标准规范下载简介
GB/Z 41290-2022 信息安全技术 移动互联网安全审计指南.pdfICS35.030 CCS L 80
GB/Z 41290—2022
GB/Z412902022
范围 规范性引用文件 术语和定义 缩略语 审计活动 5.1 概述 5.2 安全审计域 5.3 角色职责 5.4 审计范围 5.5 审计内容 5.6 活动框架 活动功能 6.1 安全指南 6.2 安全审计策略定制 6.3 安全审计跟踪 6.4 安全审计记录 6.5 安全审计存储 6.6 安全审计分析 6.7 安全审计代理 6.8 安全审计响应 6.9 安全审计记录归档 6.10 审计报告生成 6.11 安全审计查阅 附录A(资料性) 移动互联网安全审计流程 参考文献
路口顶管专项施工方案GB/Z412902022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京交通大学、北京思福迪信息技术有限公司、北京信息科技大学、中国信息通信 科技集团有限公司、浪潮软件科技有限公司、中国网络安全审查技术与认证中心、中兴通讯股份有限公 司、联想(北京)有限公司。 本文件的主要起草人:刘云、张振江、司夏萌、曾剑隽、韩晓露、张尧臣、吴迪、沈波、赵颖斯、熊菲、 王建伟、钟宏、李汝鑫。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起章草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京交通大学、北京思福迪信息技术有限公司、北京信息科技大学、中国信息通信 科技集团有限公司、浪潮软件科技有限公司、中国网络安全审查技术与认证中心、中兴通讯股份有限公 司、联想(北京)有限公司。 本文件的主要起草人:刘云、张振江、司夏萌、曾剑隽、韩晓露、张尧臣、吴迪、沈波、赵颖斯、熊菲 王建伟、钟宏、李汝鑫。
GB/Z412902022
本文件提供了移动互联网安全审计活动角色职责、审计范围、审计内容等方面的指导和建议,给出 了安全审计活动的框架、功能任务及其具体内容等信息。 本文件适用于移动互联网安全审计的相关活动
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T17143.6一1997信息技术开放系统互连系统管理第6部分:日志控制功能 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T18336.2一2015信息技术安全技术信息技术安全评估准则第2部分:安全功能组件 GB/T25069信息安全技术术语 GB/T35281一2017信息安全技术移动互联网应用服务器安全技术要求
GB/Z412902022
注:不当使用或未经授权被人修改该数据会使审计者的利
下列缩略语适用于本文件, FTP:文件传输协议(FileTransferProtocol) ID:标识(Identification) P2P:点对点(PeertoPeer) URL Scheme:统一资源定位符体系(Uniform ResourceLocation Scheme)
移动互联网安全审计是企业对游走于安全审计域内外的移动终端的安全相关行为进行审计的活 动,目的是保护私有数据、防范违规行为。移动互联网安全审计活动范围涉及整个移动互联网,是多个 面、多种信息安全技术手段的综合运用,包含终端、网络、应用三个方面的安全,各分为设备/环境安 全、业务应用安全、信息安全三层。重点包括安全审计域内移动终端访问内部数据的行为、安全审计域 内移动终端访问外部网络的行为、安全审计域外输出私有数据等行为 移动互联网安全审计架构基于“分布式采集、集中式管理”的思想,在不改变现有内部网络结构和配 置、不影响网络运行效率的前提下,实现安全审计域内外的事中和事后审计。 移动互联网安全审计服务无法对应于某一种安全服务,需综合使用其他安全服务来支持安全审计 舌动。
安全审计域的范围在保密域外,小于或等于无线局域网的范围。进人安全审计域时,移动终端用户 可选择是否接受审计。只有接受审计且遵守安全审计策略定义的审计规则,才可接入安全审计域。安 全审计域内审计包含一般行为事中审计、私有数据在线操作事中审计、私有数据本地操作事中审计和私 有数据域外操作事后备案;安全审计域外审计主要是私有数据在线操作事中审计和私有数据本地操作 记录。 当移动终端在安全审计域内时,宜分为以下几种情况: a)用户在审计规则范围内的行为可从移动应用直接通过审计跟踪实时提交给安全审计中心进行 事中审计,审计中心将审计结果返回给审计跟踪,如果通过继续执行,如果不通过中断执行并 报警; b 当移动终端要下载私有数据时,需先安装安全审计代理,否则拒绝下载; c) 当在线操作私有数据时,通过审计跟踪实时提交给安全审计中心进行事中审计,由安全审计中 心判断行为的合法性; d) 当本地操作私有数据时,审计代理对该操作进行审计、判断是否合法,如果合法允许操作继续 执行,如果不合法中断对私有数据的本地操作,并上报安全审计中心; e 安全审计域外的私有数据相关的审计记录在移动终端进人安全域后第一时间通过审计跟踪上 传给安全审计中心备案。 当移动终端在安全审计域外时,移动应用的行为不需安全审计,只有安全审计主体的私有数据相关
