等保2.0之移动互联安全
来源: | 作者:久信股份 | 发布时间: 2024-09-18 | 136 次浏览 | 分享到:

等保2.0之移动互联安全

 

摘要:随着移动互联网的迅猛发展,移动互联安全问题日益凸显。等保2.0针对移动互联的特点,提出了一系列安全要求和测评指标。本文仅解读等保2.0中移动互联安全的扩展指标(安全通用指标参照一般系统进行测评),分析其重要性、具体内容、测评解读,旨在为提升移动互联安全水平提供理论支持和实践指导。

 

一、引言

在当今数字化时代,移动互联网已经深入人们生活和工作的各个方面。智能手机、平板电脑等移动设备成为人们获取信息、进行社交、开展商务活动的重要工具。然而,移动互联的快速发展也带来了诸多安全风险,如恶意软件攻击、数据泄露、网络诈骗等。为了保障移动互联的安全,等保2.0对移动互联系统的安全配置及防护措施进行了明确要求,为移动互联系统的安全建设提供有效的指导。

二、等保2.0中移动互联安全的重要性

(一)保护用户隐私和数据安全

移动互联设备中存储了大量用户的个人信息和敏感数据,如通讯录、短信、照片、银行卡信息等。如果这些数据遭到泄露或被恶意利用,将给用户带来严重的损失。通过等保2.0中的移动终端管控、移动应用管控等指标,可以及时发现和修复安全漏洞,保护用户的隐私和数据安全。

(二)保障企业业务安全

对于企业来说,移动互联已经成为开展业务的重要手段。企业的移动应用和移动办公系统中存储着企业的商业机密和客户信息。如果这些系统遭到攻击,将给企业带来巨大的经济损失和声誉损害。等保2.0中的移动应用开发、配置管理等指标,可以帮助企业提高移动业务的安全性,保障企业的业务安全。

(三)促进移动互联产业的健康发展

移动互联安全是移动互联产业发展的基础。如果移动互联安全问题得不到有效解决,将影响用户对移动互联的信任度,阻碍移动互联产业的发展。等保2.0中的移动互联安全可以规范移动互联市场,提高移动互联产品和服务的安全性,促进移动互联产业的健康发展。

三、等保2.0中移动互联安全扩展指标(三级)测评解读

(一)安全物理环境

1.感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动。

测评解读:

1)选择抗震、抗压的感知节点设备,选择具有防护等级(如IP65或更高)的设备;

2)将感知节点设备安装在相对稳定、不易受到物理冲击的区域;

3)或者在设备周围增加防护装置,如防震垫、防撞护栏等。

2.感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域)。

测评解读:

1)根据感知节点设备的测量对象,合理选择安装位置;

2)增加环境调控措施,如在阳光直射的区域增加遮阳装置,或在湿度较大的区域增加防潮设施。

3.感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响。

测评解读:

1)选择适合设备所在环境的感知节点,确保设备能够在特定环境条件下正常工作;

2)定期检查设备工作状态,确保设备在环境变化时仍能正常运作,及时排查和处理潜在的环境影响。

4.关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)。

测评解读:

1)为关键感知节点和网关设备配置不间断电源(UPS),确保在停电时设备仍能工作,对于野外感知节点,可以配备太阳能电池板或风能发电装置等,提供长时间电力供应;

2)采用高容量电池并结合低功耗设计,定期更换或充电,保证设备长期运行;

3)增加备用电源系统,例如备用发电机或电池组,当主电源失效时,自动切换到备用电源。

(二)安全区域边界

1. 应保证只有授权的感知节点可以接入。

测评解读:

1)通过唯一的设备标识(如MAC地址、设备证书)进行设备认证,只有经过认证的感知节点才允许接入网络。常用的认证方式包括基于证书的认证(如TLS/SSL)、基于密钥的认证或基于设备指纹的认证等;

2)在网关或网络设备上设置访问控制列表,只有在ACL中列出的感知节点IP地址或MAC地址能够接入网络;

3)通过使用动态密钥管理系统接入网络,定期更新感知节点的访问密钥,防止密钥泄露或被窃取。

2.应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为。

测评解读:

1)在感知节点上配置通信白名单,只允许感知节点与特定的目标地址通信,任何不在白名单中的地址都会被阻止通信请求;

2)在网络层面部署防火墙策略,限制感知节点只能与特定的IP地址或域名通信,阻止其访问任何其他地址;

3)在感知节点的应用层中添加访问控制逻辑,只允许向特定服务器或服务发送数据,防止感知节点被恶意程序利用而向不明地址发送信息。

3.应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

测评解读:

1)在网关节点配置通信白名单,限制网关节点只能与指定的服务器或其他网关通信,任何不在白名单中的地址将无法与网关进行通信;

2)部署入侵检测与防御系统(IDSIPS),监控网关节点的网络活动,识别并阻止其与可疑或未知目标地址的通信;

3)通过网络分段(如VLAN、子网分割)将网关节点与其他网络设备隔离开来,限制网关节点只能与特定子网中的设备通信,从而减少攻击面。

(三)安全计算环境之感知节点设备安全

1. 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更。

测评解读:

