网络安全等级保护.docx

网络安全等级保护-移动互联安全扩展要求
规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文 件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包 括所有的修改单）适用于本文件。GB17859-1999
4、2、1 安全策略和管理制度 应建立等级保护对象移动互联安全管理规 范，并纳入等级保护对象管理安全制度。
4、2、2 安全管理机构和人员
4、2、2、1 岗位设置 应将移动互联管理纳入等级保护对象管理员职责。
4、2、2、2 安全意识教育和培训 应对各类人员进行移动互联管理安全
意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。
4、2、3 安全建设管理
4、2、3、1 安全方案设计 应根据等级保护对象的安全保护等级选择移 动互联基本安全措施，依据风险分析的结果补充和调整安全措施。
4、2、3、2 产品采购和使用 应确保移动互联信息安全产品采购和使用 符合国家的有关规定。
4、2、3、3 工程实施 应指定或授权专门的部门或人员负责系统移动互 联工程实施过程的管理。
4、2、3、4 测试验收 应对系统的移动互联部分进行必要的安全性测试 验收。
4、2、3、5 系统交付 本项要求包括：
a) 应根据交付清单对所交接的移动互联设备、移动应用软件和文档等进行清 点； b)
应对负责系统移动互联运行维护的技术人员进行相应的技能培训。
4、2、3、6 服务供应商选择 本项要求包括：
a)
应确保移动互联安全服务商的选择符合国家的有关规定； b)
应与选定的移动互联安全服务商签订与安全相关的协议，明确约定相关责 任。
4、2、4
安全运维管理
4、2、4、1 设备维护管理 应对各种移动互联设备(包括无线接入设备) 维护纳入等级保护对象进行管理。
4、2、4、2 漏洞和风险管理 应采取必要的措施识别移动互联安全漏洞 和隐患，对发现的安全漏洞和隐患定期进行修补。
4、2、4、3 应用软件来源管理应保证移动终端安装、运行的应用软件来 自可靠证书签名或可靠分发渠道。
4、2、4、4 恶意代码防范管理 应对移动终端应用软件恶意代码防范要 求做出规定，包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定 期查杀等。
4、2、4、5 备份与恢复管理 本项要求包括：
a) 应识别需要定期备份的移动终端中的关键业务信息、系统数据及软件系统 等； b)
应规定备份信息的备份方式、备份频度、存储介质、保存期等。
5
第二级基本要求
5、1 技术要求
5、1、1 物理和环境安全应为无线接入设备的安装选择合理位置，避免 过度覆盖。
5、1、2 网络和通信安全
5、1、2、1 网络架构本项要求包括：a)
应保证无线接入网关的处理能力满足业务高峰期需要；b)
应保证无线接入设备的带宽满足业务高峰期需要；c)
无线接入设备应开启接入认证功能，并且禁止使用WEP方式进行认证，密钥 长度不小于8位并且由数字、字母和特殊字符两种或两种以上进行组合。
5、1、2、2 边界防护应保证有线网络与无线网络边界之间的访问和数据
流通过无线接入网关设备。
5、1、2、3 访问控制本项要求包括：a)
应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情
况下，除允许通信外，受控接口拒绝所有通信；b)
应对来自移动终端的数据流量、数据包和协议等进行检查，以允许/拒绝数 据包通过。
5、1、2、4 入侵防范本项要求包括：a)
应能够检测、记录非授权无线接入设备；b)
应能够对非授权移动终端接入的行为进行检测、记录；c)
应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击 和欺骗攻击等行为进行检测、记录；d)
应能够检测到无线接入设备的SSID 广播、WPS等高风险功能的开启状态。
5、1、2、5 通信传输 本项要求包括：
应保证无线通信过程中数据的完整性； b) 应保证无线通信过程中敏感信息字段或整个报文的保密性。
5、1、2、6 安全审计应启用设备安全审计功能，审计覆盖到每个移动终 端，对重要的终端行为和重要安全事件进行审计。
5、1、2、7 网络设备防护本项要求包括：a)
应能发现系统移动终端、无线接入设备、无线接入网关设备可能存在的漏洞， 并在经过充分测试评估后，及时修补漏洞；b)
应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID 广播、WEP 认证等；c)
应禁止多个AP使用同一个鉴别密钥。
5、1、3 设备和计算安全
5、
1、3、1
身份鉴别本项要求包括：a)
应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行 身份鉴别； b)
移动终端应具有登录