信息安全技術 移動互聯(lián)網(wǎng)應用服務器安全技術要求-編制說明

任務來源《移動互聯(lián)網(wǎng)第三方應用服務器安全技術要求》國家標準編制任務由中國信息通信研究院（原工業(yè)和信息化部電信研究院）提出申請，由全國信息安全標準化技術委員會下達并歸口，項目編號為2013bzzd-WG6-003。由中國信息通信研究院（原工業(yè)和信息化部電信研究院）牽頭承擔標準制定工作，起草單位包括中國信息通信研究院（原工業(yè)和信息化部電信研究院）、中國電信廣東研究院和北京郵電大學。編制原則規(guī)范性：遵循現(xiàn)行國家標準，采用和借鑒國內(nèi)外先進標準。本標準編寫格式按國家標準GB/T1.1-2009《標準化工作導則第1部分：標準的結(jié)構(gòu)和編寫規(guī)則》的規(guī)定予以編寫。先進性：移動互聯(lián)網(wǎng)是近年來興起的新事物，而移動互聯(lián)網(wǎng)第三方應用服務器安全更是目前信息安全研究的前沿領域之一。課題組在充分借鑒傳統(tǒng)網(wǎng)絡服務器安全標準的基礎上，結(jié)合移動互聯(lián)網(wǎng)和移動應用的特點，針對移動互聯(lián)網(wǎng)第三方應用服務器安全面臨的新形勢、新問題提出了技術規(guī)范，體現(xiàn)了先進性的要求；全面性：信息安全的一項重要原則是縱深防御，即安全措施需要成體系推進。本標準的制定過程也充分體現(xiàn)了這一思路，首先對應用服務器的資產(chǎn)進行分析，結(jié)合每類資產(chǎn)的安全需求確定安全框架，最后針對安全框架的每個層次提出安全技術要求，不同層面環(huán)環(huán)相扣，互為補充和增強，從而達到全面保護應用服務器安全的目的。普適性：移動應用軟件種類繁多，每種應用使用的后臺支撐服務器的規(guī)模、架構(gòu)和技術體系也各有不同。課題組充分調(diào)研了業(yè)界在建設應用服務器時采用的各種方案，剝離與本標準無關的細節(jié)，抽取出各種應用服務器的共性安全需求制定安全要求。同時，將文稿提交TC260/WG6秘書處（中國通信標準化協(xié)會（CCSA）網(wǎng)絡與信息安全技術委員會（TC8）無線安全技術工作組(WG2)會議）組織會議討論，并征求工信部相關主管單位的意見，接受“全國信息安全標準化技術委員會”的項目檢查工作，記錄、分析每一次會議意見，針對意見對文本進行修改，做好意見反饋工作。主要工作過程1.2013年10月，由標準起草單位聯(lián)合成立“移動互聯(lián)網(wǎng)第三方應用服務器安全技術要求”項目組，開展標準制定前期的技術積累等籌備工作；2.2013年11月，繼續(xù)就相關技術進行調(diào)研；3.2013年12月，經(jīng)過大量的前期預研工作，標準項目組正式啟動標準編制工作，成立標準編制小組；4.2014年1月至3月，編制小組進一步討論和明確標準框架、范圍和主要技術內(nèi)容，開展并完成標準主要內(nèi)容的起草工作，并形成標準征求意見稿，并提交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第15次聯(lián)合會議討論。會議提出部分修改意見，并要求以第二次征求意見稿進行討論；5.2014年4月至6月，根據(jù)上次會議意見進行修訂，對本標準項目進行內(nèi)部評審工作和修改，形成標準第二次征求意見稿，并提交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第16次聯(lián)合會議討論。會議通過征求意見稿，進入送審稿狀態(tài)；6.2014年7月至9月，形成標準送審稿，提交2014年10月CCSA/TC8/WG1和CCSA/TC8/WG2第17次聯(lián)合會議討論，提出編輯性問題，并要求以第二次送審稿進行討論；7.2014年11月至2015年2月，形成標準第二次送審稿，提交2015年3月CCSA/TC8/WG1和CCSA/TC8/WG2第19次聯(lián)合會議討論，通過送審稿，進入報批稿。8.2015年3月至2015年8月，在TC260/WG6（CCSA/TC8/WG2工作組）開展標準評審工作，并根據(jù)評審意見對標準文本進行了修改，形成標準報批稿。TC260/WG6秘書處將把標準報批稿提交TC260公開征求意見。