《信息安全技术 移动互联网安全审计指南-标准文本.doc》由会员分享,可在线阅读,更多相关《信息安全技术 移动互联网安全审计指南-标准文本.doc(22页珍藏版)》请在金锄头文库上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术移动互联网安全审计产品技术要求Information security technology-Technical requirements for mobile internet security audit productsXXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目 次前 言3引 言41 范围52 规范性引用文件53 术语和定义54 缩略语75 移动互联网安全审计体系75.1 移动互联网安全审计体系架构75.2 功能框架95.3 安全审计模型126 功能要
2、求146.1 综述146.2 安全要求146.3 审计策略定制156.4 审计跟踪156.5 审计记录176.6 审计存储176.7 审计分析176.8 审计代理186.9 审计响应186.10 审计记录归档196.11 审计报告生成196.12 审计查阅19参考文献20附录A(资料性附录) 移动互联网安全审计中的角色和职责21前 言 本标准定义了移动互联网安全审计的概念,明确了移动互联网安全审计的目的,规定了移动互联网安全审计的体系结构、网络架构、功能框架和一般模型,并对移动互联网应用安全审计平台及满足安全审计要求的移动终端的功能进行要求。移动互联网安全审计的目的包括:辅助识别和分析移动互联
3、网审计范围内未经授权的行为或攻击;帮助确保将安全事件归结到为其负责的实体上;确保审计范围内的事件符合既定的安全策略;报告那些可能使移动互联网管理产生漏洞或缺陷的信息;识别对安全审计策略、处理程序的变更;解决移动终端移动性和网络接入多样性的问题带来的安全弊端及审计漏洞。本标准的目的包括:为移动互联网安全审计平台的设计与实现提供参考;为满足安全审计要求的移动终端的开发提供参考;为安全审计相关产品的评估和使用提供参考。本标准由全国信息安全标准化技术委员会提出并归口。GB20945-2013仅对传统网络安全审计产品进行了规范,故与GB20945-2013并不冲突,而是作为其补充要求。本标准起草单位:北
4、京交通大学、思福迪信息技术有限公司、浪潮通信信息系统有限公司、中国信息安全认证中心、中兴通讯股份有限公司、联想(北京)有限公司。本标准的主要起草人:刘云、张振江、司夏萌、曾剑隽、张尧臣、吴迪、沈波、熊菲、王建伟、钟宏,李汝鑫。引 言区别于传统互联网,移动互联网具有开放性、无中心性,其终端具有可移动性。移动互联网安全审计技术用于监控移动互联网安全审计域内移动终端访问内部数据和外部网络以及移至安全审计域外输出私有数据等行为,为移动互联网安全事故处理提供依据,为移动互联网犯罪行为及泄密行为提供取证基础。同时,移动互联网安全审计技术可以有效地实现对内网的安全监督,对于防范内部移动终端攻击和滥用网络具有
5、重要作用。本标准的主要目标读者是消费者、开发者、评估者。信息安全技术 移动互联网安全审计产品技术要求1 范围本标准规定了移动互联网安全审计的技术要求,主要针对移动互联网安全审计域中各种事件审计的相关技术进行要求,包括:移动互联网安全审计体系结构、网络架构、功能框架和基本流程,并对移动互联网应用安全审计平台及满足要求的移动终端的功能进行要求。本标准适用于安全审计产品评测机构、应用审计产品与服务提供商等评估主体对移动互联网安全审计平台和移动终端进行评估,也可用于指导移动互联网安全审计平台及移动终端的研制和开发。用户可以使用评估结果来帮助决定安全审计平台是否满足安全审计的需求。2 规范性引用文件下列
6、文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2010 信息安全技术 术语GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则第二部分:安全功能要求GB/T 18794.7-2003 信息技术 开放系统互连 开放系统安全框架 第7部分:安全审计和报警框架GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求GB/T 20945-2013 信息安全技术 信息系统安全
7、审计产品技术要求和测试评价方法3 术语和定义GB 17859-1999、GB/T 25069-2010 和GB/T 18336.1-2008界定的及以下术语和定义适用于本文件。3.1移动互联网安全 mobile internet security移动互联网及其所存储、传输和处理的信息的保密性、完整性和可用性的表征。3.2安全审计 security audit对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作。3.3安全审计域 security audit domain在信息系统和网络中,单一安全审计策略下运行的实体的汇集,即安全审计管理者负责审计的管理范围。
