网络安全等级保护移动互联安全防护技术体系设计

联安全设计要求。从定级对象描述、安全防护架构、关键技术点等层面对该标准进行介绍，有利于提升标准的可读

性，增强标准对行业的指导力。

关键词：纖W移动互联錄

联的相关标准要求。虽然近几年部分行业制定了一些行业标

引言

随着宽带无线接入和移动智能终端技术的飞速发展， 人们迫切希望能够随时随地获取信息和服务，移动互联网 以及以此为基础的移动应用系统应运而生，例如面向互联 网用户的即时通信系统、网约车系统等。移动互联技术的 使用，打破了传统信息系统对地域的限制，只要有3G、 4G、Wi-Fi等无线网络的存在，移动应用就可以正常提供 服务，这一优势也催生了移动办公、移动作业等信息系统 的发展。

《中华人民共和国网络安全法》第二十一条提出：网 络运营者应按照等级保护制度的要求履行安全保护义务。毋 庸置疑，移动互联系统自然应按照国家等级保护制度的要求 进行安全保护。但我国早期制定的等级保护标准体系《信息 安全技术信息系统安i：親保护基本要求》'

《息安全技

准如：《移动智能终端安全能力技术要求》ra、《中国金融 移动支付客户端技术规范》[4]等，但这些标准仅仅针对移动 终端进防护，未形成系统的防护体系，

等级保

护的要求。因此，新标准中增加了移动互联安全设计要求 的内容为国家有关部委的指导下开始制定，用来指导移动互 联系统的安全建设。

然而，作为新型的信息技术，移动互联系统在移动终 端、接入网络、应用服务等方面还面临着一系列的挑战。

(_)移动智能终端成为攻击应用系统安全的入口 移动智能终端随时随地接入，既访问互联网，又提供 移动互朗換，网络边界碎片化，增加了移动互联系统的安 全风险。大多数员工并没有足够的信息安全意识来充分保护 自己的移动智能终端，使得员工的智能终端更容易被病毒、 木马感染。更棘手的是，针对智能终端操作系统和应用的恶 意程序层出不穷，大部分基于零曰漏洞开发，智能终端一旦

术信息系统等级保护安全设栗求》中未涉及移动互

〇丨1〇6 6〇1111〇丨〇97 2017年第5期11

被感染，恶意程序将利用空中接口或者蓝牙等通道，通过自 动调用短信、邮件、文件共享或访问Web页面等手段扩散 开来，从而感染其它终端或攻击应厕6务器，变成入侵应用 系统的入口，令人防不胜防。

(二）移动智能终端成为敏感信息泄露的源头 移动智能终端在处理移动应用时，难免会有关键业务 数据等敏感信息留存在终端上，而目前的移动终端安全防护 体系无法较好地保护这些数据的安全。如设备丢失或被盗， 甚至移动终端成为黑客攻击的目标被植入恶意代码，这些数 据都可能被偷偷地发送到网络上或者直接被盗。

综上所述，移动互联系统相比于传统系统存在如下不 同：

•移动设备随时、随地接入，网络边界被碎片化，边 界安全风险加剧；

•移动设备同时访问办公网和互联网，增加了办公环 境的安全风险；

•移动设备容易丢失，导致敏感信息泄露；•移动应用比比皆是，移动设备钱不牢靠。因此，新标准中增加了移动互联安全设计要求的内 容，规范了网络安全等级保护设计要求对移动互联系统的 扩展设计要求，包括第一级至第四级移动互联系统安全保 护环境的安全计算环境、安全区域边界、安全通信网络和 安全管理中心等方面的设计技术要求。适用于指导网络安 全等级保护移动互联系统安全技术方案设计和实施，也可 作为信息安全智能部门对移动互联系统进行监督、检查和 指导的依据。

运营商基站连接后台应用系统，如图2所示。

(1 )无线热点接入：移动终端通过连接局域网内的无 线路由器或公共、专用WIFI热点，接人无线网络访问后台的 移动应用月艮务器〇

(2 )运营商接入：移动终端通过GPRS、4G等电信运 营商基站网络，远程接入移动应用服务商，获取移动互联M务。

图3运营商接入访问移动应用

移动互联系统具有如下几个显著特点，是其与传统信 息系统、工业控制系统、物联网等定级系统的区别所在：

(1 )移动终端是人机交互的主要界面

手机、PAD等移动终端是移动互联系统为用户提供M 务的主要载体。相比传统信息系统以固定PC终端为主，工 业控制系统以HMI为主的人机交互界面，移动互联系统在设 计和开发时，就充分考虑了移动终端随时随地接入、用户独 享雜点。

