移动互联安全扩展要求
控制点
3.
安全计算环境一、移动终端管控
为降低移动终端所面临的安全风险,保证移动终端安全可控,应在移动终端上安装移动终端客户端软件并进行统一的注册与管理。
a)
安全要求:应保证移动终端安装、注册并运行终端管理客户端软件。
要求解读:为保证移动终端的安全性,应按照统一的生命周期管理策略对移动终端进行管理,移动终端应安装、注册并运行终端管理客户端软件。
检查方法
核查移动终端是否已安装、注册并运行移动终端客户端软件。
期望结果
移动终端已安装、注册并运行终端管理客户端软件。
b)
安全要求:移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等。
要求解读:为保证移动终端的远程可管可控,降低因设备丢失而造成的数据泄漏等安全风险,移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,例如远程锁定、远程擦除。
检查方法
1.核查移动终端管理系统是否设置了对移动终端进行设备远程控制及设备生命周期管理等安全策略。
2.测试验证是否能够对移动终端进行远程锁定、远程擦除等。
期望结果
移动终端管理服务端设置了安全策略,能够对移动终端设备进行远程控制及设备生命周期管理。
二、移动应用管控
为了加强移动终端应用软件在安装与使用过程中的安全性和可控性,需要采取移动应用软件白名单、验证指定证书签名、远程管控等措施,降低因应用软件安全问题带来的风险。
a)
安全要求:应具有选择应用软件安装、运行的功能。
要求解读:为保证移动终端应用软件安装与运行的可管可控,应对移动终端管理客户端上的应用软件的安装与运行进行管理,例如是否安装应用软件、运行哪些功能等。
检查方法
核查是否具有选择应用软件安装、运行的功能。
期望结果
移动终端管理客户端设置了安全策略,能够对移动终端上的应用软件安装与运行进行控制。
b)
安全要求:应只允许指定证书签名的应用软件安装和运行。
要求解读:为保证移动终端应用软件安装的可管可控,应使用指定的证书对移动应用软件进行签名,以保证安装文件的完整性,防止移动应用软件被恶意用户篡改。
检查方法
核查移动应用软件是否使用指定的证书进行签名。
期望结果
移动应用软件使用了指定的证书进行签名。
c)
安全要求:应具有软件白名单功能,应能根据白名单控制应用软件安装、运行。
要求解读:为了保证移动终端应用软件安装的可管可控,应在移动终端管理系统中加入白名单功能,控制移动终端应用软件的安装范围,仅允许安装、运行白名单内的移动应用软件。例如,设置白名单,仅允许安装企业自行建设的移动应用商店内的移动应用软件。
检查方法
1.核查是否具有软件白名单功能。
2.测试验证白名单功能是否能够控制应用软件的安装、运行。
期望结果
移动终端管理服务端设置了白名单,能够对移动应用软件的安装进行控制。