1、信息安全技术 网络安全等级保护测评要求 第 3 部分: 移动互联安全扩展要求 编制说明 一、 任务来源 随着移动互联技术的不断发展和使用,越来越多的单位使用移动终端设备进行业务访问,为了适应新技术的发展, 加强对 采用 移动互联 技术的 等级保护对象 的安全防护。2014 年,公安部 十一局 组织召开了 4 个领域 12 项标准的新技术研讨会,准备 在 云计算、移动互联、物联网、工业控制 4 个 领域 开展新技术新标准的制定工作 。 其中, 为了指导测评人员对 采用 移动互联 技术的 等级保护对象 进行测试评估,准备开展 信息安全技术 网络安全等级保护测评要求 第 3 部 分: 移动互联安全扩
2、展要求 的标准制定。 2014 年,公安部第三研究所 联合 国家信息中心、 中国移动通信有限公司研究院 及 北京鼎普科技有限公司 、 北京洋浦伟业科技发展有限公司 、东巽科技(北京)有限公司 等单位 向安标委申请 制定信息安全技术 网络安全等级保护测评要求 第 3 部分: 移动互联安全扩展要求 。 二、 目的与 意义 国内近几年在部分行业领域针对移动终端制定了一些行业标准,如:移动智能终端数据存储安全技术要求与测试评价方法、 YD/T2408-2013 移动智能终端安全能力测试方法、 YD/T 2407-2013 移动智 能终端安全能力技术要求、中国金融移动支付客户端技术规范等, 2011 年
3、 12 月工信部发布了移动互联网恶意程序监测与处置机制等标准。 开展移动互联信息安全等级 保护工作 需要有统一 的 国家标准, 因此,正在制定信息安全技术 网络 安全等级保护基本要求 第 3 部分: 移动互联 安全扩展 要求 。为了 评价 等级保护对象 是否符合信息安全技术 网络 安全等级保护基本要求 第 3 部分:移动互联 安全扩展 要求,有必要 针对采用 移动互联 技术的 等级保护对象 制定 等级保护测评要求。 通过参考国内外标准与移动互联的最佳实践, 制定移动互联等级保护测评 要求 , 对采用 移动互联 技术的等级保护对象 进行安全等级保护测试评估的技术活动提出要求。为评价 等级保护对象
4、 是否符合移动互联 安全扩展 要求提供获取证据的途径和方法。指导测评人员从信息安全等级保护的角度对移动互联 技术的 系统进行测试评估。 7 三、 与其它标准的关系 本标准的制定是以 GB/T28448-2012信息安全技术 信息系统安全等级保护测评要求为基础,根据信息安全技术 网络 安全等级保护基本要求 第 3 部分: 移动互联 安全扩展 要求提出的各项要求增加了针对 采用 移动互联 技术的等级保护对象 的测评要求。本标准是信息安全技术 网 络 安全等级保护基本要求 第 3 部分: 移动互联 安全扩展 要求的配套要求,是 GB/T28448-2012 在移动互联系统测评方面扩展补充要求。 四、
5、 主要工作 过程 1) 2014 年 3 月,公安部第三研究所、 国家信息中心、 中国移动通信有限公司研究院 及北京鼎普科技有限公司 、 北京洋浦伟业科技发展有限公司 、东巽科技(北京)有限公司 成立了 移动互联安全扩展 测评 要求 标准编制组。 2) 2014 年 3 月至 5 月,标准编制组按照计划调研了国际和国内 与 移动互联 相关的标准和移动 终端、移动 无线接入 、移动应用 app 等 移动互联 新技术的情况,分析并总结了 移动互 联 新技术中的安全 风险 点和要素;同时分析了信息安全技术 网络安全等级保护测评要求 第 3 部分: 移动互联安全扩展要求 的 标准定位、 与其它标准之间
6、的关系 以及 可能对其他标准产生的影响。 4) 2014 年 5 月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织 2014 年新领域的国家标准立项,根据新标准立项结果确定基本要求修订思路发生重大变化,为适应基本要求修订思路的变化在信息安全技术 网络 安全等级保护测评要求( GB/T 28228-2012)的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如信息安全技术 网络 安全等级保护测评要求 对 采用云计算技术的信息系统的
7、扩展测评要求 、信息安全技术 网络 安全等级保护测评要求 对 采用移动互联技术的信息系统的 扩展 测评要求 、信息安全技术 网络 安全等级保护测评要求 对物联网 系统 的 扩展测评要求 、信息安全技术 网络 安全等级保护测评要求 对工控 控制系统 的 扩展测评要求 。构成 GB/T 28448.1、 GB/T 28448.2、 等测评要求系列标准,上述思路的变化直接影响了国家标准 GB/T 28448-2012 的修订思路和内容。 5) 2014 年 6 月至 2014 年 9 月,标准编制组根据新修订 信息安全技术 网络 安全等级保护基本要求 第 3 部分: 移动互联 安全扩展 要求 草案第
