深度解讀 | 等保2.0之移動互聯安全擴展要求解讀

數字經濟下，企業的生態核心是應用爲核心。隨着移動互聯網的發展，移動應用已滲透各行各業，與工做、生活息息相關。工信部發布的數據顯示，截至2018年8月底，我國市場上監測到的移動應用App爲426萬款，僅8月份，我國第三方應用商店與蘋果應用商店新上架移動應用就達12.7萬款。移動終端安全問題逐漸成爲用戶關注的焦點。

當前，網絡安全等級保護已經進入2.0時代，等級保護制度已被打形成新時期國家網絡安全的基本國策和基本制度。對重要基礎設施重要系統以及「雲、物、移、大、工」歸入等保監管，將互聯網企業歸入等級保護管理，並在《網絡安全等級保護基本要求 第3部分：移動互聯安全擴展要求》中針對移動互聯安全進行詳細描述，其中專門對移動終端相關安全內容進行描述。

網絡安全等保2.0 時代已到來

國家等級保護認證是中國最權威的信息產品安全等級資格認證，且等保1.0的核心法律依據《管理辦法》爲規章，其制定的主要法律依據《計算機信息系統安全保護條例》爲行政法規；而等保2.0的核心法律依據中的《網絡安全法》和《網絡安全等級保護條例》，等保2.0時代的到來預示着網絡安全保障已不止是市場需求，更上升到國家法律層面。

等保2.0將等保工做的技術要求和管理要求細分爲了更加具體的八大類：物理和環境安全、網絡和通訊安全、設備和計算安全、應用和數據安全;全策略和管理制度、全管理機構和人、安全建設管理、安全運維管理。而等保2.0在以上基本要求以外，提出了雲安全、移動安全、物聯網安全、工業控制系統安全、大數據安全等網絡空間擴展要求，且每一個部分都有詳細的安全標準。

根據等級保護相關管理文件，信息系統的安全保護等級分爲五級：

第一級，信息系統受到破壞後，會對公民、法人和其餘組織的合法權益形成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其餘組織的合法權益產生嚴重損害，或者對社會秩序和公共利益形成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對公民、法人和其餘組織的合法權益形成特別嚴重損害，會對社會秩序和公共利益形成嚴重損害，或者對國家安全形成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益形成特別嚴重損害，或者對國家安全形成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全形成特別嚴重損害。

相關行業也陸續出臺了定級指南，如：

一、金融行業

《中國人民銀行關於銀行業金融機構信息系統安全等級保護定級的指導意見》（銀髮〔2012〕163 號）

二、電力行業

《關於印發〈電力行業信息系統等級保護定級工做指導意見〉的通知》（電監信息〔2007〕44 號）

三、交通

《JT/T904—2014交通運輸行業信息系統安全等級保護定級指南》

四、教育

《教育部辦公廳關於印發〈教育行業信息系統安全等級保護定級工做指南（試行）〉的通知》（教技廳函 [2014]74 號）   

移動互聯等級保護安所有署迫在眉睫 

等級保護2.0之移動互聯安全移動互聯網的迅猛發展帶來的網絡安全問題日益突出，如何對採用移動互聯技術的等級保護對象進行定級和有效防禦，是等保技術體系下一個重要課題，在《網絡安全等級保護基本要求 第3部分：移動互聯安全擴展要求》中也從技術要求和管理要求兩個維度進行了明確的描述。

該部分等級保護整體思想是將保護對象做爲一個總體考慮其安全防禦要點，「縱深防護、分層防禦」的整體策略貫穿始終。採用移動互聯技術的等級保護對象應做爲一個總體對象定級，移動終端、移動應用和無線網絡等要素不單獨定級，與採用移動互聯技術等級保護對象的應用環境和應用對象一塊兒定級。

與傳統等級保護對象相比，移動互聯安全擴展要求是針對採用移動互聯技術的等級保護對象其移動互聯部分提出的特殊保護要求，其與傳統等級保護對象的主要區別在於移動性和便捷性。移動終端能夠經過無線方式接入網絡，移動終端能夠遠程經過運營商基站或公共Wi-Fi接入等級保護對象，也能夠經過本地無線接入設備接入等級保護對象。與傳統信息系統相比，採用移動互聯技術的系統所面對的攻擊面更大，且因爲移動終端的便攜性更容易丟失，並形成信息泄露數據丟失等。

