《信息安全技术 移动互联网应用服务器安全技术要求-编制说明》

一、任务来源

《移动互联网第三方应用服务器安全技术要求》国家标准编制任务由中国信

息通信研究院（原工业和信息化部电信研究院）提出申请，由全国信息安全标准

化技术委员会下达并归口，项目编号为2013bzzd-WG6-003。由中国信息通信研

究院（原工业和信息化部电信研究院）牵头承担标准制定工作，起草单位包括中

国信息通信研究院（原工业和信息化部电信研究院）、中国电信广东研究院和北

京邮电大学。

二、编制原则

规范性：遵循现行国家标准，采用和借鉴国内外先进标准。本标准编写格式

按国家标准GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写规

则》的规定予以编写。

先进性：移动互联网是近年来兴起的新事物，而移动互联网第三方应用服务

器安全更是目前信息安全研究的前沿领域之一。课题组在充分借鉴传统网络服务

器安全标准的基础上，结合移动互联网和移动应用的特点，针对移动互联网第三

方应用服务器安全面临的新形势、新问题提出了技术规范，体现了先进性的要求；

全面性：信息安全的一项重要原则是纵深防御，即安全措施需要成体系推进。

本标准的制定过程也充分体现了这一思路，首先对应用服务器的资产进行分析，

结合每类资产的安全需求确定安全框架，最后针对安全框架的每个层次提出安全

技术要求，不同层面环环相扣，互为补充和增强，从而达到全面保护应用服务器

安全的目的。

普适性：移动应用软件种类繁多，每种应用使用的后台支撑服务器的规模、

架构和技术体系也各有不同。课题组充分调研了业界在建设应用服务器时采用的

各种方案，剥离与本标准无关的细节，抽取出各种应用服务器的共性安全需求制

定安全要求。同时，将文稿提交TC260/WG6秘书处（中国通信标准化协会（CCSA）

网络与信息安全技术委员会（TC8）无线安全技术工作组(WG2)会议）组织会议讨

论，并征求工信部相关主管单位的意见，接受“全国信息安全标准化技术委员会”

的项目检查工作，记录、分析每一次会议意见，针对意见对文本进行修改，做好

意见反馈工作。

三、主要工作过程

1.2013年10月，由标准起草单位联合成立“移动互联网第三方应用服务器

安全技术要求”项目组，开展标准制定前期的技术积累等筹备工作；

2.2013年11月，继续就相关技术进行调研；

3.2013年12月，经过大量的前期预研工作，标准项目组正式启动标准编制

工作，成立标准编制小组；

4.2014年1月至3月，编制小组进一步讨论和明确标准框架、范围和主要

技术内容，开展并完成标准主要内容的起草工作，并形成标准征求意见稿，并提

交2014年3月CCSA/TC8/WG1和CCSA/TC8/WG2第15次联合会议讨论。会议提出

部分修改意见，并要求以第二次征求意见稿进行讨论；

5.2014年4月至6月，根据上次会议意见进行修订，对本标准项目进行内

部评审工作和修改，形成标准第二次征求意见稿，并提交2014年3月

CCSA/TC8/WG1和CCSA/TC8/WG2第16次联合会议讨论。会议通过征求意见稿，

进入送审稿状态；

6.2014年7月至9月，形成标准送审稿，提交2014年10月CCSA/TC8/WG1

和CCSA/TC8/WG2第17次联合会议讨论，提出编辑性问题，并要求以第二次送审

稿进行讨论；

7.2014年11月至2015年2月，形成标准第二次送审稿，提交2015年3

月CCSA/TC8/WG1和CCSA/TC8/WG2第19次联合会议讨论，通过送审稿，进入报

批稿。

8.2015年3月至2015年8月，在TC260/WG6（CCSA/TC8/WG2工作组）开展

标准评审工作，并根据评审意见对标准文本进行了修改，形成标准报批稿。

TC260/WG6秘书处将把标准报批稿提交TC260公开征求意见。

9.2016年6月到7月，在全国信息安全标准化技术委员会2016年第一次工

作组“会议周”(TC8/WG6)开展标准评审工作，并根据评审意见对标准文本进行

了修改，形成标准征求意见稿。

四、标准的主要内容

移动互联网第三方应用服务器位于移动互联网“云、管、端”架构的云端，

是支撑移动互联网应用业务功能的各类后台服务器的统称（不包括应用商店）。

随着移动互联网应用对在线服务的依赖程度逐渐加深，第三方应用服务器的重要

程度也与日俱增，如果其中存在安全问题，轻则致使大量用户无法正常使用移动

互联网应用提供的各类业务，重则可能导致用户个人信息遭到大规模泄露等安全

风险。本标准旨在对移动互联网第三方应用服务器提出明确的安全要求，其意义

是通过规范第三方应用服务器来完善整个移动互联网的安全架构，确保用户权益

不受损害，维护产业有序健康发展。

《移动互联网第三方应用服务器安全技术要求》包括11个章节，主要内容

为：

1.范围：规定了本标准的主要内容及适用范围。

2.规范性引用文件：引用的国家和行业的基础标准。

3.术语和定义：界定了本标准用到的重要概念和术语。

4.资产分类：明确移动互联网第三方应用服务器需保护的资产的范围，划

分资产的类型，包括物理资产、系统资产、应用资产和数据资产4个小节，每个

小节分别对相应资产的定义、范围和典型例子进行说明。

5.安全框架：根据移动互联网第三方应用服务器的安全目标，结合以安全

风险分析而制定的第三方应用服务器安全框架，包括数据安全、业务安全、物理

安全、系统安全、协议安全和管理安全六个层面。

6.数据安全：第三方应用服务器存储数据的安全，包括数据本身安全和数

据防护安全两部分内容。

7.业务安全：第三方应用服务器正常可靠地提供业务服务而应满足的技术

要求，分为通用业务安全要求和特定业务安全要求两个方面，前者主要对登录处

理、口令存储和输入数据验证进行规范，后者则分别针对支付、推送、广告和即

时通信等移动互联网的特色业务提出要求。

8．物理安全：第三方应用服务器确保物理设备安全而应满足的技术要求，

包括环境安全和设备安全两个小节，前者规定了服务器所在的机房应具备的环境

条件，后者规定了确保服务器硬件安全所应采取的措施。

9．系统安全：第三方应用服务器确保系统软件安全而应满足的技术要求，

包括操作系统安全和中间件安全两个小节，分别规定了服务器操作系统和中间件

软件（如Web服务器、数据库）的安全要求。

10．协议安全：第三方应用服务器使用通信协议时应满足的技术要求，包括

标准协议安全和私有协议安全两个小节，分别对应用服务器使用标准协议和私有

协议的情况进行规范。

11．管理安全：第三方应用服务器管理维护过程中应满足的技术要求，包括

安全运维和安全审计两个小节，前者规范了对应用服务器进行运维时应采取的安

全措施，后者对应用服务器的日志留存和安全测试提出要求。

五、与相关法律法规及国家有关规定、国内相关标准的关系

（一）贯彻国家有关政策与法规

本标准与我国现行的政策与法规不存在冲突问题。本标准中涉及的密码算法

应遵循国家商用密码的有关规定。

（二）与相关国内相关标准的关系

本标准与我国现行国家标准和行业标准保持一致，部分内容直接引用GB/T

20271-2006《信息安全技术信息系统通用安全技术要求》和GB/T20272-2006

《信息安全技术操作系统安全技术要求》。本标准发布后，既可以为相关的通信

行业标准和国家标准的制定提供依