信息安全技术 信息系统安全等级保护基本要求 第3部分 移动互联安全扩展要求-编制说明

任务来源信息安全等级保护制度已经成为我国信息安全保护保障的基本制度，在全国信息安全保护工作中取得了突出的成果，被广泛应用于各个行业的用户开展信息系统安全等级保护的建设整改、等级测评工作中。但随着信息技术的发展，移动互联接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用相继出现GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》已经不能完全满足包含新技术、新应用的信息安全等级保护对象的需求。根据公安部的统一部署，于2014年3月召开信息安全等级保护系列标准编制启动会，统筹包括：云计算、移动互联、物联网、工业控制系统系列标准的编制工作。《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》编制任务由北京鼎普科技股份有限公司负责牵头。主要工作过程1）2014年3月，北京鼎普科技股份有限公司牵头，联合公安部第三研究所、北京工业大学、工业控制系统信息安全技术国家工程实验室成立了《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》标准编制组。2）2014年3月至4月，标准编制组根据项目推进组计划调研了国际和国内移动互联技术现状，分析并总结了移动互联技术中的安全关注点和要素，同时标准编制组调研了与移动互联技术相关的其他国家标准和行业标准，分析了应用移动互联技术等级保护对象面临的心威胁，完成了标准草案初稿。3）2014年4月11日，标准编制组组织相关专家对标准草案初稿进行了评审，与会专家对整个标准体系和标准草案初稿提出了修改意见。会后，标准编制组再次按照专家提出的修改建议，对标准草案初稿进行了修改，形成了标准草案第二稿。4）2014年4月至2015年1月，标准编制组继续组织继续针对激动互联技术及国内外标准、现状进行研究，并广泛征求厂商、用户的意见，完善标准内容，形成标准第三稿。5）2015年1月20日，公安部十一局牵头会同个标准编制牵头单位召开会议，调整系列标准编制思路，将移动互联、云计算、物联网和工控系统应用等新领域标准编制工作并入《信息安全技术网络安全等级保护基本要求》修订项目中，形成“基本要求”的分册，如《信息安全技术信息系统安全等级保护基本要求云计算平台技术要求》、《信息安全技术信息系统安全等级保护基本要求移动终端技术要求》、《信息安全技术信息系统安全等级保护基本要求工控系统技术要求》等，构成GB/T22239.1、GB/T22239.2、……等基本要求系列标准。标准草案经过修改形成第四稿。6）2015年7月，全国信息安全标准化技术委员会第五工作组组织业内专家对《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》标准草案第四稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。标准编制组根据专家意见，对标准进行了修改形成第五稿。7）2015年12月，北京鼎普科技股份有限公司组织业内专家对《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》标准草案第五稿再次进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。标准编制组根据专家意见，对标准进行了修改形成第六稿。8）2016年4月25日，北京鼎普科技股份有限公司再次组织专家对《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》标准草案第六稿再次进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。标准编制组根据专家意见，对标准进行了修改形成第七稿。10）2016年7月1日，北京鼎普科技股份有限公司再次组织专家对《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》标准草案第七稿进行了评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准草案第八稿。11）2016年9月19日，根据《信息安全技术第1部分网络安全等级保护基本要求安全通用要求》的修改更新，《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》相关内容随之修改。12）2016年10月17日，全国信息安全标准化技术委员会在成都组织2016年第二次工作组会议周，WG5工作组会议上对标准进行了评审，与会代表对标准内容提出了修改意见，会后标准编制组对草案进行了修改，形成了标准草案第九稿。13）2016年10月27日，标准编制组组织专家对《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》标准草案第九稿进行了评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准征求意见稿。标准的主要修订内容1）明确采用移动互联技术等级保护对象本标准中采用移动互联技术等级保护对象与传统等级保护对象的区别在于移动终端可以通过无线方式接入网络，采用移动互联技术等级保护对象构成所示移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护对象，也可以在本地通过本地无线接入设备接入等级保护对象。系统通过移动管理系统的服务端软件向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略，并由客户端软件执行实现系统的安全管理。2）采用移动互联技术等级保护对象防护要素与传统等级保护对象相比，采用移动互联技术等级保护对象中突出三个关键要素：移动终端、移动应用和无线网络。因此，采用移动互联技术等级保护对象的安全防护在传统等级保护对象防护的基础上，主要针对移动终端、移动应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面进行扩展。3）明确移动互联技术等级保护对象的定级采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级，与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。与相关法律法规及国家有关规定、国内相关标准的关系本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准修订工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。本项目是对国家推荐性标准GB/T22239-2008的修订的一部分，建议修订后的标准还是为国家推荐性标准。废止现行有关标准的建议本标准GB/T22239.3-XXXX《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》是网络安全等级保护的系列标准的一部分，GB/T22239.1-XXXX到GB/T22239.6-XXXX系列标准将替代原来的GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》。建议废止GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》有关专利的说明本标准不涉及专利。《信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求》编制说明《信息安全技术