信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 第3部分 移動互聯(lián)安全擴(kuò)展要求-編制說明

任務(wù)來源信息安全等級保護(hù)制度已經(jīng)成為我國信息安全保護(hù)保障的基本制度，在全國信息安全保護(hù)工作中取得了突出的成果，被廣泛應(yīng)用于各個行業(yè)的用戶開展信息系統(tǒng)安全等級保護(hù)的建設(shè)整改、等級測評工作中。但隨著信息技術(shù)的發(fā)展，移動互聯(lián)接入、虛擬計(jì)算環(huán)境、云計(jì)算平臺應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用相繼出現(xiàn)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》已經(jīng)不能完全滿足包含新技術(shù)、新應(yīng)用的信息安全等級保護(hù)對象的需求。根據(jù)公安部的統(tǒng)一部署，于2014年3月召開信息安全等級保護(hù)系列標(biāo)準(zhǔn)編制啟動會，統(tǒng)籌包括：云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)系列標(biāo)準(zhǔn)的編制工作。《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》編制任務(wù)由北京鼎普科技股份有限公司負(fù)責(zé)牽頭。主要工作過程1）2014年3月，北京鼎普科技股份有限公司牽頭，聯(lián)合公安部第三研究所、北京工業(yè)大學(xué)、工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室成立了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》標(biāo)準(zhǔn)編制組。2）2014年3月至4月，標(biāo)準(zhǔn)編制組根據(jù)項(xiàng)目推進(jìn)組計(jì)劃調(diào)研了國際和國內(nèi)移動互聯(lián)技術(shù)現(xiàn)狀，分析并總結(jié)了移動互聯(lián)技術(shù)中的安全關(guān)注點(diǎn)和要素，同時標(biāo)準(zhǔn)編制組調(diào)研了與移動互聯(lián)技術(shù)相關(guān)的其他國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，分析了應(yīng)用移動互聯(lián)技術(shù)等級保護(hù)對象面臨的心威脅，完成了標(biāo)準(zhǔn)草案初稿。3）2014年4月11日，標(biāo)準(zhǔn)編制組組織相關(guān)專家對標(biāo)準(zhǔn)草案初稿進(jìn)行了評審，與會專家對整個標(biāo)準(zhǔn)體系和標(biāo)準(zhǔn)草案初稿提出了修改意見。會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對標(biāo)準(zhǔn)草案初稿進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第二稿。4）2014年4月至2015年1月，標(biāo)準(zhǔn)編制組繼續(xù)組織繼續(xù)針對激動互聯(lián)技術(shù)及國內(nèi)外標(biāo)準(zhǔn)、現(xiàn)狀進(jìn)行研究，并廣泛征求廠商、用戶的意見，完善標(biāo)準(zhǔn)內(nèi)容，形成標(biāo)準(zhǔn)第三稿。5）2015年1月20日，公安部十一局牽頭會同個標(biāo)準(zhǔn)編制牽頭單位召開會議，調(diào)整系列標(biāo)準(zhǔn)編制思路，將移動互聯(lián)、云計(jì)算、物聯(lián)網(wǎng)和工控系統(tǒng)應(yīng)用等新領(lǐng)域標(biāo)準(zhǔn)編制工作并入《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》修訂項(xiàng)目中，形成“基本要求”的分冊，如《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求云計(jì)算平臺技術(shù)要求》、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求移動終端技術(shù)要求》、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求工控系統(tǒng)技術(shù)要求》等，構(gòu)成GB/T22239.1、GB/T22239.2、……等基本要求系列標(biāo)準(zhǔn)。標(biāo)準(zhǔn)草案經(jīng)過修改形成第四稿。6）2015年7月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會第五工作組組織業(yè)內(nèi)專家對《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》標(biāo)準(zhǔn)草案第四稿進(jìn)行了研討，專家對標(biāo)準(zhǔn)范圍、內(nèi)容、格式等進(jìn)行了詳細(xì)討論，提出了很多寶貴意見。標(biāo)準(zhǔn)編制組根據(jù)專家意見，對標(biāo)準(zhǔn)進(jìn)行了修改形成第五稿。7）2015年12月，北京鼎普科技股份有限公司組織業(yè)內(nèi)專家對《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》標(biāo)準(zhǔn)草案第五稿再次進(jìn)行了研討，專家對標(biāo)準(zhǔn)范圍、內(nèi)容、格式等進(jìn)行了詳細(xì)討論，提出了很多寶貴意見。標(biāo)準(zhǔn)編制組根據(jù)專家意見，對標(biāo)準(zhǔn)進(jìn)行了修改形成第六稿。