《信息安全技術(shù) 電子政務(wù)移動辦公安全技術(shù)規(guī)范》

ICS35

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)

電子政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范

Informationsecuritytechnology—

Securitytechnologyspecificationsofmobilee-governmentsystem

(征求意見稿)

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則編寫。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本標(biāo)準(zhǔn)起草單位：國家信息中心、華為技術(shù)有限公司、深圳市雁聯(lián)移動科技有限公司、北京瑞星科

技股份有限公司、山東乾云啟創(chuàng)信息科技有限公司、北京三未信安科技發(fā)展有限公司、中興通訊股份有

限公司、北京國信靈通網(wǎng)絡(luò)科技有限公司、北京壹人壹本信息科技有限公司等。

本標(biāo)準(zhǔn)主要起草人：李新友、劉蓓、付宏燕、吳亞非等。

I

GB/TXXXXX—XXXX

信息安全技術(shù)電子政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范

1范圍

本標(biāo)準(zhǔn)基于電子政務(wù)移動辦公系統(tǒng)的安全風(fēng)險，提出了電子政務(wù)移動辦公系統(tǒng)的整體安全框架，規(guī)

定了移動終端安全、信道安全、移動接入安全、服務(wù)端安全應(yīng)滿足的技術(shù)要求，其中，增強(qiáng)要求可根據(jù)

政務(wù)系統(tǒng)安全要求選擇使用。

本標(biāo)準(zhǔn)適用于電子政務(wù)移動辦公系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品研發(fā)、工程實(shí)施和運(yùn)行管理，也可作為對電

子政務(wù)移動辦公系統(tǒng)進(jìn)行安全測評的依據(jù)。非涉密電子政務(wù)系統(tǒng)自身的安全防護(hù)按照國家等級保護(hù)相關(guān)

規(guī)定執(zhí)行，涉密電子政務(wù)系統(tǒng)的移動辦公按照國家保密局的規(guī)定執(zhí)行。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T30278—2013信息安全技術(shù)政務(wù)計(jì)算機(jī)終端核心配置規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

移動終端mobileterminal

便攜式、可移動的計(jì)算設(shè)備。

注：移動終端包括智能手機(jī)、平板、筆記本電腦，具備無線上網(wǎng)功能。

3.2

電子政務(wù)移動辦公系統(tǒng)mobilee-governmentsystem

利用移動終端，隨時隨地通過無線網(wǎng)絡(luò)訪問電子政務(wù)辦公系統(tǒng)進(jìn)行網(wǎng)上辦公的應(yīng)用系統(tǒng)。

3.3

移動設(shè)備管理MobileDeviceManagement

針對移動終端設(shè)備，提供從設(shè)備注冊、激活、使用到廢棄等全生命周期的管理，如設(shè)備配置管理、

安全管理、資產(chǎn)管理等，簡稱MDM。

3.4

移動應(yīng)用管理MobileApplicationManagement

1

GB/TXXXXX—XXXX

針對安裝在移動終端上的應(yīng)用軟件的分發(fā)、安裝、使用、監(jiān)控、升級和卸載等過程和行為進(jìn)行全面

管理，簡稱MAM。

3.5

移動內(nèi)容管理MobileContentManagement

針對利用移動終端訪問、存儲、傳輸或處理的數(shù)據(jù)文件進(jìn)行管理，如文件類型管理、文件訪問操作

權(quán)限控制等，簡稱MCM。

4縮略語

下列縮略語適用于本文件。

3G：第三代移動通信技術(shù)（3rdGenerationmobilecommunicationtechnology）

4G：第四代移動通信技術(shù)（4thGenerationmobilecommunicationtechnology）

API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）

APP：應(yīng)用（Application）

BMP：圖像文件格式（Bitmap）

CA：認(rèn)證中心（CertificateAuthority）

CSV：逗號分隔值/字符分隔值（Comma-SeparatedValues）

GIF：圖像互換格式（GraphicsInterchangeFormat）

GPRS：通用分組無線電業(yè)務(wù)（GeneralPacketRadioService）

HTML：超文本標(biāo)記語言（HyperTextMark-upLanguage）

IPSec：IP安全協(xié)議（InternetProtocolSecurityprotocol）

PNG：圖像文件存儲格式（PortableNetworkGraphicformat）

PDF：可攜式文件格式（PortableDocumentFormat）

SD：安全數(shù)碼卡（SecureDigitalcard）

SDHC：高容量安全數(shù)碼卡（SecureDigitalHighCapacitycard）

SM1：SM1分組密碼算法

SM2：SM2橢圓曲線公鑰密碼算法

SM3：SM3密碼雜湊算法

SM4：SM4分組密碼算法

SSL：安全套接層（SecureSocketsLayer）

TF/MicroSD：微型SD卡（Trans-Flash/MicroSD）

TLS：安全傳輸層協(xié)議（TransportLayerSecurity）

UKey：USB鑰匙（USBKey）

URL：統(tǒng)一資源定位符（UniformResourceLocator）

USB：通用串行總線（UniversalSerialBus）

VDI：虛擬桌面基礎(chǔ)架構(gòu)（VirtualDesktopInfrastructure）

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

WAP：無線應(yīng)用協(xié)議（WirelessApplicationProtocol）

WAPI：無線局域網(wǎng)鑒別和保密基礎(chǔ)架構(gòu)（WirelessLANAuthenticationandPrivacyInfrastructure）

