國家標準《信息安全技術 移動終端安全管理平臺技術要求》征求意見稿全文
責編:mhshi |2017-05-26 13:44:442017年5月24日,全國信息安全標準化技術委員會發布國家標準《信息安全技術 移動終端安全管理平臺技術要求》征求意見稿,征求意見截止日期為2017年7月7日。以下是征求意見稿全文。
聯系人:許玉娜???xuyuna@cesi.cn?? 010—64102731
標準文本:信息安全技術 移動終端安全管理平臺技術要求(點擊下載)
編制標準:
《信息安全技術 移動終端安全管理平臺技術要求》編制說明(征求意見稿)
一、工作簡況
- 任務來源
經國家標準化管理委員會批準,全國信息安全標準化技術委員會(SAC/TC260)主任辦公會討論通過,研究制定移動終端安全管理平臺技術要求的國家標準。該項目由全國信息安全標準化技術委員會提出并歸口,由中國信息安全研究院有限公司負責主辦。
- 編制單位
在接到《信息安全技術 移動終端安全管理平臺技術要求》標準制定的任務后,中國信息安全研究院有限公司立即與相關科研機構、廠商進行溝通,并得到了多家業內權威科研機構與知名廠商的積極參與和反饋,最后確定由公安部第三研究所、中國電子技術標準化研究院、工業和信息化部電子科技技術情報研究所、國家信息技術安全研究中心、中國信息安全測評中心、中國信息安全認證中心、國家信息中心、中國電信上海理想信息產業(集團)有限公司、北京北信源軟件股份有限公司、華東師范大學、北京時代新威信息技術有限公司、西安電子科技大學、北京航空航天大學、北京傳媒大學等作為標準編制協作單位。
- 主要工作過程
1.3.1成立編制組
2016年7月接到標準編制任務,中國信息安全研究院有限公司聯合國內科研機構和廠商組建標準編制組,編制組成員具有資深的有足夠的標準編制經驗、產品開發和檢測經驗、移動互聯應用安全技術研究經驗等,廠商的編制成員均為移動終端安全管理平臺產品的研發負責人及主要研發人員,主要編制人員楊晨、張艷、王惠蒞、左曉棟、張格、陸臻、顧鍵、劉賢剛、范科峰、梁露露、王嘉捷、王石、王新杰、肖榮、鐘力、丁富強、賈雪飛、魏方方、周亞超、何道敬、張馳、陳曉峰、劉虹、伍前紅、姜正濤等。
1.3.2制定工作計劃
編制組首先制定了編制工作計劃,并確定了編制組人員例會安排以便及時溝通交流工作情況。
1.3.3參考資料
該標準編制過程中,主要參考了:
GB/T 18336.3-2015信息技術安全技術信息技術安全性評估準則第3部分:安全保障要求;
GB/T25069-2010 信息安全技術 術語。
1.3.4確定編制內容
全球范圍內基于移動終端的移動互聯應用普及快速,移動應用市場需求激增,由于移動終端幾乎時刻在線,并承載了大量關鍵業務及核心應用、敏感數據等,逐步成為網絡攻擊的主要對象,網絡安全成為移動互聯網應用的瓶頸。
移動終端安全管理平臺作為應用于移動終端及終端上的移動應用、數據進行安全管理的一體化解決方案,可以讓移動終端的使用符合安全使用管理規范,防止非法移動終端訪問破壞企業數據,防止他人竊取移動終端中的企業數據。因此,在明確移動終端安全管理平臺的技術要求時,需要針對用戶面臨的安全風險提出針對性安全要求,可以有效提高移動終端安全性和可靠性,保障移動互聯應用安全。為此,標準編制組在確定標準內容時,在結合產品部署方式、移動終端用戶訪問組織應用中的安全身份鑒別、終端接入、訪問控制、數據保密性、數據完整性、安全審計等安全需求,主要從安全功能要求和安全保障要求兩個方面,按照基本級和增量級進行規范,提出安全技術要求,并按照移動終端安全管理平臺安全功能的強度以及安全保障要求,將安全等級劃分為基本級和增強級,其中,安全功能包括終端管理、應用管理、數據安全、接入控制、安全管理、客戶端保護和安全審計等六個方面,安全保障要求則主要從開發、指導性文檔、生命周期支持、測試和脆弱性評定等方面進行規范。
