《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)器安全技術(shù)要求-編制說明》

一、任務(wù)來源

《移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器安全技術(shù)要求》國家標(biāo)準(zhǔn)編制任務(wù)由中國信

息通信研究院（原工業(yè)和信息化部電信研究院）提出申請(qǐng)，由全國信息安全標(biāo)準(zhǔn)

化技術(shù)委員會(huì)下達(dá)并歸口，項(xiàng)目編號(hào)為2013bzzd-WG6-003。由中國信息通信研

究院（原工業(yè)和信息化部電信研究院）牽頭承擔(dān)標(biāo)準(zhǔn)制定工作，起草單位包括中

國信息通信研究院（原工業(yè)和信息化部電信研究院）、中國電信廣東研究院和北

京郵電大學(xué)。

二、編制原則

規(guī)范性：遵循現(xiàn)行國家標(biāo)準(zhǔn)，采用和借鑒國內(nèi)外先進(jìn)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)編寫格式

按國家標(biāo)準(zhǔn)GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)

則》的規(guī)定予以編寫。

先進(jìn)性：移動(dòng)互聯(lián)網(wǎng)是近年來興起的新事物，而移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)

器安全更是目前信息安全研究的前沿領(lǐng)域之一。課題組在充分借鑒傳統(tǒng)網(wǎng)絡(luò)服務(wù)

器安全標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合移動(dòng)互聯(lián)網(wǎng)和移動(dòng)應(yīng)用的特點(diǎn)，針對(duì)移動(dòng)互聯(lián)網(wǎng)第三

方應(yīng)用服務(wù)器安全面臨的新形勢、新問題提出了技術(shù)規(guī)范，體現(xiàn)了先進(jìn)性的要求；

全面性：信息安全的一項(xiàng)重要原則是縱深防御，即安全措施需要成體系推進(jìn)。

本標(biāo)準(zhǔn)的制定過程也充分體現(xiàn)了這一思路，首先對(duì)應(yīng)用服務(wù)器的資產(chǎn)進(jìn)行分析，

結(jié)合每類資產(chǎn)的安全需求確定安全框架，最后針對(duì)安全框架的每個(gè)層次提出安全

技術(shù)要求，不同層面環(huán)環(huán)相扣，互為補(bǔ)充和增強(qiáng)，從而達(dá)到全面保護(hù)應(yīng)用服務(wù)器

安全的目的。

普適性：移動(dòng)應(yīng)用軟件種類繁多，每種應(yīng)用使用的后臺(tái)支撐服務(wù)器的規(guī)模、

架構(gòu)和技術(shù)體系也各有不同。課題組充分調(diào)研了業(yè)界在建設(shè)應(yīng)用服務(wù)器時(shí)采用的

各種方案，剝離與本標(biāo)準(zhǔn)無關(guān)的細(xì)節(jié)，抽取出各種應(yīng)用服務(wù)器的共性安全需求制

定安全要求。同時(shí)，將文稿提交TC260/WG6秘書處（中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）

網(wǎng)絡(luò)與信息安全技術(shù)委員會(huì)（TC8）無線安全技術(shù)工作組(WG2)會(huì)議）組織會(huì)議討

論，并征求工信部相關(guān)主管單位的意見，接受“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”

的項(xiàng)目檢查工作，記錄、分析每一次會(huì)議意見，針對(duì)意見對(duì)文本進(jìn)行修改，做好

意見反饋工作。

三、主要工作過程

1.2013年10月，由標(biāo)準(zhǔn)起草單位聯(lián)合成立“移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器

安全技術(shù)要求”項(xiàng)目組，開展標(biāo)準(zhǔn)制定前期的技術(shù)積累等籌備工作；

2.2013年11月，繼續(xù)就相關(guān)技術(shù)進(jìn)行調(diào)研；

3.2013年12月，經(jīng)過大量的前期預(yù)研工作，標(biāo)準(zhǔn)項(xiàng)目組正式啟動(dòng)標(biāo)準(zhǔn)編制

