移動互聯網信息系統的等級保護測評研究

胡亞蘭++張艷

摘 要：移動互聯網信息系統將管理終端以及業務終端延伸至移動智能終端上，移動智能終端的加入給的傳統信息系統帶來了新的威脅。而目前的等級保護測評工作并未將移動智能終端帶來的安全問題列入測評范圍，測評機構還是按照常規的等級保護測評方法，如主機安全僅限于PC操作系統的配置安全和數據庫的配置安全，網絡安全也僅限于使用PC訪問業務系統過程中的數據傳輸安全和訪問控制等。論文根據移動互聯網信息系統的威脅特點，從網絡安全、終端安全、應用安全、數據安全、安全管理等環節對移動業務信息系統的測評指標進行了分析，并給出了新增的測評指標及測評方法。

關鍵詞：移動互聯網信息系統；移動智能終端；等級保護測評；信息安全

1 引言

移動互聯網作為移動通信和互聯網相互結合的網絡模式，是互聯網的技術、平臺、商業模式和應用與移動通信技術結合并實踐的活動的總稱。與傳統以PC為終端的互聯網相比，移動互聯網具有便攜性、便捷性、及時性、定向性、可鑒權、可身份識別等多種優勢。此外，移動互聯網還拓寬了傳統PC接入互聯網的途徑，傳統PC可使用USB型無線網卡，通過3G/4G網絡接入移動網絡來訪問服務器。

等級保護的本質是從管理和技術兩個方面，對信息系統安全進行分級保護。本文從等級保護基本要求出發，結合移動互聯網的特點及安全現狀，從等級保護基本要求的物理安全、主機安全、網絡安全、應用安全和管理安全等五個方面，探討如何在移動互聯網信息系統實施等級保護測評工作，以完善移動互聯網信息安全體系和等級保護測評體系。

2 移動互聯網信息系統概述

移動互聯網信息系統是一套建立以手機、PAD等便攜終端為載體實現的移動信息化系統，該類信息系統將智能手機、無線網絡、辦公系統三者有效結合，實現任何辦公地點和辦公時間的無縫接入，提高了辦公效率。

從移動終端訪問的過程可以將訪問移動互聯網信息系統的流程劃分幾個區域：移動智能終端用戶區、Internet運營商互聯網傳輸區、內網接入區和業務內網服務區。如圖1所示，是移動互聯網信息系統典型的網絡拓撲。在移動終端訪問業務內網的過程中就要保證信息系統具有接入身份鑒別、數據保密性、接入控制、網絡邊界防護，這些威脅根據移動互聯網信息系統的拓撲位置可以歸結為移動終端自身風險以及移動終端接入控制風險。

3 移動互聯網信息系統與傳統信息系統的區別

在移動互聯網信息系統中，移動終端首先與網絡運營商建立無線接入通道，再通過此通道與接入企業內網訪問業務系統服務端，在這個過程中就涉及到移動終端的安全認證、訪問用戶的身份認證、業務訪問過程中的數據傳輸安全以及移動終端用戶的權限控制等。這些特點在傳統的信息系統中是不存在的。因此，移動互聯網信息系統在主機、網絡、應用、管理、安全掃描等層面的測評對象也有所不同，本文認為移動互聯網信息系統的測評對象應有所增加，如表1所示，標識了傳統信息系統與移動互聯網信息系統測評對象的區別，應增加測評對象的部分進行了加粗。

4 移動互聯網信息系統等保測評分析

據媒體報道2017年5月，美國土安全部向國會提交了一份《政府移動設備安全研究報告》。根據現有標準和最佳實踐，采用移動設備安全框架；加強《聯邦信息安全管理法案》（FISMH），專注保護移動設備、應用程序和網絡基礎設施安全；將移動設備納入“持續診斷和緩解”計劃，使用與其它網絡設備（例如工作站和服務器）相當的能力解決移動設備和應用程序的安全問題。然而，目前我國針對移動互聯網信息系統的等級保護測評研究甚少。本文將在網絡安全、移動終端安全、應用安全、數據安全、安全管理等五個方面對表1中加粗的新增測評對象的增測項級測評要求進行了描述。增測是指新增測評對象在根據GB/T 22239-2008及GB/T28448-2012測試的基礎上還需要加測的內容，也就是說新增測評對象滿足B/T 22239-2008及GB/T28448-2012標準的同時，還應滿足文中加測項的要求。

4.1 網絡安全

應確認移動業務系統的網絡接入邊界，繪制與實際網絡環境一致的網絡拓撲圖。保證所有接入邊界必須部署訪問控制設備和入侵防護設備。與傳統信息系統不同的是，移動互聯網信息系統還應抽查移動業務應用網關設備，針對該網關，除了按照標準中網絡設備的安全測評項進行檢查外，還要增測其是否開啟了對移動終端的接入控制：保證已經在系統注冊過且通過安全檢查的終端或用戶接入應用系統。

4.2 移動終端安全

如表2所示，移動終端加測項。

4.3 應用安全

如表3所示，業務APP加測項。

4.4 數據安全

如表4所示，數據安全加測項。

4.5 安全管理

信息系統的安全管理涉及安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理以及變更管理，移動業務系統的測評過程中測評技術人員應檢查信息系統的系統運維制度，檢查是否對接入移動業務系統的移動智能終端進行資產管理，如編制資產清單，包括移動終端標識、責任人、重要程度、允許訪問的應用類型等參數，并檢查是否定期對移動終端進行病毒、漏洞等安全項檢查，留存詳細的檢查記錄以及漏洞升級記錄。

5 結束語

移動互聯網信息系統由于其主要的接入終端設備延伸至移動智能終端設備，因此在等保測評過程中，除根據《信息安全技術信息系統安全等級保護基本要求》測評之外，還應考慮因移動終端接入而對業務系統帶來的安全風險。本文雖然在網絡、主機、應用、管理等層面提出了增測項目和測評要求，以完善等級保護測評體系保障企業信息系統安全。

項目基金：

移動智能終端安全關鍵技術研究及應用示范上海市科學技術委員會2015年度“科技創新行動計劃”高新技術領域項目（項目編號：15511103000）。

參考文獻

[1] 馬帥.等級保護設計要求下的移動業務系統安全防御體系[J].保密科學技術，2012年01期.

[2] 馮志杰，李紅雙.智能終端安全防護體系設計[J].電信工程技術與標準化，2013年02期.

[3] 馮志杰，李紅雙.智能終端安全防護體系設計[J].電信工程技術與標準化，2013年02期.

[4] 張翼飛， 蘭蕓.面向等級保護的數據安全保護系統研究與設計[J]. 信息網絡安全，2013年09期.

[5] 中國信息安全產品測評認證中心. 信息安全理論與技術[M].北京：人民郵電出版社，2003.

[6] GB/T 22239-2008.信息安全技術信息系統安全等級保護基本要求[S].

[7] GB/T 28448-2012.信息安全技術信息系統安全等級保護測評要求[S].