核能行业网络安全等级保护实施指引 第 3 部分：移动互联安全扩展要求

ICS点击此处添加ICS号

CCS点击此处添加中国标准文献分类号

团体标准

T/CNEAXXXX—XXXX

核能行业网络安全等级保护实施指引

第3部分：移动互联安全扩展要求

ImplementationGuidelinesforGradedCybersecurityProtectionintheNuclear

EnergyIndustry

Part-3:MobileInternetSecurityExtensionRequirements

20XX-XX-XX发布20XX-XX-XX实施

中国核能行业协会发布

T/CNEAXXXX—XXXX

1范围

本文件适用于实施信息系统安全等级保护的核能行业机构、测评机构和核能信息系统安全等级保护

的主管部门。

2规范性引用文件

下列文件对于本文的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T25058-2019信息安全技术网络安全等级保护实施指南

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

GB/T39786-2021信息安全技术信息系统密码应用基本要求

HABD-004/02核安保导则核设施网络安全技术类控制

HABD-004/03核安保导则核设施网络安全运维和管理类控制

TCEA006.3-2021核电厂无线通信系统技术与管理规范第3部分：网络安全

TCNEA006.4-2021核电厂无线通信系统技术与管理规范第4部分：电磁兼容

JR/T0071.2-2020金融行业网络安全等级保护实施指引第2部分：基本要求

3术语和定义

3.1移动互联mobilecommunication

采用无线通信技术将移动终端接入有线网络的过程。

[GB/T22239—2019,定义3.9]

3.2移动终端mobiledevice

移动终端是指在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用

终端和专用终端设备。

[GB/T22239—2019,定义3.10]

3.3移动应用软件mobileapplication

针对移动终端开发的应用软件。

[GB/T22239—2019,定义3.13]

1

T/CNEAXXXX—XXXX

3.4无线接入网关wirelessaccessgateway

部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。

[GB/T22239—2019,定义3.12]

3.5无线接入设备wirelessaccessdevice

采用无线通信技术将移动终端接入有线网络的通信设备。

[GB/T22239—2019,定义3.11]

3.6移动终端管理系统mobiledevicemanagementsystem

用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端

软件。

[GB/T22239—2019,定义3.14]

3.7沙箱Sandbox

运行的程序与系统之间的隔离空间，程序对系统所做的修改，都不会真正地去触及系统，从而

避免程序对设备的其它程序和数据造成永久性的修改或造成破坏。

3.8生产管理专网

结合核能行业单位安全分区实际情况，用于接收或处理运行维修密切相关数据的专用网络，

安全层级介于生产控制网络和管理办公区之间。例如实时数据管理网络。

3.9定制移动终端

根据核能行业单位业务和安全需求，限定使用范围的专用移动终端。

4缩略语

下列缩略语适用于本文件。

4G:第四代移动通信技术（4thGenerationMobileCommunicationTechnology)

5G:第五代移动通信技术（5thGenerationMobileCommunicationTechnology)

WiFi:IEEE802.11(WirelessFidelity)

AP:无线访问接入点（WirelessAccessPoint)

API：应用程序编程接口（CentralProcessingUnit）

SSID:服务集标识（ServiceSetIdentifier)

WPS:WiFi防护设定标准（WiFiProtectedSetup)

WEP:有线等效保密协议（WiredEquivalentPrivacy)