工作，成立標(biāo)準(zhǔn)編制小組；

4.2014年1月至3月，編制小組進(jìn)一步討論和明確標(biāo)準(zhǔn)框架、范圍和主要

技術(shù)內(nèi)容，開展并完成標(biāo)準(zhǔn)主要內(nèi)容的起草工作，并形成標(biāo)準(zhǔn)征求意見稿，并提

交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第15次聯(lián)合會(huì)議討論。會(huì)議提出

部分修改意見，并要求以第二次征求意見稿進(jìn)行討論；

5.2014年4月至6月，根據(jù)上次會(huì)議意見進(jìn)行修訂，對(duì)本標(biāo)準(zhǔn)項(xiàng)目進(jìn)行內(nèi)

部評(píng)審工作和修改，形成標(biāo)準(zhǔn)第二次征求意見稿，并提交2014年3月

CCSA/TC8/WG1和CCSA/TC8/WG2第16次聯(lián)合會(huì)議討論。會(huì)議通過征求意見稿，

進(jìn)入送審稿狀態(tài)；

6.2014年7月至9月，形成標(biāo)準(zhǔn)送審稿，提交2014年10月CCSA/TC8/WG1

和CCSA/TC8/WG2第17次聯(lián)合會(huì)議討論，提出編輯性問題，并要求以第二次送審

稿進(jìn)行討論；

7.2014年11月至2015年2月，形成標(biāo)準(zhǔn)第二次送審稿，提交2015年3

月CCSA/TC8/WG1和CCSA/TC8/WG2第19次聯(lián)合會(huì)議討論，通過送審稿，進(jìn)入報(bào)

批稿。

8.2015年3月至2015年8月，在TC260/WG6（CCSA/TC8/WG2工作組）開展

標(biāo)準(zhǔn)評(píng)審工作，并根據(jù)評(píng)審意見對(duì)標(biāo)準(zhǔn)文本進(jìn)行了修改，形成標(biāo)準(zhǔn)報(bào)批稿。

TC260/WG6秘書處將把標(biāo)準(zhǔn)報(bào)批稿提交TC260公開征求意見。

9.2016年6月到7月，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第一次工

作組“會(huì)議周”(TC8/WG6)開展標(biāo)準(zhǔn)評(píng)審工作，并根據(jù)評(píng)審意見對(duì)標(biāo)準(zhǔn)文本進(jìn)行

了修改，形成標(biāo)準(zhǔn)征求意見稿。

四、標(biāo)準(zhǔn)的主要內(nèi)容

移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器位于移動(dòng)互聯(lián)網(wǎng)“云、管、端”架構(gòu)的云端，

是支撐移動(dòng)互聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)功能的各類后臺(tái)服務(wù)器的統(tǒng)稱（不包括應(yīng)用商店）。

隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用對(duì)在線服務(wù)的依賴程度逐漸加深，第三方應(yīng)用服務(wù)器的重要

程度也與日俱增，如果其中存在安全問題，輕則致使大量用戶無法正常使用移動(dòng)

互聯(lián)網(wǎng)應(yīng)用提供的各類業(yè)務(wù)，重則可能導(dǎo)致用戶個(gè)人信息遭到大規(guī)模泄露等安全

風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)旨在對(duì)移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器提出明確的安全要求，其意義

是通過規(guī)范第三方應(yīng)用服務(wù)器來完善整個(gè)移動(dòng)互聯(lián)網(wǎng)的安全架構(gòu)，確保用戶權(quán)益

不受損害，維護(hù)產(chǎn)業(yè)有序健康發(fā)展。

《移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器安全技術(shù)要求》包括11個(gè)章節(jié)，主要內(nèi)容

為：

1.范圍：規(guī)定了本標(biāo)準(zhǔn)的主要內(nèi)容及適用范圍。

2.規(guī)范性引用文件：引用的國家和行業(yè)的基礎(chǔ)標(biāo)準(zhǔn)。

3.術(shù)語和定義：界定了本標(biāo)準(zhǔn)用到的重要概念和術(shù)語。

4.資產(chǎn)分類：明確移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器需保護(hù)的資產(chǎn)的范圍，劃