(2 )移动APP是移动互联系统对外服务的窗口

移动互联系统以运行于移动终端上的移动应用为主要

-、定綱象描述

移动互联系统指采用了移动互联技术，以移动应用为 主要发布形式，用户aa移动终端务和服务的信息系 统。简言之，移动互联系统就是利用手机终端APP，通过 3G、4G网络或Wi-Fi连接服务商的后台服务器，获取即时 通讯、移动办公、移动作业等服务，其构成如图1。

对外服务窗口，如微信、支付宝、滴滴等。移动APP接受用

图1移动互联系统逻辑架构图

移动互联系统的通信是由移动终端通过无线方式接入 网络，无线接入可以通过局域网无线热点，也可以通过远程

12 1警親涿3 2017年第5期

“网络安全等级舰安娜十献要求”傲II作臟

户的服务请求，基于安全协议，通过不安全的移动互联网络 传输给移动应用服务器，服务器处理请求后将请求结果返回 给移动应用。

(3)移动终端随时随地接入

移动互联系统的接入点具有移动的特性，只要有移动 互联网络存在，同一用户在不同时刻，可以在世界的任何地 方接入访问移动互联服务。

娜系〇其安全架构如下:

二、安全防护体系设计

结合移动互联系统随时随地接入、边界碎片化、移动 终端易于丢失雜点，充做析了獅互联系统面临的安全 风险，此次修订工作基于如下思路给出了设计技术要求。

图5移动互联系统安全防护体系

(一） 源雜制

强化了对移动终端、传统终端、月艮务器等计算节点的 安全防护，从源头上抵御安全攻击的发生。弱化了对运营商 网络安全的要求，强调从源头计算节点上增加安全机制，如 设备认证、数据传输加密等，弥补不安全的运营商网络带来 的风险。

(二） 纵深防御

三、关键技术点设计要求

在通用设计要求的基础上，重点针对移动终端、移动 应用、无线网络安全等层面进行了设计。

(—)移动计算节点安全要求1 ■躲鉴别

在用户使用移动终端或使用移动应用获取服务时，基 于口令或解锁图案、数字证书或动态口令、生物特征等方式 的两种或两种以上的组合机制，实现对移动互联系统用户的 身份鉴别。身份鉴别机制应基于移动终端设备上的安全芯 片，保证鉴别过程及鉴别数据的保密性和完整性。

2.访问控制

移动终端应构建细粒度的访问控制机制，防止权限被 滥用。具体包括安全域隔离、程序权限控制、外设控制等。 要求为重要应用提供基于容器、虚拟化等系^隔离的运行 环境，保证应用的输入、输出、存储信息不被非法获取，防 止重要应用的行为被恶意程序干扰；要求基于MDM软件限 制移动终端用户取得管理员权限，仅授予用户及进程完成任 务的最小权限，限制对外设的使用。

3■齡审计

基于MDM软件应实现对移动终端访问移动互联应用的 相关安全事件进行审计，安全审计包括识别、记录、存储和 分析与始相关活动有关的信息。能对特定錄事件进行报 警，确保审计记录不被破坏或非授权访问。

4■数据完挪保护

继承了《信息安全技术网络安全等级保护安全设计技 术要求第1部分：通用设计要求》提出的个中心，三重 防护，’的较防护麟，将护瞒划分为雄十餅 境、安全区域边界、安全通信网络和安全管理区几部分。安 全计算环境包括核心业务域、DMZ域和远程接入域三个安 全域，安全区域边界为移动互联系统区域边界、移动终端区 域边界、传统计算终端区域边界、核心服务器区域边界和

DMZ区域边界，安全通信网络为移动运营商或用户自己搭

建的无线网络。

(三）主动防御

针对移动互联环境，通过对移动终端、传统终端、服 务器等计算节点及相应的区域边界提出诸如身份鉴别、访问 控制、程序可信执行保护等安全机制的设计要求，为移动互 联系统构建了以可信计算为基础，访问控制为杨h的主动防

