等保2.0时代–移动互联安全合规难点分析与建议 – 作者:能信安科技nesun

移动互联安全专家     

        等保2.0技术标准已于5月13日正式发布,宣告等级保护进入2.0时代。移动互联安全作为2.0标准的新增安全场景,具有移动互联网业务的单位如何才能满足等级保护的要求是大家关注的焦点。

        从安全管理层面来说,移动互联安全可以在适当修订的基础上,通过1.0标准的安全管理体系来实现覆盖,2.0标准的合规难度主要体现在安全技术层面。因此,本文主要对标2.0标准中等保三级的合规要求,从移动互联网业务运营方的角度,针对移动互联安全保护对象的构成来分析如何实现技术合规。

一、等保2.0标准的移动互联安全保护对象构成

1.jpg移动互联等级保护对象构成

         与传统等级保护对象相比,采用移动互联技术的等级保护对象中突出三个关键要素:移动应用、移动终端和无线网络。

         移动应用保护对象主要是针对移动移动终端开发的应用软件,包括移动终端预置的应用软件,和互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的第三方应用软件。

         移动终端保护对象是在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。

         无线网络保护对象主要是采用无线通信技术将移动终端接入有线网络的通信设备。注:不包括公共的无线接入设备(如公共WiFi、运营商基站等)。

二、移动应用保护对象的合规分析

        近年来,随着移动互联网经济的爆发式增长,据不完全统计,我国境内发布的移动应用数量超过APP 2200余万个,当前存活的APP数量近500万个,移动应用软件分发平台500余家,每年的移动互联网经济规模超过2500亿元,移动互联网应用服务已成为大众创业、万众创新的重要载体。随之而来的应用盗版和流氓行为类的恶意应用程序也大量被分发到市场,从恶意扣费、资费消耗到窃取用户个人隐私信息和钱财,严重阻碍了移动互联经济的发展。

       针对移动应用保护对象,等级保护2.0标准主要是从用户身份鉴别、应用软件的审核与检测、应用数据安全三个维度提出了相关的要求。其中,用户身份鉴别和应用数据安全这两个维度提出了详细的要求,而应用软件的审核与检测则只要求“业务移动应用软件开发后、上线前经专业测评机构安全检测”。

       用户身份鉴别和应用数据安全这两个维度的合规技术实现对于移动应用的开发方和运营方而言是有明确依据的,主要问题就是开发和上线阶段要做哪些工作,才能通过专业测评机构安全检测?

我 们 建 议:

1.应制定明确的软件开发安全规范并严格遵守,尤其对于第三方开发资源的引入要严格把关,做好风险评估;

2.应用软件开发完成后应采用专业的移动应用安全检测工具进行安全检测和风险评估,所选择的检测工具应尽量与专业测评机构所使用的工具保持一致;

3.根据风险评估结果对应用软件进行加固和整改,建议使用第三方的专业加固产品与服务。

三、移动终端保护对象的合规分析

        从当前移动互联网业务所发生的典型安全事件来看,盗版应用和恶意代码是造成终端侧用户的敏感信息泄漏、财产损失的主要原因。尤其是安卓系统的移动终端,由于操作系统的开源性和碎片化,安全管控的难度非常大。

        针对移动终端保护对象,等级保护2.0标准主要是终端用户身份鉴别、终端设备管控、终端应用管控三个维度提出了相关的要求。其中,终端用户身份鉴别和终端设备管控的技术比较成熟,由于终端应用的多样性和复杂性,如何实现应用的管控是合规的难点。

        站在移动互联业务运营方的角度,终端应用管控的合规要求的重点是应用的合法性要求和对恶意代码的防范两个维度,也就是说,一方面要保证所安装的应用软件是正版软件,另一方面要防范应用软件中存在恶意代码。

我 们 建 议:

1.移动终端应纳入统一的移动终端管理系统(如MDM)的管控,并建立应用白名单机制;

2.定期对移动终端进行安全检测和风险评估,所选择的检测工具应尽量与专业测评机构所使用的工具保持一致;