分資產(chǎn)的類型，包括物理資產(chǎn)、系統(tǒng)資產(chǎn)、應(yīng)用資產(chǎn)和數(shù)據(jù)資產(chǎn)4個(gè)小節(jié)，每個(gè)

小節(jié)分別對(duì)相應(yīng)資產(chǎn)的定義、范圍和典型例子進(jìn)行說明。

5.安全框架：根據(jù)移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器的安全目標(biāo)，結(jié)合以安全

風(fēng)險(xiǎn)分析而制定的第三方應(yīng)用服務(wù)器安全框架，包括數(shù)據(jù)安全、業(yè)務(wù)安全、物理

安全、系統(tǒng)安全、協(xié)議安全和管理安全六個(gè)層面。

6.數(shù)據(jù)安全：第三方應(yīng)用服務(wù)器存儲(chǔ)數(shù)據(jù)的安全，包括數(shù)據(jù)本身安全和數(shù)

據(jù)防護(hù)安全兩部分內(nèi)容。

7.業(yè)務(wù)安全：第三方應(yīng)用服務(wù)器正常可靠地提供業(yè)務(wù)服務(wù)而應(yīng)滿足的技術(shù)

要求，分為通用業(yè)務(wù)安全要求和特定業(yè)務(wù)安全要求兩個(gè)方面，前者主要對(duì)登錄處

理、口令存儲(chǔ)和輸入數(shù)據(jù)驗(yàn)證進(jìn)行規(guī)范，后者則分別針對(duì)支付、推送、廣告和即

時(shí)通信等移動(dòng)互聯(lián)網(wǎng)的特色業(yè)務(wù)提出要求。

8．物理安全：第三方應(yīng)用服務(wù)器確保物理設(shè)備安全而應(yīng)滿足的技術(shù)要求，

包括環(huán)境安全和設(shè)備安全兩個(gè)小節(jié)，前者規(guī)定了服務(wù)器所在的機(jī)房應(yīng)具備的環(huán)境

條件，后者規(guī)定了確保服務(wù)器硬件安全所應(yīng)采取的措施。

9．系統(tǒng)安全：第三方應(yīng)用服務(wù)器確保系統(tǒng)軟件安全而應(yīng)滿足的技術(shù)要求，

包括操作系統(tǒng)安全和中間件安全兩個(gè)小節(jié)，分別規(guī)定了服務(wù)器操作系統(tǒng)和中間件

軟件（如Web服務(wù)器、數(shù)據(jù)庫）的安全要求。

10．協(xié)議安全：第三方應(yīng)用服務(wù)器使用通信協(xié)議時(shí)應(yīng)滿足的技術(shù)要求，包括

標(biāo)準(zhǔn)協(xié)議安全和私有協(xié)議安全兩個(gè)小節(jié)，分別對(duì)應(yīng)用服務(wù)器使用標(biāo)準(zhǔn)協(xié)議和私有

協(xié)議的情況進(jìn)行規(guī)范。

11．管理安全：第三方應(yīng)用服務(wù)器管理維護(hù)過程中應(yīng)滿足的技術(shù)要求，包括

安全運(yùn)維和安全審計(jì)兩個(gè)小節(jié)，前者規(guī)范了對(duì)應(yīng)用服務(wù)器進(jìn)行運(yùn)維時(shí)應(yīng)采取的安

全措施，后者對(duì)應(yīng)用服務(wù)器的日志留存和安全測試提出要求。

五、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

（一）貫徹國家有關(guān)政策與法規(guī)

本標(biāo)準(zhǔn)與我國現(xiàn)行的政策與法規(guī)不存在沖突問題。本標(biāo)準(zhǔn)中涉及的密碼算法

應(yīng)遵循國家商用密碼的有關(guān)規(guī)定。

（二）與相關(guān)國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)與我國現(xiàn)行國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)保持一致，部分內(nèi)容直接引用GB/T

20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》和GB/T20272-2006

《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》。本標(biāo)準(zhǔn)發(fā)布后，既可以為相關(guān)的通信

行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的制定提供依