文档介绍：息安全技术网络安全等级保护基本要求
第3部分：移动互联安全扩展要求
规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。
凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于程序。
恶意代码防范 移动终端应安装防恶意代码软件，并定期进行恶意代码扫描，及时更新防恶意代码软件版本和恶意
代码库。
应用和数据安全 移动应用软件应采用校验技术保证重要数据存储的完整性。
管理要求
安全策略和管理制度 应建立等级保护对象移动互联安全管理规范，并纳入等级保护对象管理安全制度。
安全管理机构和人员
岗位设置 应将移动互联管理纳入等级保护对象管理员职责。
安全意识教育和培训 应对各类人员进行移动互联管理安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措
施。
安全建设管理
安全方案设计
应根据等级保护对象的安全保护等级选择移动互联基本安全措施，依据风险分析的结果补充和调整 安全措施。
产品采购和使用
应确保移动互联信息安全产品采购和使用符合国家的有关规定。
工程实施
应指定或授权专门的部门或人员负责系统移动互联工程实施过程的管理。
测试验收
应对系统的移动互联部分进行必要的安全性测试验收。
系统交付
本项要求包括：
应根据交付清单对所交接的移动互联设备、移动应用软件和文档等进行清点；
应对负责系统移动互联运行维护的技术人员进行相应的技能培训。
服务供应商选择
本项要求包括：
应确保移动互联安全服务商的选择符合国家的有关规定；
应与选定的移动互联安全服务商签订与安全相关的协议，明确约定相关责任。
安全运维管理
设备维护管理
应对各种移动互联设备(包括无线接入设备)维护纳入等级保护对象进行管理。
漏洞和风险管理
应采取必要的措施识别移动互联安全漏洞和隐患，对发现的安全漏洞和隐患定期进行修补。
应用软件来源管理
应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
恶意代码防范管理
应对移动终端应用软件恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库 升级、恶意代码的定期查杀等。
备份与恢复管理
本项要求包括：
应识别需要定期备份的移动终端中的关键业务信息、系统数据及软件系统等；
应规定备份信息的备份方式、备份频度、存储介质、保存期等。
第二级基本要求
技术要求
应为无线接入设备的安装选择合理位置，避免过度覆盖。
网络和通信安全
网络架构
本项要求包括：
应保证无线接入网关的处理能力满足业务高峰期需要；
应保证无线接入设备的带宽满足业务高峰期需要；
无线接入设备应开启接入认证功能，并且禁止使用WEP方式进行认证，密钥长度不小于8位并 且由数字、字母和特殊字符两种或两种以上进行组合。
边界防护
应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。
访问控制
本项要求包括：
应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情况下，除允许通信 外，受控接口拒绝所有通信；
应对来自移动终端的数据流量、数据包和协议等进行检查，以允许/拒绝数据包通过。
入侵防范
本项要求包括：
应能够检测、记录非授权无线接入设备；
应能够对非授权移动终端接入的行为进行检测、记录；
应具备对针对无线接入设备的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为 进行检测、记录；
应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态。
通信传输
本项要求包括：
应保证无线通信过程中数据的完整性；
应保证无线通信过程中敏感信息字段或整个报文的保密性。
安全审计
应启用设备安全审计功能，审计覆盖到每个移动终端，对重要的终端行为和重要安全事件进行审 计。
网络设备防护
本项要求包括：
应能发现系统移动终端、无线接入设备、无线接入网关设备可能存在的漏洞，并在经过充分 测试评估后，及时修补漏洞；
应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID广播、WEP认证等；
应禁止多个AP使用同一个鉴别密钥。
设备和计算安全
身份鉴别
本项要求包括：
应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别；
移动终端应具有登录失败处理功能。
应用管控
移动终端管理客户端本项要求包括：
应具有软件白名单功能，应能根据白名单控制应用软件安装、运行；
应具有应用软件权限控制功能，应能控制应用软件对移动终端中资源的访问
应只允许可靠证书签名的应用软件安装和运行。
入侵防范
移动终端本项要求包括：
应遵循最小安装的原则，仅安装需要的组件