所以，採用移動互聯技術等級保護對象中突出3個關鍵要素：移動終端、移動應用和無線網絡。所以安全防禦技術要求在傳統等級保護的基礎上，重點針對移動終端、移動應用和無線網絡在物理和環境安全、網絡和通訊安全、設備和計算安全、應用和數據安全四個技術層面進行擴展，並以一系列管理要求進行聯合。

以第四級安全要求爲例:

（1）在網絡和通訊安全中針對 「入侵防範」要求包括：

① 應可以檢測、記錄、定位非受權無線接入設備；

② 應可以對非受權移動終端接入的行爲進行檢測、記錄、定位並阻斷；

③ 應具有對針對無線接入設備的網絡掃描、DoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行爲進行檢測、記錄、分析定位；

④ 應可以檢測到無線接入設備的SSID廣播、WPS等高風險功能的開啓狀態。

（2）在設備和計算安全中針對 「惡意代碼防範」要求包括：

① 應安裝防惡意代碼軟件，並按期進行惡意代碼掃描，及時更新防惡意代碼軟件版本和惡意代碼庫；

② 應支持移動業務應用軟件僅運行在安全容器內，防止被惡意代碼攻擊。

（3）在安全運維管理中針對 「漏洞和風險管理」要求包括：

應採起必要的措施識別移動互聯網安全漏洞和隱患，對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。

    等級保護2.0具體實施策略分析  

 根據前期的深刻研究和針對技術要求分析，幾維安全提出可從事前加固、事中監測、事發響應、過後評估造成RMRE閉環安全防禦體系，並研發造成一系列產品，結合不一樣行業、不一樣場景特徵及需求，以單產品、產品組合或一體化產品體系構建等多種方式進行安全加固。

金融業爲例，國家互金專委會曾在報告中指出，互聯網金融是金融與互聯網技術相融合的領域，信息流的安全性是互聯網金融發展的基礎和保障。互聯網金融信息系統在運行過程當中一旦發生數據泄露、盜取等事件，會對雙方形成巨大損失。網貸信息系統等保測評趨嚴是行業規範化發展的時代要求。

目前，大多數互聯網金融平臺得到的以第二級認證爲主，信息安全等保三級備案是國家對非銀行金融機構的最高級認證，屬於「監管保護級」。據公開數據顯示，截至2018年3月底，網貸行業正常運營平臺數量降至1700餘家，其中經過信息系統安全等保三級備案認證的平臺僅爲175家。對於P2P網貸平臺來講，可以得到等保三級不只是對用戶資金安全負責，也在必定程度上彰顯了平臺實力。

根據對金融行業特徵和風險隱患分析發現，該行業主要風險隱患包括：

（1）用戶信息泄漏

攻擊者非法竊取用戶信息、交易記錄等，進行精準詐騙和惡意營銷。

（2）感染病毒、木馬

用戶安全意識低，App運行設備易感染病毒、木馬，形成用戶信息泄漏、資金丟失。

（3）算法密鑰泄漏

算法密鑰保護強度弱，存在泄漏風險，進一步形成本地數據和網絡數據泄漏問題。

（4）核心模塊破解

核心代碼保護方案不完整，難以對抗高技術的黑產組織，形成企業資產損失。

基於金融行業移動互聯網安全需求特徵，幾維安全以原創的KiwiVM源碼虛擬化保護技術進行多維度防禦、加固。如，圍繞APP全生命週期進行分階段加固技術研發和產品部署。

      結 語   

國家網絡安全等級保護制度實施十年來，已經成爲了國家的網絡安全基本制度、基本國策，爲適應新技術的發展，解決雲計算、物聯網、移動互聯和工控領域信息系統的信息安全問題，國家對網絡安全等級保護制度提出了新的要求，網絡安全等級保護制度也進入2.0時代。順應時代發展實施網絡安全等級保護，不僅是國家的制度要求，也是塑造企業品牌、共建可信移動互聯網生態環境的有力抓手。