8月23日,由广东省网络空间安全协会举办的广东省2019数据与网络安全大会暨推进等保2.0时代新技术研讨会如期举行。会议邀请了来自能源、交通、科研单位等领域的安全专家,并就等保2.0时代的新技术、新发展、新需求进行了深入的探讨与交流。
等保2.0的实施,其重大意义在于呼吁、监督安全企业深入了解业务需求、重要行业部门需求和国家需求,充分发挥企业技术优势、智慧优势,共同保护好我国的网络空间安全。研讨会期间,爱加密华南区技术总监丁登在会上发表了《等级保护2.0之移动互联安全》主题演讲,着重介绍了等级保护2.0移动互联要求相关内容。
《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》指出,针对移动互联网系统中移动终端、移动应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
根据等级保护2.0定级系统安全能力的定义,将安全保护能力分为5个等级,每个等级安全防护能力逐步提高,等级越高,监测攻击行为和处置安全事件、功能恢复响应能力越强。
爱加密可为企业提供等级保护安全咨询服务,以《信息系统安全等级保护定级指南》为依据,根据企业业务的特性和对信息系统的依赖程度,分别确定“业务信息安全保护等级”和“系统服务安全保护等级”,为其提供等保咨询服务,最终确定安全等级。
其中,第三级安全保护能力要求能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
3级等保基本要求重点对应
1、安全物理环境:明确企业需要做安全物理环境和入侵检测。
2、安全区域边界:明确企业需要做客户端感知,要求监控与分析以及日志记录、入侵防范等,实现对网络攻击特别是新型网络攻击行为的分析。
3、安全计算环境:包括移动终端管理、移动应用管理,明确企业需要做好计算环境,明确数据加密,做好客户端主动防护,要求移动软件必须有防御恶意攻击的能力。
4、安全建设管理:明确企业需要做好安全建设管理,包括移动应用软件采购、移动应用软件开发、配置管理。
5、安全运维管理:明确企业需要做漏洞和风险管理,对安全管理人员加强安全培训。
因此,为保障移动应用符合等保相关要求,企业应提高移动应用安全保护能力。除严格落实等保2.0贯彻的防护思想之外,需对移动应用规划阶段、测试阶段、上线阶段及运行阶段全生命周期,建立事前检测、事中加固、事后监测评估的安全防护体系。
爱加密等保安全服务包括安全咨询服务、安全培训服务、渗透测试服务、合规测评服务以及信息安全风险评估服务。对其重要信息系统所面临的信息安全风险进行识别和定性评估,并对所有评估发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统的安全风险管理和安全保障能力。
———— 推荐阅读 —————
“移动应用个人信息安全保护,运营者应该如何去做?”
“移动应用如何进行安全认证与报备”
“爱加密入选福建省电信云生态战略合作伙伴”
联系我们
2120
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
