。