移動App安全等級保護建議
(一)建立 組織架構規範
建議由工信部或者公安部牽頭,參照由國家保密科技測評中心成立的移動App科技測評中心,其形成了統一規範、整體協同的科技測評機構體系,可自身開展系統測評、產品測評、漏洞分析、法規和標準研究,也可對授權方開展測評業務的資質進行審查和評估。對於送檢的軟體測試結果予以公開,以便App使用者能在安全可靠的公共平臺上查詢和下載使用。
(二)採用各個環節分開定級方式
移動終端、移動應用、網路安全、應用服務端等所屬責任主體經常會不一致,而且各個環節發生安全事件或者存在安全漏洞影響的範圍和危害的程度也不一樣,建議移動App系統各個環節分開定級,這樣將更加精準並且責權更加清晰。移動終端安全由使用者自行負責,移動應用由開發者負責,網路安全由網路供應商負責,應用服務由應用服務提供商負責。對於客戶端可以開發統一的移動終端安全測試和安全防護軟體,目前很多移動安全軟體都能實現。移動應用App相當於傳統等級保護中的客戶端軟體,只須參照客戶端軟體安全提出相應的標準即可。安全廠商已經開發出了行動網路安全檢測工具,可以在此基礎上統一標準並完善終端網路檢測工具,並且可以整合到終端安全防護軟體中,強化終端整體防護。國內電信、移動、聯通等幾大主要的網際網路絡服務供應商作為國家基礎設施建設單位,網際網路服務等級保護定級必然不會很低,且很多的移動App均執行在這些網路上,只須一次定級和測評即可,無須每套系統都對行動網路進行測評。移動App應用服務端定級完全可以參考傳統資訊保安等級保護服務端資訊保安要求。
(三)移動App強調整體網路安全
移動App執行的網路不僅僅是無線網路,其也可以執行在有線網路環境中。建議參考原有等級保護網路安全,在此基礎上增加獨有特色的無線網路安全,使得對其的網路安全要求更加全面和完善,避免了一些避開標準要求的特殊情況。
(四)加強對敏感資訊的安全要求
細化移動App許可權要求,按照最小許可權獲取移動終端資源和敏感資訊的使用權。在安裝或者使用過程中,需要獲取特定許可權或者個人隱私資料時,不應簡單提示是否給予許可權,而應明確標識為何需要此許可權並且提示獲取什麼資料、提取的資料作何用途,督促App開發者實現“明示收集、使用資訊的目的、方式和範圍並經被收集者同意”,改變使用者只知道App需要什麼許可權的傳統模式,以適應新《網路安全法》的要求。
(五)規範安全測試、安全加固等業務市場
建議制定移動App安全測試和安全加固等資訊保安業務服務標準,由統一的測評中心授權並公開獲取開展資訊保安服務業務資質的相關企業資訊、業務範圍,規範安全服務市場,具備什麼資質開展什麼業務,需求客戶可以根據公開的資訊選取和聯絡可靠的安全服務提供商,避免部分企業混水摸魚,降低因第三方企業參與所帶來的額外風險,實現市場規範化、業務明細化、測評標準化、結果公開化、軟體可靠化。
(六)分化軟體升級方式要求
建議根據安全等級對移動App升級方式進行分化,對於危害和影響不大的一級、二級系統可以採取線上升級方式。為了保障三級、四級系統的高可靠性和高安全性,必須採用整體打包重新安裝升級方式,降低線上升級帶來的不穩定和潛在植入病毒的風險。
(七)強化移動App身份驗證功能
當今世界,對使用者的身份認證基本方法可以分為3種:一種是根據使用者所知道的資訊來證明使用者的身份 (what you know,你知道什麼);另一種是根據使用者所擁有的東西來證明使用者的身份(what you have,你有什麼);第三種是直接根據獨一無二的身體特徵來證明使用者的身份(who you are,你是誰),比如指紋、面貌等。為了達到更高的身份認證安全性,某些場景會將上面3種挑選2種混合使用,即所謂的雙因素認證。建議安全性較高的三級以上系統身份驗證應對同一使用者採用雙因素認證的鑑別技術實現使用者身份鑑別,而不是簡單地在數量上要求兩種鑑別技術。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31481590/viewspace-2697674/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 移動App安全等級保護測評防護要點APP
- 【等保知識】報業網路安全等級保護定級參考
- 網路安全等級保護真的很重要嗎?
- 2021年廣播電視網路安全等級保護定級流程
- 網路安全等級保護分為幾級?網路安全學習教程
- 【步驟】如何辦理資訊系統安全等級保護備案證明?
- 2020「網路安全等級保護定級指南」最新解讀,這些重點必須注意!
- 綠盟科技亮相2019中國網路安全等級保護和關鍵資訊基礎設施保護大會
- 綠盟科技出席2020中國網路安全等級保護和關鍵資訊基礎設施保護大會
- 【等級保護】等級保護共分為幾級?保護物件是指什麼?物件
- JVM日曆:JDPR或Java資料保護建議JVMJava
- 權利義務框架下的移動網際網路APP個人資訊保護——《個人資訊保護法》對APP個人資訊保護影響分析框架APP
- 如何對採用移動互聯技術的等級保護物件進行定級?物件
- 什麼是等保?安全等保二級和三級的區別是什麼?
- 安全等保二級和三級哪個高?哪個費用更高?
- 為什麼要做等級保護?等級保護包含哪些內容?
- 【科普】等級保護與分級保護的區別和聯絡!
- 保護創新、促進仿製:對中國建立藥品專利保護體系的政策建議
- iOS移動應用安全加固:保護您的App免受惡意攻擊的重要步驟iOSAPP
- 什麼是等級保護?為什麼要開展等級保護?
- 2021年全區網路安全等級保護工作會議|綠盟科技獲2021年寧夏網路安全保障優秀支撐單位
- 德勤諮詢:2021年移動應用(APP)個人資訊保護白皮書(附下載)APP
- 點對點分析CII與等級保護系列:安全建設管理
- 議題精彩搶先看:“天府杯”等級保護2.0主題論壇
- 25-移動應用安全需求分析與安全保護工程
- Flutter 保護你的APP資料安全FlutterAPP
- 等級保護解決方案概述
- 印度Srikrishna委員會提交資料保護報告並提出具體建議
- W3C 正式將 DRM 保護納入 HTML5 建議標準HTML
- 綠盟科技首批入駐國家網路安全等級保護制度2.0與可信計算3.0攻關示範基地
- 戴爾易安信:保護業務 從保護資料開始
- 金融行業移動App安全標準化建設研究行業APP
- 【立項建議書】蘇科大校園app立項建議書APP
- 什麼是網路安全等保服務
- 什麼是等級保護?一級等保和三級等保有什麼區別?
- 移動APP持續交付系列之雲構建價值分析APP
- 應該如何保護APP的智慧財產權APP
- 6月第5周業務風控關注 | 《網路安全等級保護條例(徵求意見稿)》本週正式釋出