採用移動互聯技術的等級保護物件應作為一個整體物件定級,移動終端、移動應用和無線網路等要素不單獨定級,與採用移動互聯技術等級保護物件的應用環境和應用物件一起定級。這也符合等級保護總體思想,就是將保護物件作為一個整體考慮其安全防護要點。
1、移動應用安全防護方面
部分要求針對移動應用app存在的被篡改、被假冒的問題,標準要求採用校驗技術保證程式碼的完整性。同時,應保證等級保護物件業務移動應用軟體開發後、上線前經專業測評機構安全檢測等。針對移動應用app釋出的問題,在移動應用app釋出渠道與管理中要求應保證移動終端安裝、執行的應用軟體來自可靠證書籤名或可靠分發渠道。
2、無線網路安全防護方面
部分要求針對無線網路安全接入與安全傳輸的問題,在標準中提出了對無線網路裝置安全接入、入侵防範、通訊傳輸等方面的安全要求。例如:應能夠檢測、記錄、定位非授權無線接入裝置;應能夠檢測到無線接入裝置的SSID廣播、WPS等高風險功能的開啟狀態;在無線通訊傳輸中對敏感欄位或整個報文進行加密。
3、移動終端安全防護方面
部分要求針對移動終端的安全,標準主要對移動終端的安全環境、應用安裝管控、終端自身安全進行了要求,例如:應將移動終端處理訪問不同等級保護物件的進行應用級隔離;應具有軟體白名單功能,應能根據白名單控制應用軟體安裝、執行;移動終端應接受等級保護物件移動終端管理服務端的裝置生命週期管理、裝置遠端控制、裝置安全管控。
4、移動互聯安全管理方面
部分要求在安全管理方面,標準要求建立移動互聯安全管理制度,對移動終端實施安全控制和管理。設定移動互聯安全管理員,明確管理職責。加強終端裝置管理,在移動終端裝置丟失後進行遠端資料擦除。在系統建設前要求根據資訊系統的安全保護等級進行移動互聯安全方案設計,並納入系統總體方案設計。看完了移動應用的等保保護新要求,對照下自己單位的移動應用有沒有落實等保2.0關於移動應用的要求,沒有開展等保工作的及時開展,不能因為是移動應用就放鬆了對安全的要求。