移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護(hù)測評研究

胡亞蘭++張艷

摘 要：移動互聯(lián)網(wǎng)信息系統(tǒng)將管理終端以及業(yè)務(wù)終端延伸至移動智能終端上，移動智能終端的加入給的傳統(tǒng)信息系統(tǒng)帶來了新的威脅。而目前的等級保護(hù)測評工作并未將移動智能終端帶來的安全問題列入測評范圍，測評機(jī)構(gòu)還是按照常規(guī)的等級保護(hù)測評方法，如主機(jī)安全僅限于PC操作系統(tǒng)的配置安全和數(shù)據(jù)庫的配置安全，網(wǎng)絡(luò)安全也僅限于使用PC訪問業(yè)務(wù)系統(tǒng)過程中的數(shù)據(jù)傳輸安全和訪問控制等。論文根據(jù)移動互聯(lián)網(wǎng)信息系統(tǒng)的威脅特點，從網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等環(huán)節(jié)對移動業(yè)務(wù)信息系統(tǒng)的測評指標(biāo)進(jìn)行了分析，并給出了新增的測評指標(biāo)及測評方法。

關(guān)鍵詞：移動互聯(lián)網(wǎng)信息系統(tǒng)；移動智能終端；等級保護(hù)測評；信息安全

1 引言

移動互聯(lián)網(wǎng)作為移動通信和互聯(lián)網(wǎng)相互結(jié)合的網(wǎng)絡(luò)模式，是互聯(lián)網(wǎng)的技術(shù)、平臺、商業(yè)模式和應(yīng)用與移動通信技術(shù)結(jié)合并實踐的活動的總稱。與傳統(tǒng)以PC為終端的互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)具有便攜性、便捷性、及時性、定向性、可鑒權(quán)、可身份識別等多種優(yōu)勢。此外，移動互聯(lián)網(wǎng)還拓寬了傳統(tǒng)PC接入互聯(lián)網(wǎng)的途徑，傳統(tǒng)PC可使用USB型無線網(wǎng)卡，通過3G/4G網(wǎng)絡(luò)接入移動網(wǎng)絡(luò)來訪問服務(wù)器。

等級保護(hù)的本質(zhì)是從管理和技術(shù)兩個方面，對信息系統(tǒng)安全進(jìn)行分級保護(hù)。本文從等級保護(hù)基本要求出發(fā)，結(jié)合移動互聯(lián)網(wǎng)的特點及安全現(xiàn)狀，從等級保護(hù)基本要求的物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全等五個方面，探討如何在移動互聯(lián)網(wǎng)信息系統(tǒng)實施等級保護(hù)測評工作，以完善移動互聯(lián)網(wǎng)信息安全體系和等級保護(hù)測評體系。

2 移動互聯(lián)網(wǎng)信息系統(tǒng)概述

移動互聯(lián)網(wǎng)信息系統(tǒng)是一套建立以手機(jī)、PAD等便攜終端為載體實現(xiàn)的移動信息化系統(tǒng)，該類信息系統(tǒng)將智能手機(jī)、無線網(wǎng)絡(luò)、辦公系統(tǒng)三者有效結(jié)合，實現(xiàn)任何辦公地點和辦公時間的無縫接入，提高了辦公效率。

從移動終端訪問的過程可以將訪問移動互聯(lián)網(wǎng)信息系統(tǒng)的流程劃分幾個區(qū)域：移動智能終端用戶區(qū)、Internet運營商互聯(lián)網(wǎng)傳輸區(qū)、內(nèi)網(wǎng)接入?yún)^(qū)和業(yè)務(wù)內(nèi)網(wǎng)服務(wù)區(qū)。如圖1所示，是移動互聯(lián)網(wǎng)信息系統(tǒng)典型的網(wǎng)絡(luò)拓?fù)洹Ｔ谝苿咏K端訪問業(yè)務(wù)內(nèi)網(wǎng)的過程中就要保證信息系統(tǒng)具有接入身份鑒別、數(shù)據(jù)保密性、接入控制、網(wǎng)絡(luò)邊界防護(hù)，這些威脅根據(jù)移動互聯(lián)網(wǎng)信息系統(tǒng)的拓?fù)湮恢每梢詺w結(jié)為移動終端自身風(fēng)險以及移動終端接入控制風(fēng)險。

3 移動互聯(lián)網(wǎng)信息系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別

在移動互聯(lián)網(wǎng)信息系統(tǒng)中，移動終端首先與網(wǎng)絡(luò)運營商建立無線接入通道，再通過此通道與接入企業(yè)內(nèi)網(wǎng)訪問業(yè)務(wù)系統(tǒng)服務(wù)端，在這個過程中就涉及到移動終端的安全認(rèn)證、訪問用戶的身份認(rèn)證、業(yè)務(wù)訪問過程中的數(shù)據(jù)傳輸安全以及移動終端用戶的權(quán)限控制等。這些特點在傳統(tǒng)的信息系統(tǒng)中是不存在的。因此，移動互聯(lián)網(wǎng)信息系統(tǒng)在主機(jī)、網(wǎng)絡(luò)、應(yīng)用、管理、安全掃描等層面的測評對象也有所不同，本文認(rèn)為移動互聯(lián)網(wǎng)信息系統(tǒng)的測評對象應(yīng)有所增加，如表1所示，標(biāo)識了傳統(tǒng)信息系統(tǒng)與移動互聯(lián)網(wǎng)信息系統(tǒng)測評對象的區(qū)別，應(yīng)增加測評對象的部分進(jìn)行了加粗。