XSS:跨站脚本攻击（Cross-SiteScripting）

2

T/CNEAXXXX—XXXX

5移动互联等级保护总体要求

5.1移动互联等级保护对象

采用移动互联技术等级保护对象与传统等级保护对象的区别在于移动终端可以通过无线方式接入

网络，如图1采用移动互联技术等级保护对象构成所示：移动终端可以远程通过运营商基站或公共Wi-Fi

接入等级保护对象，也可以在本地通过本地无线网络接入等级保护对象。系统通过移动管理系统的服务

端软件向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略，并由客户端软件执行实现

系统的整体安全管理。

核能行业移动互联指在行业单位管理区域内，采用5G、WiFi等无线通信技术实现数据传输的单位

移动互联，其通过移动管理服务器向通用或者核能行业定制的移动终端发送移动设备管理、移动应用管

理和移动内容管理策略，并由移动终端、无线网络、移动服务端共同执行实现系统的安全管理。系统通

常由移动应用层、移动终端层、接入网络层、移动管理层组成。

根据核安保导则HABD-004/02《核设施网络安全技术类控制》标准要求，“核设施运营单位应仅允许通

过边界网络安全设备进行无线接入，并将无线接入视作为内部网络安全边界以外的连接方式；对于安全

相关功能及对安全重要功能的关键系统（涉及机组运行、应急、实保的系统），禁止使用无线技术。”核

能行业的移动互联主要用于单位工程管理或生产管理方面的应用，移动互联接入的无线网络必须通过边

界安全防护设备接入单位管理信息有线网络。

等级保护对象构成如下图所示

图1移动互联技术等级保护对象构成

5.2移动互联技术等级保护要素

与传统等级保护对象相比，采用移动互联技术等级保护对象中突出三个关键要素：移动终端、移动

应用和无线网络。因此，采用移动互联技术等级保护对象的安全防护在传统等级保护对象防护的基础上，

1

T/CNEAXXXX—XXXX

主要针对移动终端、移动应用和无线网络在安全物理环境、安全通信网络、安全区域边界、安全计算环

境和安全管理中心五个技术层面进行扩展。

5.3移动互联技术等级保护对象定级

采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要

素不单独定级，宜采用移动互联技术等级保护对象的要素整体定级。

如核能行业单位建立的移动互联涉及访问内网数据，则安防措施应基于网络拓扑、数据来源、应用

系统位置，综合评估风险，充分考虑移动互联部分访问业务系统或数据的等级保护级别，按照从严原则

评定移动互联部分安全保护级别。核能行业单位采用移动互联技术的等级保护对象应按照不低于等保二

级定级。

5.4移动互联技术增强性安全要求

本部分新增“移动互联技术增强性安全要求”，在文本中以粗体表示。移动互联技术增强性安全要

求在结合核能行业相关规定的基础上对等级保护要求进行补充和完善。

6第一级基本要求

参见GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第6章。

7第二级基本要求

7.1技术要求

7.1.1安全物理环境

7.1.1.1无线接入点的物理位置

本项要求包括：

a)应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。

b)应避免系统无线信号对核能行业单位在用的仪控、电气等设备产生电磁干扰，具体要求应参

照TCNEA006.4-2021核电厂无线通信系统技术与管理规范第4部分：电磁兼容标准；（增

强）

c)应避免系统无线信号覆盖到核能行业单位（以下简称单位）工作场所外；（新增）

7.1.2安全通信网络

7.1.2.1网络架构

本项要求包括：

a)应保证无线接入网关和无线接入设备的处理能力满足业务高峰期需要；（新增）

b)应保证无线接入网关和无线接入设备的带宽满足业务高峰期需要。（新增）

c)单位生产控制网络区域涉及核电站工控安全，应禁止接入Wifi、5G等无线网络；

d)单位生产管理专网如需使用移动互联技术，宜建立内部专用无线网络，与管理网络之间设置

不低于所访问业务系统等保定级的安全隔离措施。

2

T/CNEAXXXX—XXXX

e)单位管理办公网络如建立无线通信，应根据工作需要建立专网，与其他网络之间边界设置不

低于需访问业务系统的安全级。

7.1.2.2通信传输

本项要求包括：

a)应保证无线通信过程中数据的保密性；（新增）

7.1.3安全区域边界

7.1.3.1边界防护

本项要求包括：

a)应保证单位有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备和边界网络

安全设备；（增强）

7.1.3.2访问控制

本项要求包括：

a)无线接入设备应开启接入认证功能，并且禁止使用WEP方式进行认证，认证口令长度不小于8

位字符并且由数字、字母和特殊字符两种或两种以上进行组合；（增强）

b)应对来自移动终端的数据流量、数据包和协议等进行检查，以允许/拒绝数据包通过。（新增）

7.1.3.3入侵防范

本项要求包括：