GB/Z412902022
操作需要安全审计。安全审计代理负责私有数据在线操作和本地操作的实时审计,如果合法允许继续 执行,否则予以阻断。同时,所有审计记录需存储,直至到审计域内上传至安全审计中心后方可删除
安全审计活动涉及安全审计主体和安全审计客体。安全审计主体是安全审计域的管理者,负责定 义满足实际安全审计需要的安全审计策略并执行安全审计,包括审计者、系统管理员、安全管理员、审计 管理员等角色。安全审计客体是安全审计管理范围内的被管理者,包括移动互联网各层设备、移动终 端、移动应用程序。
审计者是移动互联网的所有者、构建者 其职责宜包括: 划定安全审计域; b) 制定安全审计目标; c) 搭建安全审计平台; 行政审批各级管理员用户的权限范围: e) 行政管理超级管理员和管理员; f) 行政管理被审计者
系统管理员负责系统安装、管理和日常维护,是移动互联网安全审计平台的责任人。其职责宜 包: a) 安全审计平台设备和系统安装、升级和日常维护; b) 根据划定的安全审计域部署和升级审计跟踪 增删用户账号,包括安全管理员和审计管理员账号; d)安全审计平台数据的备份恢复
负责安全审计平台配置的设置和管理。其职责宜包括: a) 根据安全审计目标配置安全审计策略; b) 为用户分配相应权限,并激活账号; C) 用户信息变更和权限调整; 注销账号; e) 查看安全审计平台日志
被审计者是安全审计域内接受审计者安全审计的移动终端使用者和责任方。其职责宜包括: a 进入安全审计域时进行身份认证; b) 保障移动终端自身的安全; 服从审计者制定的安全审计相关规定; d)遵守安全管理员制定的安全审计策略
移动互联网安全审计对象的范围(即被审计者的范围)是安全审计域内接受审计者安全审计的移动 终端使用者和责任方。 移动互联网安全审计数据源的范围是整个互联网。 移动互联网安全审计包括的场景需考虑安全审计域内的一般行为审计、私有数据在线操作审计、私 有数据本地操作审计和私有数据域外操作备案,以及安全审计域外的私有数据在线操作审计和私有数 据本地操作记录。
全审计的内容宜包括安全审计域内的用户行为、
基于保密性、完整性、可靠性、可追溯性的安全原则,安全审计活动的任务宜包含安全审计策略定 制、安全审计跟踪、安全审计记录、安全审计代理、安全审计存储、安全审计分析、安全审计响应、安全审 计记录归档、审计报告生成和安全审计查阅。移动互联网安全审计活动的流程详见附录A。
在接收安全审计消息和安全报警时宜采用数据源鉴别以确认消息来源。安全审计消息的目的方 (如审计记录)可以此拒绝未知来源的消息 可以此拒绝未知来源的报警指令
在存储、传送、查询安全审计记录信息时宜使用访问控制服务,防止安全审计存储的未授权访问。
在存储、传送、查询安全审计记录信息时宜使用访间控制服务,防止安全审计存储的未授权访问
过下载到移动终端的私有数据需要进行访问控制
GB/Z412902022
在传送安全审计任务、选定 消息保密性。安全审计存储和安 技术,保护被审计者的隐私信 息。使用的密码算法及密码产
在接收安全审计任务、选定的安全审计记录集、安全审计消息及安全报警时宜采用数学摘要识别未 授权修改,加强消息传输过程中的完整性
6.2安全审计策略定制
根据审计数据源、内容的不同,审计跟踪分为行为审计、流量审计、目志审计、移动应用审计。
行为审计均是实时 录。一旦发现不良上网行为,立即阻止并报警。宜包括但不局限于网页浏览审计、邮件收发审计、远程 登录审计、文件传输(FTP审计、P2P审计、音视频审计、网络聊天审计、网络游戏审计、交易行为审计及 其他行为审计
流量审计能按照不同的协议收集各种审计客体的协议流量数据并统计分析。特殊地乌兰察布民用机场航站楼工程雨季施工方案,对于基于协 议识别的流量分析功能,宜包括以下功能: a)能审计安全审计域中各种审计客体、各种协议、各种报文的流量; b)支持对任意时间段内的移动终端进行流量排名; c)支持对移动终端的综合流量分析。
6.3.5移动应用审讯
宜采用数据流跟踪、特征分析等方法检测移动应用的安全漏洞、编码隐惠等,包括移动应用程序安 全、应用数据安全、业务逻辑安全、系统环境安全、集成插件安全等。宜包括以下内容: a) 审计是否支持自签名证书; b) 审计是否存在URLScheme漏洞 C 审计是否访问地址薄; d) 审计是否输出移动终端应用安装列表; e 审计是否使用定位服务; f 审计是否存在不安全的文件存储; g) 审计是否采用明文传输; h) 应用是否可修改,检查应用是否会自检测完整性; i) 应用存档是否可替换,防止用安全性差的低版本替代高版本; ) 封包是否可修改; 封包是否可重放
GB/Z412902022
移动终端ID是移动终端首次进入审计域中时,由安全审计中心统一分发,具有唯一性,是移动终端 的唯一标识, 宜按照GB/T17143.6一1997中确立的规程组织审计记录
DB31/T 1145-2019标准下载6.9安全审计记录归档