信息安全技術 信息系統(tǒng)安全等級保護基本要求 第3部分 移動互聯(lián)安全擴展要求-編制說明

任務來源信息安全等級保護制度已經成為我國信息安全保護保障的基本制度，在全國信息安全保護工作中取得了突出的成果，被廣泛應用于各個行業(yè)的用戶開展信息系統(tǒng)安全等級保護的建設整改、等級測評工作中。但隨著信息技術的發(fā)展，移動互聯(lián)接入、虛擬計算環(huán)境、云計算平臺應用、大數(shù)據應用和工控系統(tǒng)應用等新技術、新應用相繼出現(xiàn)GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》已經不能完全滿足包含新技術、新應用的信息安全等級保護對象的需求。根據公安部的統(tǒng)一部署，于2014年3月召開信息安全等級保護系列標準編制啟動會，統(tǒng)籌包括：云計算、移動互聯(lián)、物聯(lián)網、工業(yè)控制系統(tǒng)系列標準的編制工作?！缎畔踩夹g網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》編制任務由北京鼎普科技股份有限公司負責牽頭。主要工作過程1）2014年3月，北京鼎普科技股份有限公司牽頭，聯(lián)合公安部第三研究所、北京工業(yè)大學、工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室成立了《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》標準編制組。2）2014年3月至4月，標準編制組根據項目推進組計劃調研了國際和國內移動互聯(lián)技術現(xiàn)狀，分析并總結了移動互聯(lián)技術中的安全關注點和要素，同時標準編制組調研了與移動互聯(lián)技術相關的其他國家標準和行業(yè)標準，分析了應用移動互聯(lián)技術等級保護對象面臨的心威脅，完成了標準草案初稿。3）2014年4月11日，標準編制組組織相關專家對標準草案初稿進行了評審，與會專家對整個標準體系和標準草案初稿提出了修改意見。會后，標準編制組再次按照專家提出的修改建議，對標準草案初稿進行了修改，形成了標準草案第二稿。4）2014年4月至2015年1月，標準編制組繼續(xù)組織繼續(xù)針對激動互聯(lián)技術及國內外標準、現(xiàn)狀進行研究，并廣泛征求廠商、用戶的意見，完善標準內容，形成標準第三稿。5）2015年1月20日，公安部十一局牽頭會同個標準編制牽頭單位召開會議，調整系列標準編制思路，將移動互聯(lián)、云計算、物聯(lián)網和工控系統(tǒng)應用等新領域標準編制工作并入《信息安全技術網絡安全等級保護基本要求》修訂項目中，形成“基本要求”的分冊，如《信息安全技術信息系統(tǒng)安全等級保護基本要求云計算平臺技術要求》、《信息安全技術信息系統(tǒng)安全等級保護基本要求移動終端技術要求》、《信息安全技術信息系統(tǒng)安全等級保護基本要求工控系統(tǒng)技術要求》等，構成GB/T22239.1、GB/T22239.2、……等基本要求系列標準。標準草案經過修改形成第四稿。6）2015年7月，全國信息安全標準化技術委員會第五工作組組織業(yè)內專家對《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》標準草案第四稿進行了研討，專家對標準范圍、內容、格式等進行了詳細討論，提出了很多寶貴意見。標準編制組根據專家意見，對標準進行了修改形成第五稿。7）2015年12月，北京鼎普科技股份有限公司組織業(yè)內專家對《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》標準草案第五稿再次進行了研討，專家對標準范圍、內容、格式等進行了詳細討論，提出了很多寶貴意見。標準編制組根據專家意見，對標準進行了修改形成第六稿。8）2016年4月25日，北京鼎普科技股份有限公司再次組織專家對《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》標準草案第六稿再次進行了研討，專家對標準范圍、內容、格式等進行了詳細討論，提出了很多寶貴意見。標準編制組根據專家意見，對標準進行了修改形成第七稿。10）2016年7月1日，北京鼎普科技股份有限公司再次組織專家對《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》標準草案第七稿進行了評審。會后，標準編制組再次按照專家提出的修改建議，對草案進行了修改，形成了標準草案第八稿。11）2016年9月19日，根據《信息安全技術第1部分網絡安全等級保護基本要求安全通用要求》的修改更新，《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》相關內容隨之修改。12）2016年10月17日，全國信息安全標準化技術委員會在成都組織2016年第二次工作組會議周，WG5工作組會議上對標準進行了評審，與會代表對標準內容提出了修改意見，會后標準編制組對草案進行了修改，形成了標準草案第九稿。13）2016年10月27日，標準編制組組織專家對《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》標準草案第九稿進行了評審。會后，標準編制組再次按照專家提出的修改建議，對草案進行了修改，形成了標準征求意見稿。標準的主要修訂內容1）明確采用移動互聯(lián)技術等級保護對象本標準中采用移動互聯(lián)技術等級保護對象與傳統(tǒng)等級保護對象的區(qū)別在于移動終端可以通過無線方式接入網絡，采用移動互聯(lián)技術等級保護對象構成所示移動終端可以遠程通過運營商基站或公共Wi-Fi接入等級保護對象，也可以在本地通過本地無線接入設備接入等級保護對象。系統(tǒng)通過移動管理系統(tǒng)的服務端軟件向客戶端軟件發(fā)送移動設備管理、移動應用管理和移動內容管理策略，并由客戶端軟件執(zhí)行實現(xiàn)系統(tǒng)的安全管理。2）采用移動互聯(lián)技術等級保護對象防護要素與傳統(tǒng)等級保護對象相比，采用移動互聯(lián)技術等級保護對象中突出三個關鍵要素：移動終端、移動應用和無線網絡。因此，采用移動互聯(lián)技術等級保護對象的安全防護在傳統(tǒng)等級保護對象防護的基礎上，主要針對移動終端、移動應用和無線網絡在物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全四個技術層面進行擴展。3）明確移動互聯(lián)技術等級保護對象的定級采用移動互聯(lián)技術的等級保護對象應作為一個整體對象定級，移動終端、移動應用和無線網絡等要素不單獨定級，與采用移動互聯(lián)技術等級保護對象的應用環(huán)境和應用對象一起定級。與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系本標準與現(xiàn)行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。有關問題的說明項目組在標準編制過程中，經歷了內部討論與論證、專家評審等過程，項目組在工作過程中遵循編制原則，對國內外現(xiàn)狀做了大量調研，完成了標準修訂工作。在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應答和處理，更好地完善了我們的標準編制工作。本項目是對國家推薦性標準GB/T22239-2008的修訂的一部分，建議修訂后的標準還是為國家推薦性標準。廢止現(xiàn)行有關標準的建議本標準GB/T22239.3-XXXX《信息安全技術網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》是網絡安全等級保護的系列標準的一部分，GB/T22239.1-XXXX到GB/T22239.6-XXXX系列標準將替代原來的GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》。建議廢止GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》有關專利的說明本標準不涉及專利?！缎畔踩夹g網絡安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求》編制說明《信息安全技術