a)应能够检测到非授权无线接入设备和非授权移动终端的接入行为；

b)应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击

等行为；

c)应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态；

d)应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID广播、WEP认证等；

e)应禁止多个AP使用同一个鉴别密钥；

f)应能够检测并阻断非授权无线接入设备或非授权移动终端。（新增）

7.1.3.4安全审计

应对非授权移动终端接入行为进行审计记录，审计记录留存时间符合法律法规要求。（新增）

7.1.4安全计算环境

7.1.4.1身份鉴别

本项要求包括：

a)应对移动终端登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别；（新增）

b)应具有登录失败处理功能，使用口令登录时，应强制用户首次登录时修改初始口令，对用户

的鉴别信息进行复杂度检查；（新增）

c)用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全；（新

增）

7.1.4.2移动终端管控

3

T/CNEAXXXX—XXXX

本项要求包括：

a)应保证移动终端安装、注册并运行终端管理客户端软件；（新增）

b)移动终端应按受移动终端管理服务端的设备生命周期管理、设备远程控制，如：远程锁定、远

程擦除等。（新增）

7.1.4.3移动应用管控

本项要求包括：

a)应具有选择应用软件安装、运行的功能；

b)应只允许可靠证书签名的应用软件安装和运行。

7.1.4.4访问控制

本项要求包括：

a)客户端应用软件向移动终端操作系统申请权限时，应遵循最小权限原则；（新增）

b)应限制用户或进程对移动终端系统资源的最大使用限度，防止移动终端被提权；（新增）

c)应具有应用软件权限控制功能，应能控制应用软件对移动终端中资源的访问；（新增）

7.1.4.5入侵防范

本项要求包括：

a)应遵循最小安装的原则，仅安装需要的组件和应用程序；（新增）

b)应能够发现用户权限异常改变的情况；（新增）

c)移动终端应用软件应具备基本的抗攻击能力，能抵御静态分析、动态调试等操作；（新增）

d)移动终端应用软件安装、启动、更新时应对自身的完整性和真实性进行校验，具备抵御篡改、

替换或劫持的能力。（新增）

7.1.4.6安全审计

本项要求包括：

a)应启用移动终端安全审计功能，对终端用户重要操作及重要安全事件进行审计；（新增）

b)移动终端审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计

相关的信息；（新增）

c)应对移动终端审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。（新

增）

7.1.4.7恶意代码防范

移动终端应安装防恶意代码软件，并定期进行恶意代码扫描，及时更新防恶意代码软件版本和恶

意代码库。（新增）

7.1.5安全管理中心

参见GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第二级相关要求。

7.2管理要求

7.2.1安全管理制度

7.2.1.1管理制度

4

T/CNEAXXXX—XXXX

本项要求包括：

a)应对移动互联安全设备运维操作人员执行的日常维护操作建立操作规程，维护操作行为应通

过中间机，并能对这些操作进行审计。（增强）

7.2.2安全管理机构

7.2.2.1岗位设置

本项要求包括：

应设立移动互联管理员等岗位，并定义其工作岗位的职责（可兼任）。

7.2.2.2人员配备

本项要求包括：

a)应配备移动终端管理服务端管理员，可兼任。（增强）

7.2.3安全管理人员

7.2.3.1安全意识教育和培训

本项要求包括：

应对单位内部员工和驻场协作单位人员进行移动互联安全风险意识教育，并告知相关的安全责任

和惩戒措施。（增强）

7.2.4安全建设管理

7.2.4.1安全方案设计

本项要求包括：

a)应根据等级保护对象的安全保护等级同步进行移动互联安全方案设计，设计的安全防护等级

不低于原有等保对象。（新增）

7.2.4.2移动应用软件采购

本项要求包括：

a)应保证移动终端安装、运行的应用软件由指定的开发者开发。

7.2.4.3移动应用软件开发

本项要求包括：

a)应对移动业务应用软件开发者进行资格审查；

b)应保证开发移动业务应用软件的签名证书合法性；

c)应委托第三方机构对移动应用软件的安全性进行测试，测试内容包括防反编译测试、组件安

全测试和运行环境安全测试等。（新增）

7.2.4.4工程实施

本项要求包括：

a)应要求实施人员按照“同时设计、同时施工、同时投产使用”要求，同步开展系统工程实施

工作。（新增）

5

T/CNEAXXXX—XXXX

7.2.4.5软件审核与检测

本项要求包括：

