移动互联网信息系统将管理终端以及业务终端延伸至移动智能终端上,移动智能终端的加入给的传统信息系统带来了新的威胁。而目前的等级保护测评工作并未将移动智能终端带来的安全问题列入测评范围,测评机构还是按照常规的等级保护测评方法,如主机安全仅限于PC操作系统的配置安全和数据库的配置安全,网络安全也仅限于使用PC访问业务系统过程中的数据传输安全和访问控制等。论文根据移动互联网信息系统的威胁特点,从网络安全、终端安全、应用安全、数据安全、安全管理等环节对移动业务信息系统的测评指标进行了分析,并给出了新增的测评指标及测评方法。
关键词:移动互联网信息系统;移动智能终端;等级保护测评;信息安全
1 引言
移动互联网作为移动通信和互联网相互结合的网络模式,是互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称。与传统以PC为终端的互联网相比,移动互联网具有便携性、便捷性、及时性、定向性、可鉴权、可身份识别等多种优势。此外,移动互联网还拓宽了传统PC接入互联网的途径,传统PC可使用USB型无线网卡,通过3G/4G网络接入移动网络来访问服务器。
等级保护的本质是从管理和技术两个方面,对信息系统安全进行分级保护。本文从等级保护基本要求出发,结合移动互联网的特点及安全现状,从等级保护基本要求的物理安全、主机安全、网络安全、应用安全和管理安全等五个方面,探讨如何在移动互联网信息系统实施等级保护测评工作,以完善移动互联网信息安全体系和等级保护测评体系。
2 移动互联网信息系统概述
移动互联网信息系统是一套建立以手机、PAD等便携终端为载体实现的移动信息化系统,该类信息系统将智能手机、无线网络、办公系统三者有效结合,实现任何办公地点和办公时间的无缝接入,提高了办公效率。
从移动终端访问的過程可以将访问移动互联网信息系统的流程划分几个区域:移动智能终端用户区、Internet运营商互联网传输区、内网接入区和业务内网服务区。如图1所示,是移动互联网信息系统典型的网络拓扑。在移动终端访问业务内网的过程中就要保证信息系统具有接入身份鉴别、数据保密性、接入控制、网络边界防护,这些威胁根据移动互联网信息系统的拓扑位置可以归结为移动终端自身风险以及移动终端接入控制风险。
3 移动互联网信息系统与传统信息系统的区别
在移动互联网信息系统中,移动终端首先与网络运营商建立无线接入通道,再通过此通道与接入企业内网访问业务系统服务端,在这个过程中就涉及到移动终端的安全认证、访问用户的身份认证、业务访问过程中的数据传输安全以及移动终端用户的权限控制等。这些特点在传统的信息系统中是不存在的。因此,移动互联网信息系统在主机、网络、应用、管理、安全扫描等层面的测评对象也有所不同,本文认为移动互联网信息系统的测评对象应有所增加,如表1所示,标识了传统信息系统与移动互联网信息系统测评对象的区别,应增加测评对象的部分进行了加粗。
4 移动互联网信息系统等保测评分析
据媒体报道2017年5月,美国土安全部向国会提交了一份《政府移动设备安全研究报告》。根据现有标准和最佳实践,采用移动设备安全框架;加强《联邦信息安全管理法案》(FISMH),专注保护移动设备、应用程序和网络基础设施安全;将移动设备纳入“持续诊断和缓解”计划,使用与其它网络设备(例如工作站和服务器)相当的能力解决移动设备和应用程序的安全问题。然而,目前我国针对移动互联网信息系统的等级保护测评研究甚少。本文将在网络安全、移动终端安全、应用安全、数据安全、安全管理等五个方面对表1中加粗的新增测评对象的增测项级测评要求进行了描述。增测是指新增测评对象在根据GB/T 22239-2008及GB/T28448-2012测试的基础上还需要加测的内容,也就是说新增测评对象满足B/T 22239-2008及GB/T28448-2012标准的同时,还应满足文中加测项的要求。
4.1 网络安全
应确认移动业务系统的网络接入边界,绘制与实际网络环境一致的网络拓扑图。保证所有接入边界必须部署访问控制设备和入侵防护设备。与传统信息系统不同的是,移动互联网信息系统还应抽查移动业务应用网关设备,针对该网关,除了按照标准中网络设备的安全测评项进行检查外,还要增测其是否开启了对移动终端的接入控制:保证已经在系统注册过且通过安全检查的终端或用户接入应用系统。
4.2 移动终端安全
如表2所示,移动终端加测项。
4.3 应用安全
如表3所示,业务APP加测项。
4.4 数据安全
如表4所示,数据安全加测项。
4.5 安全管理
信息系统的安全管理涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理以及变更管理,移动业务系统的测评过程中测评技术人员应检查信息系统的系统运维制度,检查是否对接入移动业务系统的移动智能终端进行资产管理,如编制资产清单,包括移动终端标识、责任人、重要程度、允许访问的应用类型等参数,并检查是否定期对移动终