8）2016年4月25日，北京鼎普科技股份有限公司再次組織專家對《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》標(biāo)準(zhǔn)草案第六稿再次進(jìn)行了研討，專家對標(biāo)準(zhǔn)范圍、內(nèi)容、格式等進(jìn)行了詳細(xì)討論，提出了很多寶貴意見。標(biāo)準(zhǔn)編制組根據(jù)專家意見，對標(biāo)準(zhǔn)進(jìn)行了修改形成第七稿。10）2016年7月1日，北京鼎普科技股份有限公司再次組織專家對《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》標(biāo)準(zhǔn)草案第七稿進(jìn)行了評審。會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第八稿。11）2016年9月19日，根據(jù)《信息安全技術(shù)第1部分網(wǎng)絡(luò)安全等級保護(hù)基本要求安全通用要求》的修改更新，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》相關(guān)內(nèi)容隨之修改。12）2016年10月17日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在成都組織2016年第二次工作組會議周，WG5工作組會議上對標(biāo)準(zhǔn)進(jìn)行了評審，與會代表對標(biāo)準(zhǔn)內(nèi)容提出了修改意見，會后標(biāo)準(zhǔn)編制組對草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第九稿。13）2016年10月27日，標(biāo)準(zhǔn)編制組組織專家對《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》標(biāo)準(zhǔn)草案第九稿進(jìn)行了評審。會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)征求意見稿。標(biāo)準(zhǔn)的主要修訂內(nèi)容1）明確采用移動互聯(lián)技術(shù)等級保護(hù)對象本標(biāo)準(zhǔn)中采用移動互聯(lián)技術(shù)等級保護(hù)對象與傳統(tǒng)等級保護(hù)對象的區(qū)別在于移動終端可以通過無線方式接入網(wǎng)絡(luò)，采用移動互聯(lián)技術(shù)等級保護(hù)對象構(gòu)成所示移動終端可以遠(yuǎn)程通過運(yùn)營商基站或公共Wi-Fi接入等級保護(hù)對象，也可以在本地通過本地?zé)o線接入設(shè)備接入等級保護(hù)對象。系統(tǒng)通過移動管理系統(tǒng)的服務(wù)端軟件向客戶端軟件發(fā)送移動設(shè)備管理、移動應(yīng)用管理和移動內(nèi)容管理策略，并由客戶端軟件執(zhí)行實(shí)現(xiàn)系統(tǒng)的安全管理。2）采用移動互聯(lián)技術(shù)等級保護(hù)對象防護(hù)要素與傳統(tǒng)等級保護(hù)對象相比，采用移動互聯(lián)技術(shù)等級保護(hù)對象中突出三個關(guān)鍵要素：移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)。因此，采用移動互聯(lián)技術(shù)等級保護(hù)對象的安全防護(hù)在傳統(tǒng)等級保護(hù)對象防護(hù)的基礎(chǔ)上，主要針對移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)在物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個技術(shù)層面進(jìn)行擴(kuò)展。3）明確移動互聯(lián)技術(shù)等級保護(hù)對象的定級采用移動互聯(lián)技術(shù)的等級保護(hù)對象應(yīng)作為一個整體對象定級，移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)等要素不單獨(dú)定級，與采用移動互聯(lián)技術(shù)等級保護(hù)對象的應(yīng)用環(huán)境和應(yīng)用對象一起定級。與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。有關(guān)問題的說明項(xiàng)目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、專家評審等過程，項(xiàng)目組在工作過程中遵循編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)修訂工作。在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應(yīng)答和處理，更好地完善了我們的標(biāo)準(zhǔn)編制工作。本項(xiàng)目是對國家推薦性標(biāo)準(zhǔn)GB/T22239-2008的修訂的一部分，建議修訂后的標(biāo)準(zhǔn)還是為國家推薦性標(biāo)準(zhǔn)。廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議本標(biāo)準(zhǔn)GB/T22239.3-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》是網(wǎng)絡(luò)安全等級保護(hù)的系列標(biāo)準(zhǔn)的一部分，GB/T22239.1-XXXX到GB/T22239.6-XXXX系列標(biāo)準(zhǔn)將替代原來的GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。建議廢止GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》有關(guān)專利的說明本標(biāo)準(zhǔn)不涉及專利?！缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分：移動互聯(lián)安全擴(kuò)展要求》編制說明《信息安全技術(shù)