等级保护2.0之移动互联安全要求、设计

为什么要对《信息安全技术 网络安全等级保护基本要求》系列标准进行修改呢？还不是因为移动互联网的快速发展，导致原有的标准不适应新的要求！从这个侧面来说，等级保护2.0也是顺应时势之举。安智客今天继续等保2.0之移动互联安全学习。

首先看移动互联的保护对象，

三个关键要素：移动终端、移动应用和无线网络。因此，采用移动互联技术等级保护对象的安全防护在传统等级保护对象防护的基础上，主要针对移动终端、移动应用和无线网络在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面进行扩展。

移动互联安全扩展要求

具体细分如下所示，每一个颜色代表一个安全级别要求（依据红色的程度），比如第四级则必须满足如下所示全部要求。

（点击放大查看高清图片）

可以看到第三、四基本要求项基本一致，区别在于每一个细分项目的具体要求不同。举例来说，对于等级三中对于通信传输要求：

a) 应采用密码技术保证无线通信过程中数据的完整性；

b) 应采用密码技术保证无线通信过程中敏感信息字段或整个报文的保密性。

在等级四中，则是要求使用国密。

a) 应采用国产密码技术保证无线通信过程中数据的完整性；

b) 应采用国产密码技术保证无线通信过程中敏感信息字段或整个报文的保密性。

移动互联技术的信息系统的扩展设计要求

移动互联系统和传统信息系统的主要区别在于：移动互联系统采用移动互联技术，以移动应用为主要发布形式，用户通过移动终端，采用无线接入的方式访问业务系统。在对移动互联系统进行等级保护安全防护体系设计时，应结合系统自身业务需求，遵循如下原则对移动互联系统进行安全区域划分，形成纵深防御的安全防护架构。

可将移动互联系统安全保护环境划分为安全计算环境、安全区域边界和安全通信网络三部分组成，其中安全计算环境由远程接入域、DMZ域和核心业务域三个安全域组成，安全区域边界由移动互联系统区域边界、核心业务区移动终端区域边界、核心业务区计算终端区域边界、核心业务区服务器区域边界、DMZ区域边界组成，安全通信网络由移动运营商或用户自己搭建的无线网络组成。具体细分如下所示，每一个颜色代表一个安全级别设计要求（依据红色的程度），比如第四级则必须满足如下所示全部设计要求。

（点击放大查看高清图片）

依据上述设计方法，形成的安全保护环境如下

核心业务域是移动互联应用的核心区域，该区域由移动终端、传统计算终端和服务器构成，完成对移动互联应用业务的处理、维护等。核心业务域应重点保障该域内服务器、计算终端和移动终端的操作系统安全、应用安全、网络通信安全、设备接入安全。

DMZ域是移动互联系统的对外服务区域，部署对外服务的服务器及应用，如Web服务器、数据库服务器等，该区域和互联网相联，来自互联网的访问请求必须经过该区域中转才能访问核心业务域。DMZ域应重点保障服务器操作系统及应用安全。

远程接入域由移动互联系统运营使用单位可控的，通过V**等技术手段远程接入移动互联系统运营使用单位网络的移动终端组成，完成远程办公、应用系统管控等业务。远程接入域应重点保障远程移动终端自身运行安全、接入移动互联应用系统安全和通信网络安全。