TAF-WG4-AS0028-V1.0.0-2018 移動政企終端安全管理技術(shù)要求

1、電 信 終 端 產(chǎn) 業(yè) 協(xié) 會 標 準TAF-WG4-AS0028-V1.0.0:2018移動政企終端安全管理技術(shù)要求Technical Requirements for Government and Enterprise Mobile Terminal Security Management2018 - 09 - 03 發(fā)布2018 - 09 - 03 實施電信終端產(chǎn)業(yè)協(xié)會發(fā) 布TAF-WG4-AS0028-V1.0.0:2018目次庫七七 提供下載目次I前言III引言IV移動政企終端安全管理技術(shù)要求11 范圍12 規(guī)范性引用文件13 術(shù)語、定義和縮略語13.1 術(shù)語和定義13.1.1 移動

2、智能終端Smart Mobile Terminal13.1.2 移動政企終端 Government and Enterprise Industry Mobile Terminal13.1.3 移動設備管理Mobile Device Management13.1.4 移動應用管理Mobile Application Management13.1.5 移動內(nèi)容管理Mobile Content Management13.2 縮略語14 系統(tǒng)架構(gòu)25 安全目標25.1 概述25.2 移動設備管理安全目標35.2.1 用戶管理35.2.2 遠程控制35.2.3 通信安全35.2.4 設備自檢35.2.5

3、 資產(chǎn)管理35.3 移動應用管理安全目標35.4 移動內(nèi)容數(shù)據(jù)加密安全目標36 安全管理36.1 移動設備安全管理36.1.1 概述36.1.2 用戶管理36.1.3 遠程控制46.1.4 通信安全46.1.5 設備自檢56.1.6 資產(chǎn)管理56.2 移動應用安全管理56.2.1 移動應用分發(fā)管理56.2.2 應用層面的數(shù)據(jù)丟失保護5I6.2.3 應用級別的接入控制56.2.4 應用級使用控制66.2.5 數(shù)據(jù)保護66.3 移動內(nèi)容數(shù)據(jù)加密安全管理66.4 安全審計要求6A7附錄A （規(guī)范性附錄） 標準修訂歷史7B8附錄B （資料性附錄） 附錄8B.1 由于設備的丟失所帶來的數(shù)據(jù)丟失8B.2

4、網(wǎng)絡竊聽和網(wǎng)絡攻擊8B.3 員工有意或無意泄密8B.4 應用程序漏洞導致數(shù)據(jù)丟失和泄露8參考文獻9II前言本標準是為了保障移動政企終端的良性可持續(xù)發(fā)展，對移動終端設備安全、移動應用安全、移動內(nèi)容安全等維度制定安全管理技術(shù)要求。本標準由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標準起草單位：中國信息通信研究院華東分院、中國信息通信研究院。本標準主要起草人：楊偉利、潘娟、鄭忠斌、劉建泉、傅山、魏凡星、董霽、曹遠晶、嚴三霞。III引言隨著云計算、移動等新興的IT趨勢的逐步成熟，移動終端也走進了企事業(yè)單位，員工可以在任何時候、任何場所便捷地訪問公司內(nèi)網(wǎng)，運行內(nèi)部應用，這提升了辦公效率并且促進了員工之間的協(xié)同合作，

5、 然而卻給企業(yè)信息安全帶來了嚴峻的挑戰(zhàn)。移動辦公環(huán)境主要存在三個方面的安全隱患：首先是通過移動網(wǎng)絡鏈路接入，天然處在一個開放的網(wǎng)絡，而傳統(tǒng)重要的信息系統(tǒng)都是通過企業(yè)內(nèi)網(wǎng)接入；其次，使用的環(huán)境與傳統(tǒng)信息化模式不一樣，傳統(tǒng)的大部分時間都在固定的辦公場所，設備丟失可能性很小，而移動智能終端更加容易丟失；第三，移動辦公設備上往往同時安裝很多個人的APP，而個人APP市場上的惡意軟件多如牛毛，這就將企業(yè)數(shù)據(jù)置于安全隱患之中。保護用戶個人信息已成為業(yè)界及用戶非常關(guān)注的問題。為了保障移動政企終端的良性可持續(xù)發(fā)展，制定移動政企終端安全管理技術(shù)要求，確保移動終端上信息的安全流動、存儲和管理，幫助政企在移動辦公的