四、无线网络保护对象的合规分析

       从当前移动互联网业务所发生的典型安全事件来看,对无线网络信息安全影响最大的是非法的设备接入和非法外联。由于移动终端设备的高度智能化和普及化,用户为了方便私自用移动终端接入内部无线网络或启用移动终端的WiFi功能来外联其它网络是办公环境中的普遍现象,而且非常难于发现、定位和处置。

       针对无线网络保护对象,等级保护2.0标准主要是从网络架构、网络边界防护、网络设备防护三个维度提出了相关的要求,这和1.0标准中对网络设备的要求基本上是一致的。从移动互联业务运营方的角度来看,由于无线网络与有线网络在物理介质上的显著差异,主要的技术合规难点在于网络边界访问控制中的非法设备接入和非法外联的无线热点设备发现和定位。

我 们 建 议:

1.尽量选用具有终端设备准入控制功能的无线网络设备;

2.对接入终端设备进行审计,建立终端设备白名单,及时发现非法接入设备;

3.对无线网络环境进行扫描检测,及时发现和定位非法的无线接入设备。

能信安移动互联安全解决方案

        能信安在移动互联安全领域耕耘多年,不仅为广大的移动互联业务运营单位提供专业的移动互联安全产品和服务,同时也为公安、网信、政府主管部门等信息安全监管机构提供广泛的移动互联技术和产品支撑。

        基于多年的专业技术能力和经验,以国家及各行各业的网络安全战略、法规、政策和方针为指导,借鉴目前被国内外广泛认可和推广执行的成熟信息安全保障理论研究成果,结合各行各业当前的信息安全现状及特点,能信安建立了满足等级保护2.0移动互联安全要求的完整解决方案,全面覆盖移动应用安全、移动终端安全和无线网络安全。

一、移动应用安全

       以能信安移动应用安全漏洞扫描与风险评估系统(MSCAN)、无壳机器码加固技术和国内首创的移动安全防火墙(SMAF)等先进技术和产品为基础,结合能信安强大的安全服务团队,为用户提供覆盖移动应用全生命周期、从客户端到服务器端的全链路安全解决方案。

移动应用安全漏洞扫描与风险评估系统(MSCAN)

      MSCAN的检测范围涵盖移动应用客户端、通信链路和服务器端,检测对象包括APP、微信公众号/小程序等不同类型应用,采用高强度加固对抗、动态模糊检测、真机检测等先进技术,实现对移动应用的全面安全检测,目前已广泛应用于企事业单位和公安等监管机构的技术支撑服务。

无壳机器码加固技术

      能信安自有的无壳机器码加固采用了业界领先的加固技术,为移动应用提供防反编译保护、客户端防篡改保护、客户端防调试保护、客户端完整性保护、SO 库文件加壳保护等安全防护能力。

移动安全防火墙系统(SMAF)

      SMAF是能信安研发的业内首款移动应用专用防火墙(SMAF),采用“三维一体联动防御”技术,为移动应用提供客户端防护、数据安全通信、应用服务端防火墙的完整安全防御能力。

二、移动终端安全

      能信安移动终端安全检测系统(MDSCAN)是面对新的移动互联威胁形势研发出来的终端安全检测工具,采用先进的移动终端智能安全检测技术,结合独立的漏洞库实现对移动终端操作系统、系统应用、用户应用、恶意代码的深度全面检测。

三、无线网络安全

      能信安无线网络安全检测系统(WNSCAN)是针对WLAN网络边界模糊、信号交错、环境发生变化、建筑格局更改、信道产生干扰、攻击面大等特点,以WLAN运行状态实时监测能力、WLAN攻击行为实时检测能力、WLAN运行和安全状态的数据采集、统计、分析、告警、汇总、展示、报告、预案建议能力为核心能力的无线安全检测工具。

四、配套服务

    能信安拥有一支华南地区最大的安全服务团队,为广大客户提供标准化的安全服务,包括移动互联安全检测与风险评估、渗透测试等。




互联安全专家互联安全专家

来源:freebuf.com 2019-10-14 13:38:08 by: 能信安科技nesun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论