应保证移动应用软件开发结束后经过安全防护措施评估，安全等级不低于访问的业务系统，。（新

增）

7.2.5安全运维管理

7.2.5.1设备维护管理

本项要求包括：

a)应确保移动终端在报废或重用前应进行完全清除或被安全覆盖，确保该设备上的敏感数据和

授权软件无法被恢复重用。（新增）

8第三级基本要求

8.1技术要求

8.1.1安全物理环境

8.1.1.1无线接入点的物理位置

本项要求包括：

a)应为无线接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。

b)应避免系统无线信号对单位在用的仪控、电气等设备产生电磁干扰；（增强）

c)应避免系统无线信号覆盖到核能行业单位（以下简称单位）工作区域外；（新增）

8.1.2安全通信网络

8.1.2.1网络架构

本项要求包括：

a)应保证无线接入网关和设备的处理能力满足业务高峰期需要；（新增）

b)单位生产控制区域涉及工控安全，禁止接入无线通信；

c)单位管理办公网络如建立无线通信，应根据工作需要建立无线专网，与其他网络之间边界设

置不低于需访问业务系统的安全级。

8.1.2.2通信传输

本项要求包括：

a)应在移动终端和移动管理服务器之间建立安全的信息传输通道，并进行双向认证；（新增）

b)应保证无线通信过程中数据的完整性和保密性；（新增）

c)通过移动终端应用软件发起的报文，应确保报文的不可抵赖性；（新增）

8.1.3安全区域边界

8.1.3.1边界防护

本项要求包括：

6

T/CNEAXXXX—XXXX

a)应保证单位有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备和边界网络

安全设备；（增强）

8.1.3.2访问控制

本项要求包括：

a)无线接入设备应开启接入认证功能，并且禁止使用WEP方式进行认证，长度不小于8位字符并

且由数字、字母和特殊字符两种或两种以上进行组合；（增强）

b)无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密

码模块进行认证；

c)应对来自移动终端的数据流量、数据包和协议等进行检查，以允许/拒绝数据包通过。（新增）

d)应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情况下，除允许通

信外，拒绝所有通信；（新增）

8.1.3.3入侵防范

本项要求包括：

a)应能够检测到非授权无线接入设备和非授权移动终端的接入行为；

b)应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击

等行为；

c)应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态；

d)应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID广播、WEP认证等；

e)应禁止多个AP使用同一个鉴别密钥；

f)应能够检测并阻断非授权无线接入设备或非授权移动终端。

8.1.3.4安全审计

应对非授权移动终端接入行为进行审计记录，审计记录留存时间符合法律法规要求。（新增）

8.1.4安全计算环境

8.1.4.1身份鉴别

本项要求包括：

a)应对移动终端用户登录、移动终端管理系统登录及其他系统级应用登录进行身份鉴别；（新

增）

b)移动终端应具有登录失败处理功能，使用口令登录时，应强制用户首次登录时修改初始口令，

对用户的鉴别信息进行复杂度检查；（新增）

c)用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全；（新

增）

d)应对同一用户选择两种或两种以上的鉴别技术来进行身份鉴别。如静态口令结合动态口令，

或者静态口令结合短信验证。（新增）

8.1.4.2移动终端管控

本项要求包括：

a)应保证移动终端安装、注册并运行终端管理客户端软件；

7

T/CNEAXXXX—XXXX

b)移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备

安全管控。如：远程锁定、远程擦除等；

c)应保证移动终端只用于处理指定业务。

d)移动终端管控系统应配置必要的安全管控模块，至少包含：网络准入控制、终端管理模块、

病毒防护模块、数据安全模块。（新增）

8.1.4.3移动应用管控

本项要求包括：

a)应具有选择应用软件安装、运行的功能；

b)应只允许指定证书签名的应用软件安装和运行；

c)应具有软件白名单功能，应能根据白名单控制应用软件安装、运行。（新增）

8.1.4.4访问控制

本项要求包括：

a)移动终端应具有应用软件权限控制功能，应能控制应用软件对移动终端中资源访问；（新增）

b)应采取措施保护客户端应用软件数据仅能被授权用户或授权应用组件访问；（新增）

c)应根据单位人员情况，对访问无线网络的角色分类授权，至少应包含：无线网络管理、内部

员工、外部访客等3种类型。

8.1.4.5入侵防范