6、高效率與信息安全之間找到最佳平衡點。IVTAF-WG4-AS0028-V1.0.0:2018移動政企終端安全管理技術(shù)要求1 范圍本標準針對移動政企終端在移動辦公的系統(tǒng)架構(gòu)下，制定移動設備安全管理、移動應用安全管理、以及移動內(nèi)容安全管理的各項技術(shù)要求。本標準適用于移動辦公環(huán)境下的移動政企終端。2 規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。3 術(shù)語、定義和縮略語3.1 術(shù)語和定義3.1.1 移動智能終端Smart Mobile Terminal能夠接入移動通信網(wǎng)，具有能

7、夠提供應用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運行第三方應用軟件的移動終端。3.1.2 移動政企終端 Government and Enterprise Industry Mobile Terminal由企業(yè)根據(jù)自身業(yè)務特點定制并僅限內(nèi)部員工辦公使用的的移動智能終端。3.1.3 移動設備管理Mobile Device Management保護、監(jiān)控和管理移動政企終端。包括提供移動設備生命周期管理，從設備注冊、激活、使用、淘汰各個環(huán)節(jié)進行全面管理。具體能實現(xiàn)用戶管理、遠程控制、通信安全、設備自檢、資產(chǎn)管理等功能。3.1.4 移動應用管理Mobile Application Managemen

8、t針對移動政企終端應用的安全保護、分發(fā)、訪問、配置、更新、刪除等策略和流程。通過政企應用商店控制和推送應用，能集中監(jiān)控應用的使用情況，對應用設置相應策略以滿足政企的規(guī)范。3.1.5 移動內(nèi)容管理Mobile Content Management提供隔離環(huán)境，實現(xiàn)安全傳輸及安全存儲，確保政企數(shù)據(jù)安全無憂。3.2 縮略語BYODCOPE攜帶自己的設備企業(yè)擁有、個人使用Bring Your Own DeviceCorporate Owned, Personally Enabled9MAM MCMMDM移動應用管理移動內(nèi)容管理移動設備管理Mobile Application Management Mo

9、bile Content ManagementMobile Device Management4 系統(tǒng)架構(gòu)移動辦公系統(tǒng)參考架構(gòu)如圖1所示，移動設備通過無線網(wǎng)絡，運用HTTPS協(xié)議對服務器進行訪問。政企移動業(yè)務區(qū)域、移動設備和移動設備上的相關(guān)的應用由政企直接控制。政企核心業(yè)務區(qū)域也是在其控制范圍內(nèi)，但該區(qū)域不在本規(guī)范描述范圍內(nèi)。移動設備需保證移動計算以及接入到政企資源的安全，政企移動業(yè)務區(qū)域包括移動設備管理（MDM）、移動應用管理（MAM）和移動應用商店；MDM是集中對移動設備的功能、安全進行管理和優(yōu)化；MAM為裝載在移動設備上的政企應用提供分發(fā)、配置、數(shù)據(jù)控制以及應用生命周期管理的功能，它還可

10、以提供應用診斷的功能；移動應用商店提供了政企應用的下載渠道，這些已經(jīng)獲得許可的應用需下載并安裝到經(jīng)政企許可的移動設備上。政企移動業(yè)務移動辦公平臺服務器政企核心業(yè)務智能終端圖1政企移動辦公框架圖5 安全目標5.1 概述為了解決政企辦公人員在工作中使用移動政企終端存在的安全風險，需要對移動設備、移動應用、移動內(nèi)容進行安全管理，以保證政企辦公數(shù)據(jù)在存儲、處理、傳輸過程中沒有被盜，以此來改善員工和政企辦公風險問題。5.2 移動設備管理安全目標5.2.1 用戶管理為解決用戶有意或無意安裝不符規(guī)定的軟件，或者附錄B中所提到的員工有意或無意泄密問題，安全功能應對用戶進行相應的權(quán)限管理。在訪問受保護的功能和數(shù)