8、一稿编制了信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 草案第一稿。 7 6) 2014 年 10 月至 2014 年 12 月,标准编制组根据 专家意见对 信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 草案第一稿 进行了修订 。 7) 2015 年 3 月至 2015 年 9 月,标准编制组根据新修订 信息安全技术 网络 安全等级保护基本要求 第 3 部分 : 移动互联 安全扩展 要求 草案第 二 稿编制了 信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 草案第 二 稿。 8) 2015
9、 年 10 月至 2015 年 12 月,标准编制组根据 专家意见对 信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 草案第 二 稿 进行了修订 。 9) 2016 年 1 月至 7 月,标准编制组根据新修订 信息安全技术 网络 安全等级保护基本要求 第 3 部分 : 移动互联 安全扩展 要求 草案第三 稿 与 测评 要求草案第 四 稿编制了 信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 草案第 三 稿。 10) 2016 年 8 月 12 日,参加等级保护系列标准专家评审会,会后根据专家意见修订标准草案形成标准草案第四稿。
10、 11) 2016 年 8 月 25 日,参加 WG5 工作组组织的标准评审会,标准于组内投票过,形成标准 征求意见 稿。 12) 目前正在推进 信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 后续专家评审和 修订工作。 五、 标准的主要内容 信息安全技术 网络 安全等级保护测评 要求 第 3 部分 : 移动互联安全扩展要求 定义了访谈、检查和测试等基本测评方法,规范了测评力度和测评内容等基本概念,并针对第一级、第二级、第三级和第四级 采用 移动互联 技术的 系统提出了实施测试评估活动的要求,以保证移动互联 的 等级测评过程、测评结果和结论的一致性、可比性和可
11、重复性。 信息安全技术 网络 安全等级保护测评要求 第 3 部分 : 移动互联安全扩展要求 标准文本主体由 9 个章节正文和 2 个附录组成。 第 1 章、第 2 章和第 3 章为标准的固定格式要求,说明 移动互联安全扩展要求 标准的使用范围、引用的其他标准、使用到的术语定义 。 第 4 章描述了等级测评的基本概念,对测评内容、测评力度以及标准的使用方法进行说明。 7 第 5 章到第 8 章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统单元测评的内容。单元测评是等级测评基本工作单元,针对 移动互联安全扩展要求 中的单一安全控制点的测评,从测评指标、 测评对象、 测评实
12、施和结果判定 四 个方面进行描述。 主要技术内容包括: 物理 和环境 安全测评要求 (移动互联) 设备和计算 安全测评要求 (移动互联) 网络和通信 安全测评要求 (移动互联) 应用和数据安全测评要求 (移动互联) 主要 管理 内容包 括: 安全 策略 和 管理 制度 测评要求 (移动互联) 安全 管理机构 和人员测评要求 (移动互联) 系统安全建设管理 测评要求 (移动互联) 系统 安全运维管理测评要求 (移动互联) 第 9 章为第五级信息系统单元测评,内容另行制定。 附录 A 提供了 2 个表格,用于描述测评方法的测评力度和不同安全等级信息系统的测评力度要求,方便读者理解和对比不同测评方式的测评力度以及不同级别信息系统安全控制测评的测评力度增强情况。 附录 B,描述了测评指标编码规则及专用缩略语。 六、 与相关法律法规及国家有关规定、国内相关标准的关系 本标准与现行法律、法规以及 国家标准没有冲突与矛盾的地方。 七、 有关问题的说明 项目组在标准编制过程中,经历了内部讨论与论证、专家评审等过程,项目组在工作过程中遵循编制原则,对国内外 的移动互联安全进行了 调研,完成了标准 制定 工作。在整个过程中未遇到重大意见分歧, 对专家提出的意见和建议,我们做了应答和处理,更好地完善了我们的标准编制工作。 “ 移动互联安全扩展 测评 要求 ” 标准编制组 2016 年 8 月