4 移動互聯(lián)網(wǎng)信息系統(tǒng)等保測評分析

據(jù)媒體報道2017年5月，美國土安全部向國會提交了一份《政府移動設(shè)備安全研究報告》。根據(jù)現(xiàn)有標(biāo)準(zhǔn)和最佳實踐，采用移動設(shè)備安全框架；加強(qiáng)《聯(lián)邦信息安全管理法案》（FISMH），專注保護(hù)移動設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全；將移動設(shè)備納入“持續(xù)診斷和緩解”計劃，使用與其它網(wǎng)絡(luò)設(shè)備（例如工作站和服務(wù)器）相當(dāng)?shù)哪芰鉀Q移動設(shè)備和應(yīng)用程序的安全問題。然而，目前我國針對移動互聯(lián)網(wǎng)信息系統(tǒng)的等級保護(hù)測評研究甚少。本文將在網(wǎng)絡(luò)安全、移動終端安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等五個方面對表1中加粗的新增測評對象的增測項級測評要求進(jìn)行了描述。增測是指新增測評對象在根據(jù)GB/T 22239-2008及GB/T28448-2012測試的基礎(chǔ)上還需要加測的內(nèi)容，也就是說新增測評對象滿足B/T 22239-2008及GB/T28448-2012標(biāo)準(zhǔn)的同時，還應(yīng)滿足文中加測項的要求。

4.1 網(wǎng)絡(luò)安全

應(yīng)確認(rèn)移動業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)接入邊界，繪制與實際網(wǎng)絡(luò)環(huán)境一致的網(wǎng)絡(luò)拓?fù)鋱D。保證所有接入邊界必須部署訪問控制設(shè)備和入侵防護(hù)設(shè)備。與傳統(tǒng)信息系統(tǒng)不同的是，移動互聯(lián)網(wǎng)信息系統(tǒng)還應(yīng)抽查移動業(yè)務(wù)應(yīng)用網(wǎng)關(guān)設(shè)備，針對該網(wǎng)關(guān)，除了按照標(biāo)準(zhǔn)中網(wǎng)絡(luò)設(shè)備的安全測評項進(jìn)行檢查外，還要增測其是否開啟了對移動終端的接入控制：保證已經(jīng)在系統(tǒng)注冊過且通過安全檢查的終端或用戶接入應(yīng)用系統(tǒng)。

4.2 移動終端安全

如表2所示，移動終端加測項。

4.3 應(yīng)用安全

如表3所示，業(yè)務(wù)APP加測項。

4.4 數(shù)據(jù)安全

如表4所示，數(shù)據(jù)安全加測項。

4.5 安全管理

信息系統(tǒng)的安全管理涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理以及變更管理，移動業(yè)務(wù)系統(tǒng)的測評過程中測評技術(shù)人員應(yīng)檢查信息系統(tǒng)的系統(tǒng)運維制度，檢查是否對接入移動業(yè)務(wù)系統(tǒng)的移動智能終端進(jìn)行資產(chǎn)管理，如編制資產(chǎn)清單，包括移動終端標(biāo)識、責(zé)任人、重要程度、允許訪問的應(yīng)用類型等參數(shù)，并檢查是否定期對移動終端進(jìn)行病毒、漏洞等安全項檢查，留存詳細(xì)的檢查記錄以及漏洞升級記錄。

5 結(jié)束語

移動互聯(lián)網(wǎng)信息系統(tǒng)由于其主要的接入終端設(shè)備延伸至移動智能終端設(shè)備，因此在等保測評過程中，除根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》測評之外，還應(yīng)考慮因移動終端接入而對業(yè)務(wù)系統(tǒng)帶來的安全風(fēng)險。本文雖然在網(wǎng)絡(luò)、主機(jī)、應(yīng)用、管理等層面提出了增測項目和測評要求，以完善等級保護(hù)測評體系保障企業(yè)信息系統(tǒng)安全。

項目基金：

移動智能終端安全關(guān)鍵技術(shù)研究及應(yīng)用示范上海市科學(xué)技術(shù)委員會2015年度“科技創(chuàng)新行動計劃”高新技術(shù)領(lǐng)域項目（項目編號：15511103000）。

參考文獻(xiàn)

[1] 馬帥.等級保護(hù)設(shè)計要求下的移動業(yè)務(wù)系統(tǒng)安全防御體系[J].保密科學(xué)技術(shù)，2012年01期.

[2] 馮志杰，李紅雙.智能終端安全防護(hù)體系設(shè)計[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2013年02期.

[3] 馮志杰，李紅雙.智能終端安全防護(hù)體系設(shè)計[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2013年02期.

[4] 張翼飛， 蘭蕓.面向等級保護(hù)的數(shù)據(jù)安全保護(hù)系統(tǒng)研究與設(shè)計[J]. 信息網(wǎng)絡(luò)安全，2013年09期.

[5] 中國信息安全產(chǎn)品測評認(rèn)證中心. 信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[6] GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S].

[7] GB/T 28448-2012.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求[S].