数字经济下,企业的生态核心是应用为核心。随着移动互联网的发展,移动应用已渗透各行各业,与工作、生活息息相关。工信部发布的数据显示,截至2018年8月底,我国市场上监测到的移动应用App为426万款,仅8月份,我国第三方应用商店与苹果应用商店新上架移动应用就达12.7万款。移动终端安全问题逐渐成为用户关注的焦点。
当前,网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。对重要基础设施重要系统以及“云、物、移、大、工”纳入等保监管,将互联网企业纳入等级保护管理,并在《网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》中针对移动互联安全进行详细描述,其中专门对移动终端相关安全内容进行描述。
网络安全等保2.0 时代已到来
国家等级保护认证是中国最权威的信息产品安全等级资格认证,且等保1.0的核心法律依据《管理办法》为规章,其制定的主要法律依据《计算机信息系统安全保护条例》为行政法规;而等保2.0的核心法律依据中的《网络安全法》和《网络安全等级保护条例》,等保2.0时代的到来预示着网络安全保障已不止是市场需求,更上升到国家法律层面。
等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。
根据等级保护相关管理文件,信息系统的安全保护等级分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
相关行业也陆续出台了定级指南,如:
1、金融行业
《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)
2、电力行业
《关于印发〈电力行业信息系统等级保护定级工作指导意见〉的通知》(电监信息〔2007〕44 号)
3、交通
《JT/T904—2014交通运输行业信息系统安全等级保护定级指南》
4、教育
《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函 [2014]74 号)
移动互联等级保护安全部署迫在眉睫
等级保护2.0之移动互联安全移动互联网的迅猛发展带来的网络安全问题日益突出,如何对采用移动互联技术的等级保护对象进行定级和有效防护,是等保技术体系下一个重要课题,在《网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》中也从技术要求和管理要求两个维度进行了明确的描述。
该部分等级保护总体思想是将保护对象作为一个整体考虑其安全防护要点,“纵深防御、分层防护”的总体策略贯穿始终。采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。
与传统等级保护对象相比,移动互联安全扩展要求是针对采用移动互联技术的等级保护对象其移动互联部分提出的特殊保护要求,其与传统等级保护对象的主要区别在于移动性和便捷性。移动终端可以通过无线方式接入网络,移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护对象,也可以通过本地无线接入设备接入等级保护对象。与传统信息系统相比,采用移动互联技术的系统所面对的攻击面更大,且由于移动终端的便携性更容易丢失,并造成信息泄露数据丢失等。
因此,采用移动互联技术等级保护对象中突出3个关键要素:移动终端、移动应用和无线网络。因此安全防护技术要求在传统等级保护的基础上,重点针对移动终端、移动应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面进行扩展,并以一系列管理要求进行联合。
以第四级安全要求为例:
(1)在网络和通信安全中针对 “入侵防范”要求包括:
① 应能够检测、记录、定位非授权无线接入设备;
② 应能够对非授权移动终端接入的行为进行检测、记录、定位并阻断;
③ 应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位;
④ 应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态。
(2)在设备和计算安全中针对 “恶意代码防范”要求包括:
① 应安装防恶意代码软件,并定期进行恶意代码扫描,及时更新防恶意代码软件版本和恶意代码库;
② 应支持移动业务应用软件仅运行在安全容器内,防止被恶意代码攻击。
(3)在安全运维管理中针对 “漏洞和风险管理”要求包括:
应采取必要的措施识别移动互联网安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
等级保护2.0具体实施策略分析
根据前期的深入研究和针对技术要求分析,几维安全提出可从事前加固、事中监测、事发响应、事后评估形成RMRE闭环安全防护体系,并研发形成一系列产品,结合不同行业、不同场景特征及需求,以单产品、产品组合或一体化产品体系构建等多种方式进行安全加固。
金融业为例,国家互金专委会曾在报告中指出,互联网金融是金融与互联网技术相融合的领域,信息流的安全性是互联网金融发展的基础和保障。互联网金融信息系统在运行过程中一旦发生数据泄露、盗取等事件,会对双方造成巨大损失。网贷信息系统等保测评趋严是行业规范化发展的时代要求。
目前,大多数互联网金融平台获得的以第二级认证为主,信息安全等保三级备案是国家对非银行金融机构的最高级认证,属于“监管保护级”。据公开数据显示,截至2018年3月底,网贷行业正常运营平台数量降至1700余家,其中通过信息系统安全等保三级备案认证的平台仅为175家。对于P2P网贷平台来说,能够获得等保三级不仅是对用户资金安全负责,也在一定程度上彰显了平台实力。
根据对金融行业特征和风险隐患分析发现,该行业主要风险隐患包括:
(1)用户信息泄漏
攻击者非法窃取用户信息、交易记录等,进行精准诈骗和恶意营销。
(2)感染病毒、木马
用户安全意识低,App运行设备易感染病毒、木马,造成用户信息泄漏、资金丢失。
(3)算法密钥泄漏
算法密钥保护强度弱,存在泄漏风险,进一步造成本地数据和网络数据泄漏问题。
(4)核心模块破解
核心代码保护方案不完整,难以对抗高技术的黑产组织,造成企业资产损失。
基于金融行业移动互联网安全需求特征,几维安全以原创的KiwiVM源码虚拟化保护技术进行多维度防护、加固。如,围绕APP全生命周期进行分阶段加固技术研发和产品部署。
结 语
国家网络安全等级保护制度实施十年来,已经成为了国家的网络安全基本制度、基本国策,为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的信息安全问题,国家对网络安全等级保护制度提出了新的要求,网络安全等级保护制度也进入2.0时代。顺应时代发展实施网络安全等级保护,不只是国家的制度要求,也是塑造企业品牌、共建可信移动互联网生态环境的有力抓手。