本项要求包括：

a)应遵循最小安装的原则，仅安装需要的组件和应用程序；（新增）

b)应能够发现用户权限异常改变的情况；（新增）

c)移动终端应用软件应对软件接口进行保护，防止其他应用对客户端应用软件接口进行非授权

调用；（新增）

d)移动终端应用软件应具备基本的抗攻击能力，能抵御静态分析、动态调试等操作；（新增）

e)应能发现系统移动终端、无线接入设备、无线接入网关设备可能存在的漏洞，并在经过充分

测试评估后，及时修补漏洞；（新增）

f)移动终端应用软件的代码应使用代码加壳、代码混淆、检测调试器等手段对客户端应用软件

进行安全保护；（新增）

8.1.4.6安全审计

本项要求包括：

a)移动终端管理设备应启用安全审计功能，对终端用户重要操作及重要安全事件进行记录；（新

增）

b)移动终端审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计

相关的信息；（新增）

c)应对移动终端审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；（新

增）

8.1.4.7恶意代码防范

本项要求包括：

8

T/CNEAXXXX—XXXX

a)应支持移动业务应用软件仅运行在沙箱内，防止被恶意代码攻击。（新增）

本项要求包括：

a)应确保核能行业工作相关移动应用软件数据文件所在的存储空间，被释放或重新分配前可得

到完全清除；（新增）

b)应对移动终端访问行业单位的下载数据采取沙箱等安全措施，终端退出应用后，删除相关数

据。（新增）

8.1.5安全管理中心

参见GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级相关要求。

8.2管理要求

8.2.1安全管理制度

8.2.1.1管理制度

本项要求包括：

应对移动互联安全设备运维操作人员执行的日常维护操作建立操作规程，维护操作行为应通过中

间机，并能对这些操作进行审计。（增强）

8.2.2安全管理机构

8.2.2.1岗位设置

应设立移动互联管理员等岗位，并定义其工作岗位的职责。（新增）

8.2.2.2人员配备

本项要求包括：

应指定专人负责单位内移动终端设备的管理。（新增）

8.2.3安全管理人员

8.2.3.1安全意识教育和培训

本项要求包括：

a)应结合入场培训等培训活动对单位内部工作人员进行移动互联安全风险意识教育，并告知相关

的安全责任和惩戒措施。（增强）

b)应对移动终端管理服务端管理员进行专项安全意识教育和岗位技能培训，并告知相关的安全

责任和惩戒措施。（新增）

8.2.4安全建设管理

8.2.4.1安全方案设计

本项要求包括：

a)应根据移动终端需要访问的系统的的安全保护等级选择移动互联安全措施，依据风险分析的

结果补充和调整安全措施；（新增）

b)应根据安全保护等级进行移动互联安全方案设计，并纳入系统总体方案设计；（新增）移动

终端需要访问的系统的

9

T/CNEAXXXX—XXXX

c)应组织相关部门和安全专家对系统移动互联安全方案设计进行论证和审定，经过批准后才能

正式实施。（新增）

8.2.4.2移动应用软件采购

本项要求包括：

a)应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名；

b)应保证移动终端安装、运行的应用软件已通过第三方安全检测机构检测认证。

8.2.4.3移动应用软件开发

本项要求包括：

a)应对移动业务应用软件开发者进行资格审查；

b)应保证开发移动业务应用软件的签名证书合法性；

c)应要求应用软件开发使用的工具来源可靠；（新增）

8.2.4.4工程实施

本项要求包括：

a)应要求实施人员按照“同时设计、同时施工、同时投产使用”要求，同步开展系统工程实施

工作。（新增）

8.2.4.5软件审核与检测

本项要求包括：

d)应委托第三方检测机构对移动应用软件的安全性进行测试，测试内容包括防反编译测试、组

件安全测试和运行环境安全测试等。（新增）

8.2.5安全运维管理

8.2.5.1资产管理

本项要求包括：

a)应编制并保存单位配发的定制移动终端资产清单，包括资产责任部门、重要程度和使用人等

内容；（新增）

b)应根据资产的重要程度对单位配置的定制平板电脑等移动终端进行标识管理；（新增）

c)根据数据的信息敏感度制定分级的数据安全策略，通过基于设备和应用的安全策略，保证内

容安全。（新增）

8.2.5.2设备维护管理

本项要求包括：

a)应确保定制移动终端在报废或重用前应进行完全清除或被安全覆盖，确保该设备上的敏感数

据和授权软件无法被恢复重用；（新增）

b)应在移动终端设备丢失后对工作相关的数据进行远程擦除。（新增）

8.2.5.3配置管理

本项要求包括：

10

T/CNEAXXXX—XXXX

a)应记录和保存移动终端基本配置信息，包括操作系统、软件组件版本、移动终端各种设备或

软件组件的配置参数等；（新增）

b)应建立合法无线接入设备和合法移动终端配置库，用于对非法无线接入设备和非法移动终端的

识别。