11、據(jù)前，需要用戶發(fā)起向設備的鑒權(quán)申請。一些非敏感功能（如撥打緊急電話，文字提示）可以無需鑒權(quán)直接訪問。用戶反復嘗試鑒權(quán)的行為應被限制或阻止，應保證未成功的嘗試間間隔足夠長時間。5.2.2 遠程控制為解決附錄B中提到的設備丟失所帶來的數(shù)據(jù)丟失，移動設備應提供數(shù)據(jù)保護，移動設備應該能夠具備遠程保護的能力，且終端的遠程控制功能也應具備非授權(quán)訪問的安全設置，確保終端僅處在有安全隱患的情況下才能被啟用。5.2.3 通信安全為解決附錄B中提到的網(wǎng)絡竊聽和網(wǎng)絡攻擊的威脅，移動設備和遠程網(wǎng)元間應使用可信通信傳輸方式。5.2.4 設備自檢為保證移動設備的完整性，移動設備應能自檢其關(guān)鍵功能、軟件、固件和數(shù)據(jù)的完整性

12、，自檢失敗的信息應能提示給用戶。為解決應用程序漏洞和惡意軟件攻擊，對軟件和固件版本升級也應在安裝運行前進行完整性檢測。5.2.5 資產(chǎn)管理如果終端為企業(yè)所有、個人使用，則需要對終端進行資產(chǎn)管理，確保資產(chǎn)在使用過程中的安全可控。5.3 移動應用管理安全目標政企實施移動辦公，移動應用是重要的軟件資產(chǎn)，需要通過移動應用管理能力來提供移動應用全生命周期管理，保障移動應用的安全高效使用。5.4 移動內(nèi)容數(shù)據(jù)加密安全目標政企辦公數(shù)據(jù)的內(nèi)容管理既要確保內(nèi)容的安全性，確保用戶數(shù)據(jù)不被非法篡改、獲取，同時能夠通過備份保證有效恢復，還需要具備擦除內(nèi)容的能力。6 安全管理6.1 移動設備安全管理6.1.1 概述根據(jù)

13、5.2節(jié)的安全目標，移動設備的安全管理包括用戶管理、遠程控制、通信安全、設備自檢和資產(chǎn)管理等功能。6.1.2 用戶管理移動設備能夠在用戶訪問受保護的功能和數(shù)據(jù)前發(fā)起鑒權(quán)申請，以及對不同領域的用戶進行相應的權(quán)限配置，即通過分權(quán)分域的方式來配置用戶的不同權(quán)限。用戶管理要求包括：(1) 對用戶的認證和授權(quán)通過移動設備與授權(quán)服務之間的可信通道建立；(2) 用戶在解密敏感數(shù)據(jù)時，應提供相應的鑒權(quán)機制，例如PIN碼、指紋等；(3) 針對身份認證口令，安全功能應支持以下功能：1. 口令應可以由大寫英文字母、小寫英文字母、數(shù)字、特殊字符任意組合而成。2. 口令長度不低于6位。(4) 限制用戶在認證前嘗試，用戶

14、認證嘗試連續(xù)失敗次數(shù)不超過10次，兩次嘗試間隔應不小于500毫秒；(5) 當用戶修改身份認證因子口令時，應要求用戶先輸入正確的口令；(6) 在設備進行口令輸入認證過程中，設備應只提供隱式顯示或提示，如顯示*號，不允許明文顯示和提示。（最多允許短暫（不大于1秒）顯示輸入各個字符，方便用戶確認自己的輸入字符）(7) 移動設備應在一定的時間間隔無操作后轉(zhuǎn)入鎖定模式；(8) 在移動設備轉(zhuǎn)入鎖定模式時應將之前顯示的內(nèi)容清除或覆蓋設備顯示；(9) 移動設備在使用僅充電模式下且處于鎖定狀態(tài)，移動設備應不支持數(shù)據(jù)存取功能；(10) 移動設備應有用戶權(quán)限管理，每個通過認證的用戶只能操作其授權(quán)的功能。6.1.3

