GBT信息安全技术移动互联网应用服务器安全技术要求编制说明.doc

《移动互联网第三方应用服务器安全技术
要求》编制说明
一、 任务来源
《移动互联网第三方应用服务器安全技术要求》国家标准编制任务由中国信 息通信研究院（原工业和信息化部电信研究院）提出申请，由全国信息安全标准 化技术委员会下达并归口，年12月，经过大量的前期预研工作，标准项目组正式启动标准编制 工作，成立标准编制小组；
2014年1月至3月，编制小组进一步讨论和明确标准框架、范围和主要 技术内容，开展并完成标准主要内容的起草工作，并形成标准征求意见稿，并提 交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第15次联合会议讨论。会议提出 部分修改意见，并要求以第二次征求意见稿进行讨论；
2014年4月至6月，根据上次会议意见进行修订，对本标准项目进行内 部评审工作和修改，形成标准第二次征求意见稿，并提交2014年3月 CCSA/TC8/WG1和CCSA/TC8/WG2第16次联合会议讨论。会议通过征求意见稿， 进入送审稿状态；
2014年7月至9月，形成标准送审稿，提交2014年10月CCSA/TC8/WG1 和CCSA/TC8/WG2第17次联合会议讨论，提出编辑性问题，并要求以第二次送审 稿进行讨论；
2014年11月至2015年2月，形成标准第二次送审稿，提交2015年3 月CCSA/TC8/WG1和CCSA/TC8/WG2第19次联合会议讨论，通过送审稿，进入报 批稿。
2015 年 3 月至 2015 年 8 月，在 TC260/WG6 （CCSA/TC8/WG2 工作组）开展 标准评审工作，并根据评审意见对标准文本进行了修改，形成标准报批稿。 TC260/WG6秘书处将把标准报批稿提交TC260公开征求意见。
2016年6月到7月，在全国信息安全标准化技术委员会2016年第一次工 作组“
会议周”（TC8/WG6）开展标准评审工作，并根据评审意见对标准文本进行 了修改，形成标准征求意见稿。
四、标准的主要内容
移动互联网第三方应用服务器位于移动互联网“云、管、端”架构的云端， 是支撑移动互联网应用业务功能的各类后台服务器的统称（不包括应用商店）。 随着移动互联网应用对在线服务的依赖程度逐渐加深，第三方应用服务器的重要 程度也与日俱增，如果其中存在安全问题，轻则致使大量用户无法正常使用移动 互联网应用提供的各类业务，重则可能导致用户个人信息遭到大规模泄露等安全 风险。本标准旨在对移动互联网第三方应用服务器提出明确的安全要求，其意义 是通过规范第三方应用服务器来完善整个移动互联网的安全架构，确保用户权益 不受损害，维护产业有序健康发展。
《移动互联网第三方应用服务器安全技术要求》包括11个章节，主要内容 为：
范围：规定了本标准的主要内容及适用范围。
规范性引用文件：引用的国家和行业的基础标准。
术语和定义：界定了本标准用到的重要概念和术语。
资产分类：明确移动互联网第三方应用服务器需保护的资产的范围，划 分资产的类型，包括物理资产、系统资产、应用资产和数据资产4个小节，每个 小节分别对相应资产的定义、范围和典型例子进行说明。
安全框架：根据移动互联网第三方应用服务器的安全目标，结合以安全 风险分析而制定的第三方应用服务器安全框架，包括数据安全、业务安全、物理 安全、系统安全、协议安全和管理