1.3.5編制工作簡要過程
按照項目進度要求,編制組人員首先對所參閱的產品、文檔以及標準進行反復閱讀與理解,查閱有關資料,編寫標準編制提綱,在完成對提綱進行交流和修改的基礎上,開始具體的編制工作。
2016年8月,完成了對移動終端安全管理平臺產品相關技術文檔和前期基礎調研。編制組充分調研分析了當前移動終端安全管理平臺產品的功能和部署使用方式、移動互聯應用面臨的安全威脅、企事業機構針對移動終端安全平臺產品的需求等,借鑒傳統桌面和服務器終端的安全防護思路,結合移動終端和移動互聯應用的特點和需求,提出了移動終端安全管理平臺安全技術要求。
2016年9月, 編制組組織召開研討會,以編制組人員收集的資料為基礎,編制組內部經不斷的討論和研究,封閉組織完善草案內容,形成標準草案第一稿。
2016年10-11月,編制組征求了中國電信上海理想信息產業(集團)有限公司、北京北信源軟件股份有限公司等參與編制廠商的意見。編制組根據反饋意見,積極修改,形成草案第二稿。
2016年12月,編制組組織召開研討會,在北京對標準草案進行了討論,修改完成后形成草案第三稿。
2017年3月,編制組召開研討會聽取專家意見,并組織公安部第三研究所、中國電子技術化技術研究院、中國電信上海理想信息產業(集團)有限公司、北京北信源軟件股份有限公司等編制成員按照專家意見建議進行修改完善,形成了標準草案第四稿,報工作組審議。
2017年4月,編制組將草案提交2017年第一次標準會議周討論,形成征求意見稿。編制組針對會議周工作組成員提出的意見建議,專題組織編制成員、相關產品廠商進行研討,對標準草案進行修改完善。
期間,編制組還組織開展了產品研發、應用情況等調研,以及征求業內專家意見等工作。
二、編制原則和主要內容
2.1編制原則
本標準的研究與編制工作遵循以下原則:
一是突出可操作性和實用性。為了確保標準的可操作性和實用性,標準編制從兩方面著手,一方面標準編制組廣泛吸收了網絡安全領域的國內多家科研機構、檢測機構、產品廠商、高等院校等人員作為標準編制組成員;另一方面標準制定過程中,也不斷地梳理移動互聯應用的安全需求,保障標準內容既符合產業發展現狀,也與用戶的業務應用需求密切相關,為標準合理性和可操作性提供支撐。
二是需求能力引導。在編制標準過程中,標準內容的確定不僅參照當前主流移動終端安全平臺產品的技術研發和應用現狀,以產品功能為基礎,還充分考慮了當前移動互聯應用面臨的安全威脅、企事業機構針對移動終端安全平臺產品的需求等,著力促使本標準不僅能夠規范產品廠商的研發、測試等活動,還能為企事業機構開展移動互聯應用安全防護、建立體系化安全解決方案提供技術參考。
三是產業相對成熟、技術適當超前。在確定本標準的主要內容時,充分考慮了當前主流產品所具備的安全功能,保證大多數的產品廠商具備達到標準要求的基本級能力。同時,考慮到移動互聯面臨的不斷出現的新的攻擊方式、新威脅以及用戶潛在需求,在標準的增強級內容中,提出了一些需要較強技術能力尚可實現的功能要求,尤其是突出企業要具備較強的產品自身安全保障能力,確保產品能助力企事業機構的移動互聯應用。
2.2主要內容
本標準從安全功能要求和安全保障要求兩個方面,規范了移動終端安全管理平臺廠商在產品設計、開發、檢測、交付等活動中,為保障產品安全應用應遵照的安全技術要求。
本標準適用于從事移動終端安全管理平臺產品開發的廠商,也可為組織機構、個人用戶等實施移動互聯應用的安全防護提供技術參考。
本標準內容按照基本級和增強級要求,從安全功能要求和安全保障要求提出移動終端安全管理平臺產品的技術要求。