8、其范围小于等于管理域,且应在保密域外。进入安全审计域的用户应遵守安全审计策略定义的审计规则,服从审计。否则,不予接入。3.4移动互联网安全审计 mobile internet security audit对移动互联网安全审计域内的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的响应动作。3.5安全审计代理 security audit agent移动终端内负责审计私有数据的模块。3.6安全审计主体 security audit subject安全审计域的管理者,负责定义满足实际安全审计需要的安全审计策略并执行安全审计,包括审计者、系统管理员、安全管理员、审计管理员等角色。具
9、体的角色和职责划分参见附录A。3.7安全审计客体 managed object在安全审计管理范围内的被管理者,本标准中指移动终端。3.8安全审计消息 security audit message一个功能模块发送给另一功能模块的单次报文。3.9安全审计信息 security audit information安全审计存储中保存的格式化后的安全审计消息的集合。3.10安全审计项目 security audit target审计信息源,包括行为、日志、流量、移动应用等项目。3.11私有数据 private data指安全审计主体私自享有的数据,不当使用或未经授权被人修改该数据会使审计者的利益受损。该
10、数据被移动终端从安全审计域下载至本地时应控制知悉范围,并被安全审计中心打上私有标记,受安全审计代理监控审计。3.12责任方 responsible party指在安全审计过程中对安全审计客体负责的人员。责任方与安全审计客体(即移动终端)是一对多的关系,在进入安全审计域前应在安全审计中心处注册备案。4 缩略语下列缩略语适用于本文件。MAM 移动应用管理 (Mobile Application Management)MDM 移动设备管理 (Mobile Device Management)WLAN 无线局域网 (Wireless Local Area Networks)AP 无线接入点 (Acce
11、ss Point)APP 移动应用 (Mobile Application)GGSN 网关GPRS支持节点 (Gateway GPRS Support Node) FTP 文件传输协议 (File Transfer Protocol)P2P 对等计算 (Peer to Peer )5 移动互联网安全审计体系5.1 移动互联网安全审计体系架构5.1.1 体系结构移动互联网安全审计架构基于“分布式采集、集中式管理”的思想,在不改变现有内部网络结构和配置、不影响网络运行效率的前提下,实现跨网络的安全审计机制。物理上可划分为安全审计中心、安全审计跟踪器和安全审计代理三部分。 安全审计中心收集所有审计跟
12、踪器上报的实时和非实时的审计事件,负责安全审计域内所有事件的实时审计,对审计事件分析、统计、存储,完成实时审计事件的响应并发出审计指令,同时还应提供审计主体定制审计策略的入口。安全审计中心宜具备对复杂记录的深度挖掘和智能分析能力。当移动终端请求将安全审计域内的私有数据下载至终端侧时,安全审计中心应通过安全审计跟踪器向移动终端下发审计代理安装指令,并对要下载的私有数据进行标记。如移动终端拒绝下载安装审计代理,安全审计中心应拒绝其数据下载请求。安全审计跟踪器以旁路方式部署在安全审计域服务器内网入口处,负责安全审计域内审计数据的收集、简单分析、上报和执行响应,应具备完整、连续的活动采集能力。对于无线
13、局域网,安全审计域服务器内网入口处对应无线路由器;对于移动通信网,安全审计域服务器内网入口处对应基站。安全审计代理安装在移动终端内,负责移动终端在安全审计域外时对终端内部私有数据相关访问操作的离线实时审计、响应和记录,以及移动终端回到安全审计域内时域外审计记录的在线上报和私有数据离线访问操作审计。只有当移动终端下载了安全审计域的私有数据时才会安装安全审计代理。当移动终端回归安全审计域内时,安全审计代理将私有数据在线访问操作审计权限交还给安全审计中心,只负责私有数据离线访问操作审计。应包括安全审计域内审计和安全审计域外审计,其中安全审计域内审计包含一般行为事中审计、私有数据在线操作事中审计、私有
14、数据离线操作事中审计和私有数据域外操作事后备案,安全审计域外审计主要是私有数据在线操作事中审计和私有数据离线操作记录。体系结构如图1所示。图1 移动互联网安全审计体系结构图 当移动终端在安全审计域内时,用户在审计规则范围内的行为宜从移动APP直接通过审计跟踪器实时提交给安全审计中心进行事中审计,审计中心将审计结果返回给审计跟踪器,如果通过继续执行,如果不通过中断执行并告警。在安全审计域内时,如果移动终端要下载私有数据应先安装安全审计代理,否则拒绝下载。对于私有数据,当行为是在线行为时应通过审计跟踪器实时提交给安全审计中心进行事中审计,由安全审计中心判断行为的合法性;当离线操作时审计代理对该操作进行审计、判断是否合法,如果合法允许操作继续执行,如果不合法中断操作并上报安全审计中心;另外,在安全审计域外的私有数据相关的审计记录应在移动终端进入安全域后第一时间通过审计跟踪器上传给安全审计中心备案。当移动终端在安全审计域外时,移动APP的行为不需安全审计,只有安全审计主体的私有数据相关操作需要安全审计。安全审计代理负责私有数据在线操作和离线