1)配置感知节点设备时,要求用户进行强身份验证,如使用用户名和密码、双因素认证(2FA)或基于证书的身份验证。只有通过验证的用户才能对设备进行配置或变更;

2)通过基于角色的访问控制(RBAC),对不同级别的用户赋予不同的权限,普通用户只能查看设备状态,而管理员可以执行配置或变更操作;

3)所有配置和变更操作应通过加密的通信通道(如HTTPSSSH)进行,防止在传输过程中被拦截或篡改;

4)启用审计日志功能,记录所有对设备进行配置或变更的操作,确保操作可以被追溯和审查。

2. 应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力。

测评解读:

1)在网关节点设备与感知节点设备建立连接前,感知节点设备应对网关节点设备的身份进行验证,可以通过设备证书、密钥或设备指纹进行身份鉴别;

2)感知节点与网关节点设备之间的连接应采用双向认证机制,确保双方身份的真实性。常用的方法包括使用TLS/SSL协议,通过证书来相互验证身份;

使用安全的认证协议(如EAP-TLS802.1X),确保网关节点设备的身份在接入网络时得到验证,只有合法认证的设备才能连接。

3. 应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力。

测评解读:

1)在网络中配置感知节点之间的互相认证机制;例如,当一个感知节点尝试连接到另一个感知节点(包括路由节点)时,双方都需要验证对方的身份,这可以通过设备证书、共享密钥或信任列表来实现;

2)通过建立信任链(例如,中央认证机构颁发的证书),确保所有的感知节点设备在网络中都是经过认证和可信的,只有在验证了信任链的情况下,节点之间的通信才会被允许;

3)在节点之间建立通信时,使用动态密钥协商协议(如Diffie-Hellman协议)生成临时加密密钥,确保通信过程中的数据安全,同时确认节点身份。

(四)安全计算环境之网关节点设备安全

1. 应设置最大并发连接数。

测评解读:

1)连接池管理:通过设置连接池来限制最大并发连接数。连接池管理器可以根据预定义的最大连接数限制新连接的建立,超过上限的连接请求将被拒绝或排队等待;

2)系统资源监控:结合系统资源监控工具,实时监控并发连接数,确保系统在高负载下仍能稳定运行,当并发连接数接近上限时,系统可以自动启动负载均衡机制或触发预警;

3)限流策略:实现限流(Rate Limiting)策略,对进入系统的连接请求进行速率限制,防止某些节点或用户过度占用连接资源。

2. 应具备对合法连接设备包括终端节点、路由节点、数据处理中心进行标识和鉴别的能力。

测评解读:

1)设备身份验证:在设备接入网络时,通过设备证书、共享密钥、或设备指纹进行身份验证,确保只有经过认证的设备能够连接;

2)认证服务器:部署中央认证服务器,所有设备在连接时必须向认证服务器注册并验证其身份。认证服务器可以使用证书颁发机构(CA)来管理设备证书;

3)双向认证:实现双向认证机制(如TLS),不仅要求设备验证网关或服务器的身份,同时也要验证设备的身份,确保连接双方的合法性。

3. 应具备过滤非法节点和伪造节点所发送的数据的能力。

测评解读:

1)数据包过滤:在网关或路由节点配置数据包过滤规则,检查数据包的来源地址、协议类型和内容,通过这种规则,可以阻止来自非法或伪造节点的数据包;

2)入侵检测与防御系统(IDSIPS):部署入侵检测与防御系统,实时监控网络流量,识别并拦截非法节点或伪造节点发送的数据,可以根据流量模式、签名分析等方法识别异常行为;

3)设备认证:结合设备认证机制,只有经过认证的节点才能发送数据。任何未通过认证的设备发送的数据包都将被丢弃。

4. 授权用户应能够在设备使用过程中对关键密钥进行在线更新。

测评解读:

1)密钥管理系统:实现一个集中化的密钥管理系统(KMS),授权用户可以通过安全接口在线更新设备的关键密钥,KMS可以确保密钥在传输和存储过程中的安全性;

2)加密通道:密钥更新过程必须通过加密通道(如TLS)进行,防止密钥在传输过程中被窃取或篡改;

3)权限控制:只有授权用户(通过身份验证和权限认证)才能进行密钥更新操作,其他用户无法获取或更改密钥。

5. 授权用户应能够在设备使用过程中对关键配置参数进行在线更新。

测评解读:

1)采用加密技术:确保只有授权用户能够访问和修改关键配置参数。通过使用强加密算法对数据进行加密,确保数据在传输和存储过程中的安全性;

2)实施访问控制:通过设置访问控制策略,限制只有授权用户才能访问和修改关键配置参数。这可以通过身份验证和授权机制来实现,确保只有合法的用户才能进行相应的操作。

(五)安全计算环境之抗数据重放

1. 应能够鉴别数据的新鲜性,避免历史数据的重放攻击。

测评解读:

1)时间戳机制:在数据包中附加时间戳,接收端在接收到数据后检查时间戳是否在允许的时间窗口内,任何超出时间窗口的数据将被视为无效并丢弃,这种方法可以有效防止重放攻击,因为历史数据的时间戳会与当前时间不匹配;

2)随机数(Nonce):在每次通信中生成唯一的随机数(Nonce),并将其附加到数据包中,接收端在处理数据时,需要验证随机数是否已经使用过,每个数据包使用唯一的随机数,防止旧数据包被重复使用;

3)消息摘要:将时间戳或随机数与数据内容一起生成消息摘要(如HMAC),并在接收端验证这个摘要,这样可以确保数据的新鲜性和完整性。

2. 应能够鉴别历史数据的非法修改,避免数据的修改重放攻击。

1)数字签名:在发送数据时,使用私钥对数据进行数字签名。接收方使用公钥验证签名的有效性,确保数据未被修改,任何数据修改都会导致签名验证失败,从而可以识别出数据的篡改;

2)哈希校验:计算数据内容的哈希值,并将该哈希值与数据一起传输,接收方重新计算数据的哈希值,并与接收到的哈希值进行比较,如果哈希值不匹配,则说明数据被篡改;

3)消息认证码(MAC):使用对称密钥生成消息认证码,并附加到数据包中,接收端使用相同的密钥生成消息认证码并进行比对,以确保数据的完整性和真实性。

(六)安全计算环境之数据融合处理

1. 应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。

测评解读:

1)数据标准化:对不同种类的传感数据进行标准化处理,使其在同一个平台上能够被统一格式识别和处理,标准化可以包括数据格式转换、单位换算等步骤;

2)数据融合算法:使用数据融合算法(如卡尔曼滤波、贝叶斯推理、加权平均法)来整合来自不同传感器的数据,从而生成一个更准确、全面的结果,数据融合可以提高数据的可靠性和准确性;

3)中间件平台:部署一个中间件平台,专门处理来自不同传感器的数据,该平台负责收集、转换、融合和分发数据,使各种类型的数据能够在统一的应用程序接口(API)下被使用。

(七)安全运维管理

1. 应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护。

测评解读:

1)建立定期巡视计划,明确巡视的频率(如每日、每周或每月),并根据设备的重要性和环境条件制定具体的巡视路线和检查点;

2)指定专门的技术人员负责巡视任务,并为其分配明确的职责。人员需接受相关培训,确保能够识别可能影响设备正常工作的环境异常(如温度过高、湿度过大、电磁干扰等);

3)使用电子巡检系统或记录本,记录每次巡检的情况,记录内容应包括设备状态、环境状况、发现的异常情况以及采取的维护措施;

4)建立异常情况的处理流程,当发现影响设备正常工作的环境异常时,应及时采取相应的维护措施,如调整设备位置、修复环境问题或更换设备等。

2. 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定,并进行全程管理。

测评解读:

1)引入设备生命周期管理系统(ELM),对设备从入库到报废的全过程进行跟踪管理,系统记录每台设备的入库时间、存储位置、部署情况、维修记录、丢失报告以及最终报废情况;

2)为设备的各个生命周期阶段制定标准操作流程(SOP),包括设备的接收、登记、存储条件、部署方式、维修规范、丢失报告程序、报废审批流程等;

3)为设备管理的每个阶段分配专门的责任人,确保在每个环节都有明确的人员负责。如设备入库时,由仓库管理员验收和登记,设备维修时,由指定的技术人员负责维修和记录;

4)每台设备的操作和移动都应进行详细记录,以确保可以追溯每一步操作,设备丢失或报废时,应启动内部调查,分析原因并采取预防措施。

3. 应加强对感知节点设备、网关节点设备部署环境的保密性管理,包括负责检查和维护的人员调离工作岗位应立即交还相关检查工具和检查维护记录等。

测评解读:

1)所有参与设备检查和维护的人员应签署保密协议,并接受保密性管理的培训,确保他们理解并遵守设备环境保密性的要求;

2)制定明确的人员变更流程,当负责检查和维护的人员调离工作岗位时,需立即交还所有与工作相关的检查工具、维护记录和保密资料,确保新接替人员得到完整的交接;

3)对设备管理系统、巡检记录系统等工具的使用权限进行严格控制,确保只有授权人员才能访问和修改相关数据,人员调离时,应及时注销其系统访问权限,并确保其未留存任何机密信息;

4)定期对设备管理和维护过程进行内部审计,确保所有记录的完整性和准确性,审计内容包括工具交还、记录管理、权限撤销等方面,确保保密性管理措施得到严格执行。

四、结论

等保2.0中的移动互联安全扩展指标为移动互联安全提供了更加全面和具体的规范,是针对移动设备和移动应用安全管理的重要补充和规范。通过这些指标的实施,组织可以更有效地识别和应对移动互联环境中的安全风险,确保数据的保密性、完整性和可用性。随着移动技术的发展和安全威胁的不断演变,这些指标将在未来继续发挥关键作用,引领行业在移动安全领域取得新的进展。移动互联安全是一个动态的过程,需要不断地进行安全监测和安全改进,以适应不断更迭的安全威胁。