15、遠程控制移動設備支持遠程控制功能，應具備一下條件：(1) 應在移動設備與遠程控制設備之間建立可信鏈路，用于保證遠程控制的控制安全。(2) 控制設備與被控設備之間應建立強認證機制，確保非授權(quán)設備控制移動設備。移動設備能夠可執(zhí)行的遠程操作如下：(1) 用戶的數(shù)據(jù)的遠程擦除，保證被刪除用戶數(shù)據(jù)不可再恢復，遠程擦除數(shù)據(jù)可以提供多項選擇，例如： 擦除SD卡數(shù)據(jù)、恢復出廠設置和應用的權(quán)限配置等；(2) 移動設備的遠程鎖定，若使用者由于疏忽暫時無法找到終端時，終端應支持遠程鎖定終端，保證信息安全；(3) 移動設備的遠程備份，備份系統(tǒng)應具備安全性、可管理性和可擴展性，且移動設備的數(shù)據(jù)備份系統(tǒng)的數(shù)據(jù)加密最好使用

16、數(shù)字信封的方式，保證高效的完成數(shù)據(jù)加密。6.1.4 通信安全移動政企終端通過移動網(wǎng)絡接入遠程接入?yún)^(qū)，移動終端應滿足一下要求：(1) 移動終端與遠程接入?yún)^(qū)應具備雙向身份認證機制，確保移動終端與遠程接入?yún)^(qū)的身份可信。(2) 移動政企終端應安全接入?yún)^(qū)建立可信加密通訊鏈路（例如VPN） 移動設備的通信安全要求包括：(1) 使用HTTPS等安全傳輸協(xié)議進行安全通信；(2) 應提供VPN客戶端接口，或數(shù)據(jù)流直接通過VPN客戶端的方式傳輸，如IPsec VPN或者SSL VPN；(3) 與外部藍牙設備配對前，應要求用戶進行顯式的認證；(4) 使用TLS版本應限于TLS 1.2版本或更高版本，如TLS1.3版

17、本，應限制使用自身不安全的版本，如TLS 1.0版本等；(5) 安全功能應提供適當方法，可以在某應用使用安全通信前，檢查其認證證書的合法性；(6) 當移動設備無法建立網(wǎng)絡連接來決定認證證書的合法性時，安全功能應運行管理員或用戶來選擇是否認可該認證證書合法。(7) 安全功能應為應用提供認證證書合法性驗證服務，驗證結(jié)果應告知該應用。6.1.5 設備自檢移動設備的自檢要求包括：(1) 在開機初始化過程中運行自測套件來測試所有安全功能正常運行；(2) 對完整性驗證值進行加密簽名；(3) 為自身使用提供可靠的時間戳；(4) 通過應用處理器OS內(nèi)核和在互斥媒介中存儲的所有可執(zhí)行代碼驗證啟動鏈的完整性，該代

18、碼在用數(shù)字簽名、硬件保護非對稱密鑰、或硬件保護哈希運行前在互斥媒介中存儲；(5) 使用更新前廠商提供的數(shù)字簽名來驗證對應用處理器系統(tǒng)軟件和其他處理器系統(tǒng)軟件的軟件更新；(6) 不更新或僅由被驗證過的軟件更新其根完整性保護密鑰或哈希；(7) 驗證在更新中使用的數(shù)字簽名驗證密鑰的合法性，驗證方法可以是通過信任錨數(shù)據(jù)庫公共密鑰驗證其合法性或通過硬件保護的公共密鑰驗證其符合性；(8) 使用非對稱算法管理根密鑰，持續(xù)不定期的更新根密鑰；(9) 將設備軟件完整性驗證值計入日志或提供給管理員。6.1.6 資產(chǎn)管理對于企業(yè)所有、個人使用的終端，其資產(chǎn)管理要求包括：(1) 應具備資產(chǎn)注冊及注銷的功能；(2) 對