9.2016年6月到7月，在全國信息安全標準化技術委員會2016年第一次工作組“會議周”(TC8/WG6)開展標準評審工作，并根據(jù)評審意見對標準文本進行了修改，形成標準征求意見稿。標準的主要內(nèi)容移動互聯(lián)網(wǎng)第三方應用服務器位于移動互聯(lián)網(wǎng)“云、管、端”架構(gòu)的云端，是支撐移動互聯(lián)網(wǎng)應用業(yè)務功能的各類后臺服務器的統(tǒng)稱（不包括應用商店）。隨著移動互聯(lián)網(wǎng)應用對在線服務的依賴程度逐漸加深，第三方應用服務器的重要程度也與日俱增，如果其中存在安全問題，輕則致使大量用戶無法正常使用移動互聯(lián)網(wǎng)應用提供的各類業(yè)務，重則可能導致用戶個人信息遭到大規(guī)模泄露等安全風險。本標準旨在對移動互聯(lián)網(wǎng)第三方應用服務器提出明確的安全要求，其意義是通過規(guī)范第三方應用服務器來完善整個移動互聯(lián)網(wǎng)的安全架構(gòu)，確保用戶權(quán)益不受損害，維護產(chǎn)業(yè)有序健康發(fā)展?！兑苿踊ヂ?lián)網(wǎng)第三方應用服務器安全技術要求》包括11個章節(jié)，主要內(nèi)容為：1.范圍：規(guī)定了本標準的主要內(nèi)容及適用范圍。2.規(guī)范性引用文件：引用的國家和行業(yè)的基礎標準。3.術語和定義：界定了本標準用到的重要概念和術語。4.資產(chǎn)分類：明確移動互聯(lián)網(wǎng)第三方應用服務器需保護的資產(chǎn)的范圍，劃分資產(chǎn)的類型，包括物理資產(chǎn)、系統(tǒng)資產(chǎn)、應用資產(chǎn)和數(shù)據(jù)資產(chǎn)4個小節(jié)，每個小節(jié)分別對相應資產(chǎn)的定義、范圍和典型例子進行說明。5.安全框架：根據(jù)移動互聯(lián)網(wǎng)第三方應用服務器的安全目標，結(jié)合以安全風險分析而制定的第三方應用服務器安全框架，包括數(shù)據(jù)安全、業(yè)務安全、物理安全、系統(tǒng)安全、協(xié)議安全和管理安全六個層面。6.數(shù)據(jù)安全：第三方應用服務器存儲數(shù)據(jù)的安全，包括數(shù)據(jù)本身安全和數(shù)據(jù)防護安全兩部分內(nèi)容。7.業(yè)務安全：第三方應用服務器正?？煽康靥峁I(yè)務服務而應滿足的技術要求，分為通用業(yè)務安全要求和特定業(yè)務安全要求兩個方面，前者主要對登錄處理、口令存儲和輸入數(shù)據(jù)驗證進行規(guī)范，后者則分別針對支付、推送、廣告和即時通信等移動互聯(lián)網(wǎng)的特色業(yè)務提出要求。8．物理安全：第三方應用服務器確保物理設備安全而應滿足的技術要求，包括環(huán)境安全和設備安全兩個小節(jié)，前者規(guī)定了服務器所在的機房應具備的環(huán)境條件，后者規(guī)定了確保服務器硬件安全所應采取的措施。9．系統(tǒng)安全：第三方應用服務器確保系統(tǒng)軟件安全而應滿足的技術要求，包括操作系統(tǒng)安全和中間件安全兩個小節(jié)，分別規(guī)定了服務器操作系統(tǒng)和中間件軟件（如Web服務器、數(shù)據(jù)庫）的安全要求。10．協(xié)議安全：第三方應用服務器使用通信協(xié)議時應滿足的技術要求，包括標準協(xié)議安全和私有協(xié)議安全兩個小節(jié)，分別對應用服務器使用標準協(xié)議和私有協(xié)議的情況進行規(guī)范。11．管理安全：第三方應用服務器管理維護過程中應滿足的技術要求，包括安全運維和安全審計兩個小節(jié)，前者規(guī)范了對應用服務器進行運維時應采取的安全措施，后者對應用服務器的日志留存和安全測試提出要求。與相關法律法規(guī)及國家有關規(guī)定、國內(nèi)相關標準的關系（一）貫徹國家有關政策與法規(guī)本標準與我國現(xiàn)行的政策與法規(guī)不存在沖突問題。本標準中涉及的密碼算法應遵循國家商用密碼的有關規(guī)定。（二）與相關國內(nèi)相關標準的關系本標準與我國現(xiàn)行國家標準和行業(yè)標準保持一致，部分內(nèi)容直接引用GB/T20271-2006《信息安全技術信息系統(tǒng)通用安全技術要求》和GB/T20272-2006《信息安全技術操作系統(tǒng)安全技術要求》。本標準發(fā)布