移动终端应能够检测身份鉴别信息、策略数据、审计 信息' 重要业織据、重要应用©^重要数据在存储或处 麵程中完整性受到破坏，并在检测到完整性雕时^2、 要的恢复措施。该机制可以通过MDM软件完成，也可以通 过移动应用自身实现。

〇丨^6(：1111〇丨〇97 2017年第5期13

专鑕

下对Wi-Fi、3G、4G等网络的访问能力，实施相应的访问 控制策略，对进出较区域边界的数雛息进行控制，阻止 非授权访问。

2■区職界链审计

部署网络审计设备，配置安全策略对网络中的访问行 为进行安全审计，审计范围包括网络流量、用户行为、网络 入侵等进行曰志记录；对监测数值超过预先设定的故障阈值 时，提供警功能；防止审计记录遭到未授权的访问、修改 和破坏。

3■区獅界入侵防范

移动智能终端安装防火墙、入侵检测系统、防病毒、 防间谍等较软件，对移动智能终端进行较监测和保护， 应针对无线接入点的网络扫描、DoS攻击、密钥破解'中间 人攻击和欺骗攻击等行为进行检测、记录、分析定位。

5. 数臟密性保护

基于MDM软件应对移动终端中存储的业务数据进行加 雜护。娜动应辦进練密性保护，防

止

译

，

4.区舰界完難保护

移动智能终端提供应用软件安装前的病毒和漏洞扫描 机制，可以通过调用已实现此功能的安全软件进行扫描。 能够对非授权内外联接行为进行检查，准确定出位置，并 对其进行有效阻断，并对非法无线路由器设备接入进行报 警和阻断。

(三）安全通信网络设计技术要求

通过VPDN等StM于密码算法的可信网络连魏制， 实现远程办公域接入移动互联系统的网络链路，通过对通信 双方进行可信鉴别验证，建立安全通道，确保接入通信网络 的设备真实可信。实施传输数据加密保护，确保其在传输中 不会被窃听、篡改和破坏。

当移动设备丢失或被盗后，搜寻设备的位置、远程锁定设 备、远程擦除设备上的数据、使手机发出警报音，确保在能 够定位和检索的同时最大程度地保护数据。

6. 客体链朝

通过客体安全重用功能的系统软件，对移动终端中硬 盘和内存中用户的鉴别信息、文件、目录和数据库记录等 所在的存储空间，被释放或重新分配给其它用户前得到完 全清除。

7. 程序可信执行保护

移动终端应基于可信计算技术构建安全免疫的环境。 具体表现为：部署MAM软件，限制移动终端软件安装，建 立一个可信执行环境，将安全部件的运行与不安全部件的 运行分离，安全存储用户的证书以及其他需要避免受到恶 意软件和主操作系统攻击的安全区域，使得在操作系统中 执行的攻击或操作系统中运行的应用无法访问受保护的软 件和数据。

(二）移动计算节点区域安全要求1.区域边界访问控制

在移动终端接入认证方面，采取基于SIM卡、证书等对 接统的胸终端的信息进行强认证。设备接AS,应对 设备行为进行控制，要求配置访问控制策略只允许移动终端 用户访问指定的部分服务器、端口和协议；对进出网络的信 息内容进行过滤，设置敏感关键字；限制VPN用户及其可以 访问的服务器、端口和协议，限制移动设备在不同工作场景

四、结论

修订工作中新增的移动互联安全要求在充分分析移动 互联系统特点及风险的基础上，参考^保护通用安全设计 要求，给出了详细、可实施的安全设计要求，适用于指导信 息系统运营使用单位、信息安全服务机构开展针对采用移动 互联技术的信息系统等级保护安全技术方案设计。IS

参考文献

[1] GB/T22239-2008《信息安全技术信息系统安全等级保护基

械求》.

[2] GB/T 25070-2010《信息安全技术信息系统等级保护安全 设计技术要求》.[3] JR/T0092-2012《中国金融移动支付客户端技术规范》.[4] YD/T 2407-2013《移动智能终端安全能力技术要求》.

14 I警親涿3 2017年第5期