本文介绍了移动App安全等级保护的新标准,强调移动终端、应用和无线网络的整体定级,提出在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全方面的扩展要求。移动终端安全涉及应用隔离、软件白名单和设备管理;移动应用安全要求代码完整性校验和专业测评;无线网络安全关注接入、传输加密和入侵防范;安全管理则包括制度、机构、建设和运维。几维安全提供符合等保要求的APP安全检测服务,加速检测并提升移动App安全性。
随着移动互联网的快速发展,丰富多彩的移动终端特别是移动App应用极大方便了用户的工作和生活,但是其信息安全面临极其严峻的现实考验。国家标准化管理委员会目前修订等级保护相关要求,将增加移动互联安全扩展要求。
从新版等级保护关于移动互联安全扩展要求征求意见稿来看,新标准要求采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。为加强移动互联的安全管理,新标准在传统等级保护的基础上,在技术层面上重点针对移动终端、App应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个方面进行扩展安全要求,在管理层面上对包括安全管理策略与制度、安全管理机构和人员、安全建设管理、安全运维管理在内的4个方面提出了相关的要求。
移动终端安全防护方面
针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,如应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
移动应用安全防护方面
针对移动应用App被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用App发布的问题,在移动应用App发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
几维安全结合《GBT28448-2019信息安全技术网络安全等级保护
最低0.47元/天 解锁文章
扫一扫
2184
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
