2017年5月24日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 移动终端安全管理平台技术要求》征求意见稿,征求意见截止日期为2017年7月7日。以下是征求意见稿全文。
联系人:许玉娜 xuyuna@cesi.cn 010—64102731
标准文本:信息安全技术 移动终端安全管理平台技术要求(点击下载)
编制标准:
《信息安全技术 移动终端安全管理平台技术要求》编制说明(征求意见稿)
一、工作简况
经国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定移动终端安全管理平台技术要求的国家标准。该项目由全国信息安全标准化技术委员会提出并归口,由中国信息安全研究院有限公司负责主办。
在接到《信息安全技术 移动终端安全管理平台技术要求》标准制定的任务后,中国信息安全研究院有限公司立即与相关科研机构、厂商进行沟通,并得到了多家业内权威科研机构与知名厂商的积极参与和反馈,最后确定由公安部第三研究所、中国电子技术标准化研究院、工业和信息化部电子科技技术情报研究所、国家信息技术安全研究中心、中国信息安全测评中心、中国信息安全认证中心、国家信息中心、中国电信上海理想信息产业(集团)有限公司、北京北信源软件股份有限公司、华东师范大学、北京时代新威信息技术有限公司、西安电子科技大学、北京航空航天大学、北京传媒大学等作为标准编制协作单位。
1.3.1成立编制组
2016年7月接到标准编制任务,中国信息安全研究院有限公司联合国内科研机构和厂商组建标准编制组,编制组成员具有资深的有足够的标准编制经验、产品开发和检测经验、移动互联应用安全技术研究经验等,厂商的编制成员均为移动终端安全管理平台产品的研发负责人及主要研发人员,主要编制人员杨晨、张艳、王惠莅、左晓栋、张格、陆臻、顾键、刘贤刚、范科峰、梁露露、王嘉捷、王石、王新杰、肖荣、钟力、丁富强、贾雪飞、魏方方、周亚超、何道敬、张驰、陈晓峰、刘虹、伍前红、姜正涛等。
1.3.2制定工作计划
编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料
该标准编制过程中,主要参考了:
GB/T 18336.3-2015信息技术安全技术信息技术安全性评估准则第3部分:安全保障要求;
GB/T25069-2010 信息安全技术 术语。
1.3.4确定编制内容
全球范围内基于移动终端的移动互联应用普及快速,移动应用市场需求激增,由于移动终端几乎时刻在线,并承载了大量关键业务及核心应用、敏感数据等,逐步成为网络攻击的主要对象,网络安全成为移动互联网应用的瓶颈。
移动终端安全管理平台作为应用于移动终端及终端上的移动应用、数据进行安全管理的一体化解决方案,可以让移动终端的使用符合安全使用管理规范,防止非法移动终端访问破坏企业数据,防止他人窃取移动终端中的企业数据。因此,在明确移动终端安全管理平台的技术要求时,需要针对用户面临的安全风险提出针对性安全要求,可以有效提高移动终端安全性和可靠性,保障移动互联应用安全。为此,标准编制组在确定标准内容时,在结合产品部署方式、移动终端用户访问组织应用中的安全身份鉴别、终端接入、访问控制、数据保密性、数据完整性、安全审计等安全需求,主要从安全功能要求和安全保障要求两个方面,按照基本级和增量级进行规范,提出安全技术要求,并按照移动终端安全管理平台安全功能的强度以及安全保障要求,将安全等级划分为基本级和增强级,其中,安全功能包括终端管理、应用管理、数据安全、接入控制、安全管理、客户端保护和安全审计等六个方面,安全保障要求则主要从开发、指导性文档、生命周期支持、测试和脆弱性评定等方面进行规范。
1.3.5编制工作简要过程
按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2016年8月,完成了对移动终端安全管理平台产品相关技术文档和前期基础调研。编制组充分调研分析了当前移动终端安全管理平台产品的功能和部署使用方式、移动互联应用面临的安全威胁、企事业机构针对移动终端安全平台产品的需求等,借鉴传统桌面和服务器终端的安全防护思路,结合移动终端和移动互联应用的特点和需求,提出了移动终端安全管理平台安全技术要求。
2016年9月, 编制组组织召开研讨会,以编制组人员收集的资料为基础,编制组内部经不断的讨论和研究,封闭组织完善草案内容,形成标准草案第一稿。
2016年10-11月,编制组征求了中国电信上海理想信息产业(集团)有限公司、北京北信源软件股份有限公司等参与编制厂商的意见。编制组根据反馈意见,积极修改,形成草案第二稿。
2016年12月,编制组组织召开研讨会,在北京对标准草案进行了讨论,修改完成后形成草案第三稿。
2017年3月,编制组召开研讨会听取专家意见,并组织公安部第三研究所、中国电子技术化技术研究院、中国电信上海理想信息产业(集团)有限公司、北京北信源软件股份有限公司等编制成员按照专家意见建议进行修改完善,形成了标准草案第四稿,报工作组审议。
2017年4月,编制组将草案提交2017年第一次标准会议周讨论,形成征求意见稿。编制组针对会议周工作组成员提出的意见建议,专题组织编制成员、相关产品厂商进行研讨,对标准草案进行修改完善。
期间,编制组还组织开展了产品研发、应用情况等调研,以及征求业内专家意见等工作。
二、编制原则和主要内容
2.1编制原则
本标准的研究与编制工作遵循以下原则:
一是突出可操作性和实用性。为了确保标准的可操作性和实用性,标准编制从两方面着手,一方面标准编制组广泛吸收了网络安全领域的国内多家科研机构、检测机构、产品厂商、高等院校等人员作为标准编制组成员;另一方面标准制定过程中,也不断地梳理移动互联应用的安全需求,保障标准内容既符合产业发展现状,也与用户的业务应用需求密切相关,为标准合理性和可操作性提供支撑。
二是需求能力引导。在编制标准过程中,标准内容的确定不仅参照当前主流移动终端安全平台产品的技术研发和应用现状,以产品功能为基础,还充分考虑了当前移动互联应用面临的安全威胁、企事业机构针对移动终端安全平台产品的需求等,着力促使本标准不仅能够规范产品厂商的研发、测试等活动,还能为企事业机构开展移动互联应用安全防护、建立体系化安全解决方案提供技术参考。
三是产业相对成熟、技术适当超前。在确定本标准的主要内容时,充分考虑了当前主流产品所具备的安全功能,保证大多数的产品厂商具备达到标准要求的基本级能力。同时,考虑到移动互联面临的不断出现的新的攻击方式、新威胁以及用户潜在需求,在标准的增强级内容中,提出了一些需要较强技术能力尚可实现的功能要求,尤其是突出企业要具备较强的产品自身安全保障能力,确保产品能助力企事业机构的移动互联应用。
2.2主要内容
本标准从安全功能要求和安全保障要求两个方面,规范了移动终端安全管理平台厂商在产品设计、开发、检测、交付等活动中,为保障产品安全应用应遵照的安全技术要求。
本标准适用于从事移动终端安全管理平台产品开发的厂商,也可为组织机构、个人用户等实施移动互联应用的安全防护提供技术参考。
本标准内容按照基本级和增强级要求,从安全功能要求和安全保障要求提出移动终端安全管理平台产品的技术要求。
安全功能要求内容主要从终端管理、应用管理、数据安全、接入控制、安全管理、客户端保护和安全审计等六个方面提出技术要求。其中,终端管理规范了终端注册、远程管理、存储介质管理、系统环境安全检测、远程监测、密码策略、功能限制等技术要求,支持对移动终端系统权限的状态检测,能检测出移动智能终端的非授权外联行为,并能自动对非授权外联行为进行有效的阻止(如断网、远程锁定等);应用管理提出产品应提供应用程序白名单、应用程序黑名单设置等功能要求;数据安全提出了远程传输安全、数据安全存储、数据防泄漏、数据安全监测等技术要求;接入控制规范了设备认证、身份鉴别、访问控制策略等技术要求;安全管理提出了针对管理员、终端设备等安全管理技术要求;客户端保护提出产品应能对安装在移动智能终端上的客户端提供一定的保护措施,防止非授权用户的相关操作;安全审计重点针对审计数据生产、审计日志存储、日志的授权管理等提出技术要求。
安全保障要求主要从开发、指导性文档、生命周期支持、测试和脆弱性评定等方面提出技术要求。其中,开发提出开发者应提供产品安全功能的安全架构描述、完备的功能规范说明、产品设计文档等开发资料;指导性文档提出开发者应提供明确和合理的操作用户指南、产品及其准备程序;生命周期支持针对开发者的配置管理能力、配置管理范围、交付程序、开发安全、工具和技术等提出技术要求,开发者应使用一定的交付程序交付产品,并将交付过程文档化;测试针对测试覆盖文档、深度、功能测试、独立测试、脆弱性评定等提出技术要求,开发者应提供测试深度的分析,测试产品安全功能,将结果文档化并提供测试文档,应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试,保障产品能够抵抗具有基本攻击潜力的攻击者的攻击。
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
无。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况
基于移动终端的移动互联应用已深入大众的工作和生活,移动办公应用需求激增,由于移动终端上承载了大量关键业务、核心应用、敏感数据及个人信息等,面临的安全问题突出,成为网络攻击的主要对象。移动安全标准作为移动互联网安全管理工作的基础和抓手,倍受国家与社会的关注和重视,也是当前国家网络安全工作的重要内容。在此背出景下,制定移动终端安全管理平台产品技术要求国家标准,完善移动安全标准体系,不仅可以规范移动终端安全管理平台产品的设计、开发与检测,促进相关产品的研发应用和产业发展,还可以为用户企事业机构、个人用户等实施移动互联应用的安全防护提供技术参考,进而建立面向移动互联应用的体系化安全解决方案,有助于突破移动互联应用的安全瓶颈。因此,编制组在标准编制过程中,不仅调研了国内外移动终端安全管理平台产品的研发应用现状,还分析了移动互联应用面临的安全威胁、梳理了企事业机构的安全需求,经多方讨论商定标准内容,力求使本标准更具可操作性和实用性,发挥标准的重要基础支撑作用。
五、与有关的现行法律、法规和强制性国家标准的关系
《移动终端安全管理平台技术要求》符合现有法律法规的要求,不与其他强制性国标相冲突。
六、重大分歧意见的处理经过和依据
《移动终端安全管理平台技术要求》编制过程中未出现重大分歧。其他详见意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议《移动终端安全管理平台技术要求》作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
《移动终端安全管理平台技术要求》通过从安全功能要求、安全保障要求两个方面规范移动终端安全管理平台厂商在产品设计、研发、测试等活动,从而促使相关产品厂商进一步完善产品功能、提升产品安全保障能力,为用户建立体系化的移动互联应用安全解决方案提供支撑,建议本标准与移动互联网安全领域的相关国家标准配套使用。
九、其他事项说明
本标准不涉及专利。
标准编制组
2017年4月