19、終端的位置信息、使用賬戶信息要進行記錄。(3) 智能終端應具備唯一標識該設備的硬件標識。6.2 移動應用安全管理6.2.1 移動應用分發(fā)管理(1) 通過建立政企移動應用商店進行私有的、安全的管理移動應用；(2) 政企移動應用商店不面向大眾公開，終端訪問應用商店以及下載應用時需要通過身份認證；(3) 政企應用商店需要支持企業(yè)自行開發(fā)的移動應用和第三方應用市場的公共應用上架、下架管理；(4) 可以基于員工的組織結(jié)構(gòu)信息、設備的歸屬（BYOD、COPE）定向控制每個應用的分發(fā)和可視范圍；(5) 可以快速將移動應用定向推送到員工的移動設備上；(6) 應用商店能夠進行應用版本更新，并快速將新版本應用推送

20、到對應的員工移動設備上；(7) 在新版本應用上架后，支持移動應用的部分設備試點升級；(8) 支持應用黑名單和白名單，能夠進行黑白名單的檢查。6.2.2 應用層面的數(shù)據(jù)丟失保護(1) 基于應用的，而不是基于整個設備的數(shù)據(jù)加密；(2) 防止惡意軟件和欺騙應用訪問數(shù)據(jù)；(3) 基于應用，防止非授權(quán)的對數(shù)據(jù)的拷貝和粘貼；(4) 保證附件或者文件在安全的打包應用間傳輸（僅適用于安卓系統(tǒng)）。6.2.3 應用級別的接入控制(1) 在允許用戶接入到政企特定的應用前，應驗證用戶身份的合法性；(2) 把應用授權(quán)給用戶、角色或部門，保障應用使用安全；(3) 在政企規(guī)定的嘗試次數(shù)認證失敗后，企業(yè)應具有相應的措施使應用

21、無法被使用；(4) 在幾次嘗試認證失敗后，應丟棄或拒絕應用數(shù)據(jù)的恢復。6.2.4 應用級使用控制(1) 當設備被越獄或者ROOT后，應具有相應的措施使應用無法被使用；(2) 為每個應用設置超期時間來生成時間限制的接入。6.2.5 數(shù)據(jù)保護(1) 受保護的存儲數(shù)據(jù)僅僅由相應授權(quán)的應用訪問；(2) 為每一個應用和應用服務器建立一個安全的傳輸通道；(3) 在裝載應用的過程中要驗證設備的完整性。6.3 移動內(nèi)容數(shù)據(jù)加密安全管理移動內(nèi)容安全管理的要求包括：(1) 對企業(yè)數(shù)據(jù)和用戶數(shù)據(jù)使用數(shù)據(jù)加密密鑰(DEK)，通過特定的密碼算法進行加密/解密；(2) 要求用戶在解密受保護數(shù)據(jù)和加密DEK、KEK和其他長

22、效密碼材料、軟件密碼存儲開始前，輸入身份認證因子口令；(3) 在擦除受保護數(shù)據(jù)時，EEPROM： 銷毀應進行單向隨機數(shù)覆蓋，覆蓋后應進行讀取驗證；閃存: 銷毀應進行單向全零覆蓋或塊擦除，覆蓋或擦除后應進行讀取驗證；其他非易失存儲器：銷毀應進行三次或三次以上隨機數(shù)覆蓋，每次覆蓋使用的隨機數(shù)不同。(4) 在擦除操作完成后移動設備應進行重新啟動；(5) 對緩存文件進行加密；(6) 在擦除加密密鑰時，對易失性存儲器：銷毀應進行單向隨機數(shù)覆蓋，覆蓋后應進行讀取驗證； EEPROM： 銷毀應進行單向隨機數(shù)覆蓋，覆蓋后應進行讀取驗證；閃存: 銷毀應進行單向全零覆蓋或塊擦除，覆蓋或擦除后應進行讀取驗證；其他非易失存儲器：銷毀應進行三次或三次以上隨機數(shù)覆蓋，每次覆蓋使用的隨機數(shù)不同；(7) 可將移動設備分為企業(yè)工作區(qū)域和用戶個人區(qū)域；(8) 不允許用戶或未授權(quán)的應用將企業(yè)數(shù)據(jù)發(fā)往移動設備的個人區(qū)域和其他區(qū)域；(9) 可以提供方法在IT管理員授權(quán)情況下將聯(lián)系人、日歷事件信息在用戶個人區(qū)域和企業(yè)工作區(qū)域共享。6.4 安全審計要求(1) 實現(xiàn)安全審計管理，