移动业务安全专家

《国家安全法》
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并于2017年6月1日正式实施。等保2.0将原来的《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。等保2.0的核心法律依据《网络安全法》和《网络安全等级保护条例》,等保2.0时代的到来预示着网络安全已经从市场需求上升到国家法律层面。

等保2.0主要变化
等保2.0把移动互联网安全、工业控制安全、物联网安全、大数据安全、云计算安全等新兴业务也纳入了监管,监管对象从传统信息系统变成了业务系统,并针对云计算、移动互联、物联网和工业控制系统等新兴领域提出了更为细致的扩展要求。从上述改变可以看出,等保2.0对信息安全要求越来越高,且越来越注重对每个阶段的细粒度保护。

移动互联安全扩展要求解读
移动互联安全扩展要求是针对采用移动互联技术的保护对象提出的安全等级要求,并从技术和管理两个维度进行了明确的要求。该部分等级保护总体思想是将保护对象作为一个整体考虑其安全防护要点,“纵深防御、分层防护”的总体策略贯穿始终。
从保护对象来看,移动互联技术等级突出 3 个关键要素:移动终端、移动应用和无线网络。移动终端可以通过无线方式接入网络,也可以远程通过运营商基站或公共Wi-Fi接入等级保护对象,以及通过本地无线接入设备接入等级保护对象。

dengbao01

图片来源网络
一、移动互联网现状
工业和信息化部无线电管理局(国家无线电办公室)正式发布《中国无线电管理年度报告(2018年)》。报告显示,2018年我国净增移动电话用户达到1.49亿户,总数达到15.7亿户。手机网民成为第一大上网终端,占到总网民数的80%,截至2018年8月底,我国市场上监测到的移动应用app为426万款,仅8月份,我国第三方应用商店与苹果应用商店新上架移动应用就达12.7万款。移动互联网业务除从传统互联网业务复制到移动终端的业务外,还包括互联网化移动通信业务和创新性移动互联网业务。这些业务随着技术上的创新逐步进入人类生活,成为日常生活不可或缺的一部分,但面临着的安全问题依然突出。
移动互联安全隐患
与传统信息系统相比,采用移动互联技术的系统所面对的攻击面更大,再者移动终端的属性造成终端更容易丢失,导致信息泄露。
我国手机终端操作系统主要为Android、iOS。移动终端在操作系统、软件平台、硬件、应用软件等各方面尚缺乏安全防护措施。通过手机平台,许多用户并不使用的软件会通过捆绑式下载的方式随着用户下载的应用程序被俏无声息地安装到用户手机上,以及移动应用架构开发设计阶段缺少安全防范规划,例如采用明文传输,数据在本地和服务器端都未加密保存等。
常见如下安全隐患:
信息泄露。智能终端中存储着大量的用户信息,终端个人信息泄露的事件时有发生。对用户信息安全造成严重的安全威胁,例如攻击者非法窃取用户信息、交易记录等,进行精准诈骗和恶意营销。
系统root。因各方面原因,可能会将手机系统root,取得操作系统的超级管理员权限。可能导致病毒木马入侵、系统不稳定、无法享受售后服务、隐私泄露等坏处。
系统漏洞。漏洞爆出后,厂商对系统漏洞更新不及时的情况时有发生,用户也存在不及时更新漏洞的情况,导致已经发现的操作系统漏洞,继续被攻击者利用。
破解并二次打包应用。有的应用被逆向分析破解,加入恶意代码,重新打包发布,有的应用就是钓鱼应用。用户可能被恶意扣费、远程控制、诱骗欺诈等。
应用漏洞。应用开发者有时对应用漏洞的维护不及时,手机用户不及时更新应用版本,这些漏洞可能被黑客直接利用。
传输安全。传输环节,除了存在泄漏、篡改等风险外,还可能被数据流攻击者利用,数据在传播中可能出现逐步失真等。又如,大数据传输处理环节,除数据非授权使用和被破坏的风险外,由于大数据传输的异构、多源、关联等特点,即使多个数据集各自脱敏处理,数据集仍然存在因关联分析而造成个人信息泄漏的风险。

二、移动互联安全
安全防护技术要求在传统等级保护的基础上,重点针对移动终端、移动应用和无线网络并结合安全管理联合形成移动安全闭环。
针对移动应用,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用app发布的问题,在移动应用app发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
针对移动终端,主要对移动终端的安全环境、应用安装管控、终端自身安全进行了安全防护。防护措施包括:应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
针对无线网络接入与安全传输,需要对无线网络设备安全接入、入侵防范、通信传输等方面的安全提出严格要求。防护方法包括:应能够检测、记录、定位非授权无线接入设备;应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;在无线通信传输中对敏感字段或整个报文进行加密。
在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全整体方案设计。
结束语
指掌易采用SAME(Secured Architecture for Mobile Enterprise)安全架构,深耕各行业包括军队,公安,制造,能源,金融,政府,交通,医疗,教育等,提炼出一系列具有行业深度移动安全解决方案,帮助各行业政企客户快速构建一个处于可信,灵活易用的快速交付的移动信息系统,最大化移动信息系统的使用效率和效果。

dengbao02