安全功能要求內容主要從終端管理、應用管理、數據安全、接入控制、安全管理、客戶端保護和安全審計等六個方面提出技術要求。其中,終端管理規范了終端注冊、遠程管理、存儲介質管理、系統環境安全檢測、遠程監測、密碼策略、功能限制等技術要求,支持對移動終端系統權限的狀態檢測,能檢測出移動智能終端的非授權外聯行為,并能自動對非授權外聯行為進行有效的阻止(如斷網、遠程鎖定等);應用管理提出產品應提供應用程序白名單、應用程序黑名單設置等功能要求;數據安全提出了遠程傳輸安全、數據安全存儲、數據防泄漏、數據安全監測等技術要求;接入控制規范了設備認證、身份鑒別、訪問控制策略等技術要求;安全管理提出了針對管理員、終端設備等安全管理技術要求;客戶端保護提出產品應能對安裝在移動智能終端上的客戶端提供一定的保護措施,防止非授權用戶的相關操作;安全審計重點針對審計數據生產、審計日志存儲、日志的授權管理等提出技術要求。
安全保障要求主要從開發、指導性文檔、生命周期支持、測試和脆弱性評定等方面提出技術要求。其中,開發提出開發者應提供產品安全功能的安全架構描述、完備的功能規范說明、產品設計文檔等開發資料;指導性文檔提出開發者應提供明確和合理的操作用戶指南、產品及其準備程序;生命周期支持針對開發者的配置管理能力、配置管理范圍、交付程序、開發安全、工具和技術等提出技術要求,開發者應使用一定的交付程序交付產品,并將交付過程文檔化;測試針對測試覆蓋文檔、深度、功能測試、獨立測試、脆弱性評定等提出技術要求,開發者應提供測試深度的分析,測試產品安全功能,將結果文檔化并提供測試文檔,應提供一組與其自測安全功能時使用的同等資源,以用于安全功能的抽樣測試,保障產品能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。
三、主要試驗(或驗證)的分析、綜述報告,技術經濟論證,預期的經濟效果
無。
四、采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的對比情況,或與測試的國外樣品、樣機的有關數據對比情況
基于移動終端的移動互聯應用已深入大眾的工作和生活,移動辦公應用需求激增,由于移動終端上承載了大量關鍵業務、核心應用、敏感數據及個人信息等,面臨的安全問題突出,成為網絡攻擊的主要對象。移動安全標準作為移動互聯網安全管理工作的基礎和抓手,倍受國家與社會的關注和重視,也是當前國家網絡安全工作的重要內容。在此背出景下,制定移動終端安全管理平臺產品技術要求國家標準,完善移動安全標準體系,不僅可以規范移動終端安全管理平臺產品的設計、開發與檢測,促進相關產品的研發應用和產業發展,還可以為用戶企事業機構、個人用戶等實施移動互聯應用的安全防護提供技術參考,進而建立面向移動互聯應用的體系化安全解決方案,有助于突破移動互聯應用的安全瓶頸。因此,編制組在標準編制過程中,不僅調研了國內外移動終端安全管理平臺產品的研發應用現狀,還分析了移動互聯應用面臨的安全威脅、梳理了企事業機構的安全需求,經多方討論商定標準內容,力求使本標準更具可操作性和實用性,發揮標準的重要基礎支撐作用。
五、與有關的現行法律、法規和強制性國家標準的關系
《移動終端安全管理平臺技術要求》符合現有法律法規的要求,不與其他強制性國標相沖突。
六、重大分歧意見的處理經過和依據
《移動終端安全管理平臺技術要求》編制過程中未出現重大分歧。其他詳見意見匯總處理表。
七、國家標準作為強制性國家標準或推薦性國家標準的建議
建議《移動終端安全管理平臺技術要求》作為推薦性國家標準發布實施。
八、貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等內容)
《移動終端安全管理平臺技術要求》通過從安全功能要求、安全保障要求兩個方面規范移動終端安全管理平臺廠商在產品設計、研發、測試等活動,從而促使相關產品廠商進一步完善產品功能、提升產品安全保障能力,為用戶建立體系化的移動互聯應用安全解決方案提供支撐,建議本標準與移動互聯網安全領域的相關國家標準配套使用。
九、其他事項說明
本標準不涉及專利。
標準編制組
2017年4月