当App遇到等保2.0
作者:星期二, 六月 4, 20190

网络安全等级保护制度是中国网络安全的基石,是维护国家安全、社会秩序和公共利益的根本保障。

2019年5月国家标准《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》、《信息安全技术 网络安全等级保护测评要求》正式发布,并将在2019年12月1日正式实施,这些标准的发布意味着我国网络安全等级保护正式步入2.0时代。

等级保护2.0的特点

相比等级保护1.0本次所发布的等级保护2.0覆盖了全社会(各地区、各单位、各部门、各企业、各机构)、覆盖了所有保护对象(包括网络、信息系统、信息,以及云平台、物联网、工控系统、大数据、移动互联等各类新技术应用)。等级保护2.0更加突出技术思维和立体防范,注重全方位主动防御、动态防御、整体防控和精准防护,进一步强化“一个中心、三层防护”的安全保护体系。
等级保护2.0更具时代特点,根据业务目标的不同、使用技术的不同、应用场景的不同等因素,提出了对不同级别和不同形态的等级保护对象采取共性化和个性化保护,即通用安全要求+安全扩展要求。

移动互联技术与App

移动互联技术现在已经深入各行各业,App应用做为移动互联应用的典型代表,它是距离我们身心最近的应用,也是与我们生活最紧密的应用,它与我们的生活息息相关,它会收集用户群体的各种数据,这些信息包括了用户的个人信息、用户的使用记录、用户的工作信息等等数据内容,一旦这些数据泄露将会给企业和个人造成严重的影响。

什么是移动互联呢?

在GB/T 22239-2019-3的术语和定义章节里解释得又明确又干练:采用无线通信技术将移动终端接入有线网络的过程就叫移动互联。直白一点说,就是你的手机、电脑、专用/私用移动终端,以及里面预装、后装的移动应用,只要发生通过无线网络接入有线网络的过程就属于移动互联。

什么是移动应用软件呢?

在GB/T 22239-2019-3的术语和定义章节里依旧解释得明确干练:针对移动终端开发的应用软件就属于移动应用软件。

App是什么呢?

App就是针对移动终端开发的应用软件,App=移动应用软件。

App怎么定级

好啦!举个不是特别恰当的例子:

如果我们把航空运输比作移动互联技术的话;那么陆地运输就是通用网络技术。而在航空运输的过程中:

这飞机就是:移动终端;

这通信信道就是:无线网络;

这机载系统就是:应用软件\App;

一架飞机承载着各类货物(移动内容),按照飞行计划,在规定的时间和路线(各类策略)进行载货转场飞行;飞行员会通过机载系统(移动应用)通过专用或通用的通信信道(公共Wi-Fi、专用Wi-Fi),与塔台(无线接入设备)进行起降沟通;得到调度人员(无线接入网关)确认和许可后,本架飞机方可降落该场站(业务系统)并进行货物交互;在此过程中场站的指控中心(移动终端管理系统)还会向飞机发送各种要求,要求飞机(移动设备管理)停靠几号停机坪、机载系统(移动应用管理)要由谁怎么检修?机上货物(移动内容管理)要走哪个通道等等策略。

这一系列的过程其实是移动互联技术应用的场景(如下图)

其实飞机、机载系统、通信信道这三部分,对应的就是移动终端、移动应用和无线网络,它们就是移动互联技术的三要素,对于它们不做单独定级处理,只有与安全通用要求一起,才能构成对采用移动互联技术的等级保护对象的完整要求。

App怎么开展等保

完善的移动互联应用安全建设方案依旧应该遵循技术和管理并重的原则,既要满足等级保护的安全通用要求,又要满足移动互联安全扩展要求。

梆梆安全基于在移动领域的长期积累,已经形成了一套以移动互联应用场景为中心的整体解决方案。根据一个中心三重防护的要求,在移动互联扩展要求里,梆梆安全建议采用移动安全态势感知作为管理中心,在网络边界处增加满足准入和认证要求的无线接入网关和无线接入点设备,在移动终端上增加满足终端管控、应用分发的移动终端管理系统,并且利用加固系统对移动应用的代码、签名进行保护。

图:移动互联安全方案架构图

在App遇上等保2.0的今天,梆梆安全的整体解决方案已经在多个省市落地,在落地的过程中,我们还为客户提供了App自评估、个人隐私保护等多方面的安全服务。

最后,让我们再回顾一下等保2.0里的一些重点内容吧。

1、法律法规要重视;

2、等保2.0全社会、全行业覆盖;

3、是否采用移动互联安全扩展要求,重点要看三要素;

4、App应用,属于针对移动终端开发的应用软件必须开展等级保护工作;

5、等级保护对象的完整要求=通用安全要求+XX扩展安全要求。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章