任務來源《移動互聯網第三方應用服務器安全技術要求》國家標準編制任務由中國信息通信研究院（原工業和信息化部電信研究院）提出申請，由全國信息安全標準化技術委員會下達并歸口，項目編號為2013bzzd-WG6-003。由中國信息通信研究院（原工業和信息化部電信研究院）牽頭承擔標準制定工作，起草單位包括中國信息通信研究院（原工業和信息化部電信研究院）、中國電信廣東研究院和北京郵電大學。編制原則規范性：遵循現行國家標準，采用和借鑒國內外先進標準。本標準編寫格式按國家標準GB/T1.1-2009《標準化工作導則第1部分：標準的結構和編寫規則》的規定予以編寫。先進性：移動互聯網是近年來興起的新事物，而移動互聯網第三方應用服務器安全更是目前信息安全研究的前沿領域之一。課題組在充分借鑒傳統網絡服務器安全標準的基礎上，結合移動互聯網和移動應用的特點，針對移動互聯網第三方應用服務器安全面臨的新形勢、新問題提出了技術規范，體現了先進性的要求；全面性：信息安全的一項重要原則是縱深防御，即安全措施需要成體系推進。本標準的制定過程也充分體現了這一思路，首先對應用服務器的資產進行分析，結合每類資產的安全需求確定安全框架，最后針對安全框架的每個層次提出安全技術要求，不同層面環環相扣，互為補充和增強，從而達到全面保護應用服務器安全的目的。普適性：移動應用軟件種類繁多，每種應用使用的后臺支撐服務器的規模、架構和技術體系也各有不同。課題組充分調研了業界在建設應用服務器時采用的各種方案，剝離與本標準無關的細節，抽取出各種應用服務器的共性安全需求制定安全要求。同時，將文稿提交TC260/WG6秘書處（中國通信標準化協會（CCSA）網絡與信息安全技術委員會（TC8）無線安全技術工作組(WG2)會議）組織會議討論，并征求工信部相關主管單位的意見，接受“全國信息安全標準化技術委員會”的項目檢查工作，記錄、分析每一次會議意見，針對意見對文本進行修改，做好意見反饋工作。主要工作過程1.2013年10月，由標準起草單位聯合成立“移動互聯網第三方應用服務器安全技術要求”項目組，開展標準制定前期的技術積累等籌備工作；2.2013年11月，繼續就相關技術進行調研；3.2013年12月，經過大量的前期預研工作，標準項目組正式啟動標準編制工作，成立標準編制小組；4.2014年1月至3月，編制小組進一步討論和明確標準框架、范圍和主要技術內容，開展并完成標準主要內容的起草工作，并形成標準征求意見稿，并提交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第15次聯合會議討論。會議提出部分修改意見，并要求以第二次征求意見稿進行討論；5.2014年4月至6月，根據上次會議意見進行修訂，對本標準項目進行內部評審工作和修改，形成標準第二次征求意見稿，并提交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第16次聯合會議討論。會議通過征求意見稿，進入送審稿狀態；6.2014年7月至9月，形成標準送審稿，提交2014年10月CCSA/TC8/WG1和CCSA/TC8/WG2第17次聯合會議討論，提出編輯性問題，并要求以第二次送審稿進行討論；7.2014年11月至2015年2月，形成標準第二次送審稿，提交2015年3月CCSA/TC8/WG1和CCSA/TC8/WG2第19次聯合會議討論，通過送審稿，進入報批稿。8.2015年3月至2015年8月，在TC260/WG6（CCSA/TC8/WG2工作組）開展標準評審工作，并根據評審意見對標準文本進行了修改，形成標準報批稿。TC260/WG6秘書處將把標準報批稿提交TC260公開征求意見。9.2016年6月到7月，在全國信息安全標準化技術委員會2016年第一次工作組“會議周”(TC8/WG6)開展標準評審工作，并根據評審意見對標準文本進行了修改，形成標準征求意見稿。標準的主要內容移動互聯網第三方應用服務器位于移動互聯網“云、管、端”架構的云端，是支撐移動互聯網應用業務功能的各類后臺服務器的統稱（不包括應用商店）。隨著移動互聯網應用對在線服務的依賴程度逐漸加深，第三方應用服務器的重要程度也與日俱增，如果其中存在安全問題，輕則致使大量用戶無法正常使用移動互聯網應用提供的各類業務，重則可能導致用戶個人信息遭到大規模泄露等安全風險。本標準旨在對移動互聯網第三方應用服務器提出明確的安全要求，其意義是通過規范第三方應用服務器來完善整個移動互聯網的安全架構，確保用戶權益不受損害，維護產業有序健康發展?！兑苿踊ヂ摼W第三方應用服務器安全技術要求》包括11個章節，主要內容為：1.范圍：規定了本標準的主要內容及適用范圍。2.規范性引用文件：引用的國家和行業的基礎標準。3.術語和定義：界定了本標準用到的重要概念和術語。4.資產分類：明確移動互聯網第三方應用服務器需保護的資產的范圍，劃分資產的類型，包括物理資產、系統資產、應用資產和數據資產4個小節，每個小節分別對相應資產的定義、范圍和典型例子進行說明。5.安全框架：根據移動互聯網第三方應用服務器的安全目標，結合以安全風險分析而制定的第三方應用服務器安全框架，包括數據安全、業務安全、物理安全、系統安全、協議安全和管理安全六個層面。6.數據安全：第三方應用服務器存儲數據的安全，包括數據本身安全和數據防護安全兩部分內容。7.業務安全：第三方應用服務器正常可靠地提供業務服務而應滿足的技術要求，分為通用業務安全要求和特定業務安全要求兩個方面，前者主要對登錄處理、口令存儲和輸入數據驗證進行規范，后者則分別針對支付、推送、廣告和即時通信等移動互聯網的特色業務提出要求。8．物理安全：第三方應用服務器確保物理設備安全而應滿足的技術要求，包括環境安全和設備安全兩個小節，前者規定了服務器所在的機房應具備的環境條件，后者規定了確保服務器硬件安全所應采取的措施。9．系統安全：第三方應用服務器確保系統軟件安全而應滿足的技術要求，包括操作系統安全和中間件安全兩個小節，分別規定了服務器操作系統和中間件軟件（如Web服務器、數據庫）的安全要求。10．協議安全：第三方應用服務器使用通信協議時應滿足的技術要求，包括標準協議安全和私有協議安全兩個小節，分別對應用服務器使用標準協議和私有協議的情況進行規范。11．管理安全：第三方應用服務器管理維護過程中應滿足的技術要求，包括安全運維和安全審計兩個小節，前者規范了對應用服務器進行運維時應采取的安全措施，后者對應用服務器的日志留存和安全測試提出要求。與相關法律法規及國家有關規定、國內相關標準的關系（一）貫徹國家有關政策與法規本標準與我國現行的政策與法規不存在沖突問題。本標準中涉及的密碼算法應遵循國家商用密碼的有關規定。（二）與相關國內相關標準的關系本標準與我國現行國家標準和行業標準保持一致，部分內容直接引用GB/T20271-2006《信息安全技術信息系統通用安全技術要求》和GB/T20272-2006《信息安全技術操作系統安全技術要求》。本標準發布