等保2.0时代,企业如何开展移动互联安全合规建设

根据《网络安全法》规定“国家实行网络安全等级保护制度”。等级保护作为我国在网络安全方面的基本制度将长期实行下去。等级保护2.0时代,行业单位未落实网络安全等级保护义务将有可能面临被有关部门责令整改、行政处罚、暂停注册、暂停运营的风险。

据统计,全国网信系统2018年全年依法约谈网站1497家,对738家网站给予警告,暂停更新网站297家,会同电信主管部门取消违法网站许可或备案、关闭违法网站6417家。对于未能按要求完成等保工作的企业,踩雷后不仅要处罚企业,对于网络运营者也要进行相应的处罚。对于各类违规的APP、公众号等自媒体平台,情节严重者处以停止更新、下架、关停APP或账号等。

在2018年网络安全执法检查中,执法单位在约谈、处罚企业时,所依据的法律条款,大多出自于《网络安全法》中的网络安全等级保护制度。对于企业来说,想要避免踩雷就必须满足合规要求,首先要做的就是完成等保相关工作。

等保2.0之移动互联安全扩展要求解读

移动互联网在迅速发展带来的网络安全问题日益突出,等保技术体系的一个重要课题,便是如何对采用移动互联技术的等级保护对象进行定级和有效防护,《网络安全等级保护基本要求——移动互联安全扩展要求》明确描述了从技术要求和管理要求两个维度。

移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求,与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。以一个三级移动互联系统为例,既要满足三级的安全通用要求,同时满足三级的移动互联安全扩展要求。例如:移动互联系统的应用后台部署在云端,还需满足云上系统的要求。

移动互联部分通常由移动终端、移动应用和无线网络三部分组成。移动性和便捷性是采用移动互联技术等级保护的企业与传统等级保护企业的最大区别,移动终端可以通过无线方式接入网络,移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护企业,也可以通过本地无线接入设备接入等级保护企业。与传统信息系统相比,采用移动互联技术的系统将面对更大的攻击面。因此,对移动互联环境主要增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面要求。

一站式等保服务,助力移动互联安全合规建设

等级保护建设整改过程中,会涉及到四个不同的角色,分别是:建设单位、公安机关、建设服务商、测评机构。为助力企业顺利完成等保建设,几维安全针对采用移动互联技术的等保企业提供一站式等保服务,具体工作实施流程如下:

工作实施流程

几维安全提供的一站式等保服务,从等保定级咨询到建设整改再到安全运维管理,全流程跟踪和支持项目,帮助企业快速完成移动互联安全合规建设工作。其具有明显优势:

  • 安全保障:提供应用风险报告和加固方案列表,为安全提供数据支撑
  • 持续跟踪:提供项目进度表,时刻掌握过检状态
  • 定制化服务:根据不同客户需求,制定合理灵活的套餐服务,提高测评效率
  • 贴合等保2.0要求:等保2.0定制化方案,全面解决APP安全问题

等保2.0既是国家安全部署要求,也是市场发展客户安全保障的刚需,开展网络安全等级保护是未来用户合规运营的必经之路。几维安全将持续关注等级保护2.0的相关法规标准、市场动态,助力企业完成等保建设工作。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券