GA/T 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求

E臼35.040

L80

中华人民共和国公共安全行业标准

GA/T1390.3-2017

信息安全技术网络安全等级保护基本

要求第3部分：移动互联安全扩展要求

Informationsecuritytechnology-Generalrequirementsforclassified

protectionofcybersecurity-Part3:Specialsecurityrequirementsfor

mobileinterconnection

2017-05-08发布2017-05-08实施

中华人民共和国公安部发布

GA/T1390.3-2017

目次

前言…..””.…“.……E

引言…..…··…”...……………..………..lY

1范围…

2规范性引用文件..…

3术语和定义……·

4缩略语…….…......…“……·……….........……..•••••••••••••2

5采用移动互联技术的等级保护对象概述….........……·……………….••••••••2

5.1安全通用要求…·………………·……..…….2

5.2等级保护对象构成......….....…·….•••••••••••••••2

5.3保护要素…”.....………....…….….3

5.4保护对象定级….....…“………“…….••••••••••••••••••••••••3

6第一级安全要求·

6.1…..3

技术要求

6.1.1..•..•..•.•...••3

物理和环境安全

6.1.2…..3

网络和通信安全

6.1.3设备和计算安全•..•..•.......3

6.1.4应用和数据安全…….4

6.2管理要求….4

6.2.1安全策略和管理制度..…………….4

6.2.2安全管理机构和人员………………..4

6.2.3安全建设管理…….4

6.2.4•••••••5

安全运维管理

7第二级安全要求“…....…..................................….5

7.1…..5

技术要求

7.1.1••••••••••••••5

物理和环境安全

7.1.2•••••••••••••••••••••••••5

网络和通信安全

7.1.3设备和计算安全……….6

7.1.4应用和数据安全……7

7.2….7

管理要求

7.2.1….7

安全策略和管理制度

7.2.2…..8

安全管理机构和人员

7.2.3安全建设管理………··8

7.2.4….9

安全运维管理

8第三级安全要求……………..….…....…”.•••••••••9

8.1….9

技术要求

8.1.1物理和环境安全…….9

I

GA/T1390.3-2017

8.1.2网络和通信安全“..“.…………….10

8.1.3设备和计算安全…·

8.1.4应用和数据安全…”……·….……..…...”…....…..12

8.2管理要求……………“……………..12

8.2.1安全策略和管理制度…….12

8.2.2安全管理机构和人员…”……“.•••••••••13

8.2.3安全建设管理…….........................….13

8.2.4安全运维管理……….......…………….….14

9第四级安全要求…………16

9.1技术要求…·qoeu－a－u’a

··

a

9.1.1物理和环境安全

9.1.2网络和通信安全……………·.…··－－’

。，

··

.…··

A

9.1.3设备和计算安全

’

i

ynEnEAEno

………………

9.1.4应用和数据安全

1

‘

9.2管理要求…”……

1

’品自喃＆

9.2.1安全策略和管理制度…·

9.2.2安全管理机构和人员·

安全建设管理…·uzni

9.2.3

咽

A

9.2.4安全运维管理…..........

10第五级安全要求…….….....…...…….22

参考文献…..……………...........……·…………“...…….•••••••••23

n

学兔兔

GA/T1390.3-2017

前

GAIT1390《信息安全技术网络安全等级保护基本要求》已经或计划发布以下部分z

一一第1部分t安全通用要求s

一一第2部分t云计算安全扩展要求；

一一第3部分z移动互联安全扩展要求s

一一第4部分z物联网安全扩展要求；

一一第5部分z工业控制安全扩展要求z

一一第6部分z大数据安全扩展要求。

本部分是GAIT1390的第3部分．

本部分按照GB/T1.1-2009绘出的规范起草．

本部分由公安部网络安全保卫局提出．

本部分由公安部信息系统安全标准化技术委员会提出并归口．

本部分起草单位：北京鼎普科技股份有限公司、公安部第三研究所、北京工业大学、工业控制系统信

息安全技术国家工程实验室．

本部分主要起草人z王江波、于晴、张宗喜、任卫红、于东升、赵勇、杜静、周颖、谢朝海．

皿

学兔兔

GA/T1390.3-2017

引目吉

为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护

工作的开展，公安部信息系统安全标准化技术委员会提出针对移动互联、云计算、大数据、物联网和工业

控制等新技术、新应用领域制定公共安全行业系列标准．

本部分是针对等级保护对象中采用移动互联技术部分提出的安全扩展要求，所以等级保护对象需

同时符合GB/T22239安全通用要求．

未来可能会随技术变化添加新的部分来阐述特定领域的安全扩展要求．

N

学兔兔

GA/T1390.3-2017

信息安全技术网络安全等级保护基本

要求第3部分：移动互联安全扩展要求

1范围

GAIT1390的本部分规定了采用移动互联技术不同安全保护等级保护对象的基本保护要求．

本部分适用于指导分等级的非涉密等级保护对象的安全建设和监督管理．

2规范性引用文件

下列文件对于本文件的应用是必不可少的．凡是注日期的引用文件，仅注目期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本〈包括所有的修改单〉适用于本文件。

GB17859一1999计算机信息系统安全保护等级划分准则

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T22240信息安全技术信息系统安全等级保护定级指南

GB/T25069-2010信息安全技术术语

3术语和定义

GB17859-1999、GB/T22239,GB/T22240和GB/T25069-2010界定的以及下列术语和定义适

用于本文件。

3.1

移动终蜡mobiledevice

在移动业务中使用的终端设备，包括智能孚机、平桓电脑、个人电脑等通用终端和专用终端设备．

3.2

元钱接入设备wirelessaccessdevice

采用无线通信技术将移动终端接人有线网络的通信设备．

注z本标准中无线接入设备不包括公共的无线接人设备〈如公共WiFi、运营商基站等〉．

3.3

无撞撞入同美wirelessaccessgateway

部署在元钱网络与有线网络之间，对有线网络进行安全防护的设备．

3.4

移动应用软件mobileapplication

针对移动终端开发的应用软件，包括移动终端预置的应用软件，和互联网信息服务提供者提供的可

以通过网站、应用商店等移动应用分发平台下载、安装和升级的第三方应用软件．

3.5

移动终蛐管理系统mobiledevicemanagementsystem

用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件．

1

学兔兔

GA/T1390.3-2017

4编略语

下列缩略语适用于本文件．

WEP：有线等效加密（WiredEquivalentPrivacy)

MOMS：移动终端管理系统（MobileDeviceManagementSystem)

DoS：拒绝服务（DenialofService)

SSID：服务集标识（ServiceSetIdentifier)

WPS:WiFi保护设置（Wi-FiProtectedSetup)

AP：元线访问接人点（Wireless