freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

等级保护2.0之移动互联安全篇
2019-08-28 13:36:22



8月23日,由广东省网络空间安全协会举办的广东省2019数据与网络安全大会暨推进等保2.0时代新技术研讨会如期举行。会议邀请了来自能源、交通、科研单位等领域的安全专家,并就等保2.0时代的新技术、新发展、新需求进行了深入的探讨与交流。

7f4d745ab3b14d87b4b15342254e99da.jpeg

等保2.0的实施,其重大意义在于呼吁、监督安全企业深入了解业务需求、重要行业部门需求和国家需求,充分发挥企业技术优势、智慧优势,共同保护好我国的网络空间安全。研讨会期间,爱加密华南区技术总监丁登在会上发表了《等级保护2.0之移动互联安全》主题演讲,着重介绍了等级保护2.0移动互联要求相关内容。

104647b047ed4d47af6b61174f250740.jpeg

《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》指出,针对移动互联网系统中移动终端、移动应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。

根据等级保护2.0定级系统安全能力的定义,将安全保护能力分为5个等级,每个等级安全防护能力逐步提高,等级越高,监测攻击行为和处置安全事件、功能恢复响应能力越强。

爱加密可为企业提供等级保护安全咨询服务,以《信息系统安全等级保护定级指南》为依据,根据企业业务的特性和对信息系统的依赖程度,分别确定“业务信息安全保护等级”和“系统服务安全保护等级”,为其提供等保咨询服务,最终确定安全等级。

85af0d725f9f407a9b526e7a6bfc3a43.jpeg

其中,第三级安全保护能力要求能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

28c8b20d484a408ea99ffedf3a4d23c0.gif

3级等保基本要求重点对应

1、安全物理环境:明确企业需要做安全物理环境和入侵检测。

2、安全区域边界:明确企业需要做客户端感知,要求监控与分析以及日志记录、入侵防范等,实现对网络攻击特别是新型网络攻击行为的分析。

3、安全计算环境:包括移动终端管理、移动应用管理,明确企业需要做好计算环境,明确数据加密,做好客户端主动防护,要求移动软件必须有防御恶意攻击的能力。

4、安全建设管理:明确企业需要做好安全建设管理,包括移动应用软件采购、移动应用软件开发、配置管理。

5、安全运维管理:明确企业需要做漏洞和风险管理,对安全管理人员加强安全培训。

因此,为保障移动应用符合等保相关要求,企业应提高移动应用安全保护能力。除严格落实等保2.0贯彻的防护思想之外,需对移动应用规划阶段、测试阶段、上线阶段及运行阶段全生命周期,建立事前检测、事中加固、事后监测评估的安全防护体系。

爱加密等保安全服务包括安全咨询服务、安全培训服务、渗透测试服务、合规测评服务以及信息安全风险评估服务。对其重要信息系统所面临的信息安全风险进行识别和定性评估,并对所有评估发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统的安全风险管理和安全保障能力。


qrcode_for_gh_0e28cef7681c_258.jpg

# 等保2.0
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者