Wi-Fi：無線保真（Wireless-Fidelity）

WLAN：無線局域網(wǎng)（WirelessLocalAreaNetwork）

2

GB/TXXXXX—XXXX

XSL：可擴(kuò)展樣式表語言（eXtensibleStylesheetLanguage）

5電子政務(wù)移動辦公系統(tǒng)基本結(jié)構(gòu)

電子政務(wù)移動辦公系統(tǒng)主要由移動終端、通信網(wǎng)絡(luò)、移動接入?yún)^(qū)和服務(wù)端四部分構(gòu)成，其基本結(jié)構(gòu)

如圖1所示。

圖1電子政務(wù)移動辦公系統(tǒng)基本結(jié)構(gòu)

（1）移動終端：處于電子政務(wù)移動辦公系統(tǒng)的用戶側(cè)，多在組織辦公場所外部使用，也支持組織

辦公場所內(nèi)部使用。

（2）通信網(wǎng)絡(luò)：位于移動終端與政務(wù)網(wǎng)絡(luò)之間，以移動蜂窩網(wǎng)絡(luò)、Wi-Fi或WAPI等公共無線網(wǎng)絡(luò)

連接移動終端，以互聯(lián)網(wǎng)/專網(wǎng)或局域網(wǎng)等方式接入政務(wù)網(wǎng)絡(luò)。

（3）移動接入?yún)^(qū)：處于政務(wù)網(wǎng)絡(luò)邊界側(cè)，一般包括網(wǎng)絡(luò)邊界防護(hù)設(shè)備，如防火墻、網(wǎng)關(guān)設(shè)備，以

及用于接入?yún)^(qū)與服務(wù)區(qū)進(jìn)行政務(wù)應(yīng)用控制或數(shù)據(jù)交換的應(yīng)用前置系統(tǒng)等。

（4）服務(wù)端：指政務(wù)網(wǎng)絡(luò)的核心服務(wù)區(qū)域，包括組織原有的政務(wù)辦公系統(tǒng)，以及對移動應(yīng)用和移

動內(nèi)容進(jìn)行管理的移動應(yīng)用系統(tǒng)。

6電子政務(wù)移動辦公系統(tǒng)安全框架

6.1系統(tǒng)主要安全風(fēng)險

電子政務(wù)移動辦公系統(tǒng)的安全風(fēng)險存在于移動終端、通信網(wǎng)絡(luò)、移動接入和服務(wù)端四個方面。系統(tǒng)

面臨的主要安全風(fēng)險見表1。

表1電子政務(wù)移動辦公系統(tǒng)面臨的主要安全風(fēng)險

面臨安全風(fēng)險的要素主要安全風(fēng)險

（1）非授權(quán)用戶訪問

（2）授權(quán)用戶惡意訪問

移動終端硬件、操作系統(tǒng)、應(yīng)用軟件及數(shù)據(jù)（3）惡意軟件訪問

（4）互聯(lián)網(wǎng)非授權(quán)實(shí)體的訪問

（5）移動終端丟失或被盜

（6）意外中斷

通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)自身、信息傳輸過程

（7）傳輸信息被非法竊聽、截獲或者修改

3

GB/TXXXXX—XXXX

（8）惡意攻擊破壞

（9）非授權(quán)用戶訪問

移動接入?yún)^(qū)應(yīng)用前置系統(tǒng)（10）授權(quán)用戶惡意訪問

（11）惡意軟件訪問

（12）非授權(quán)用戶訪問

（13）授權(quán)用戶惡意訪問

服務(wù)端業(yè)務(wù)應(yīng)用系統(tǒng)和信息數(shù)據(jù)

（14）惡意軟件訪問

（15）信息泄漏

6.2系統(tǒng)安全技術(shù)框架

基于對電子政務(wù)移動辦公系統(tǒng)的安全風(fēng)險分析，電子政務(wù)移動辦公系統(tǒng)的安全技術(shù)框架應(yīng)包括移動

終端安全、信道安全、接入安全和服務(wù)端安全四部分，涵蓋了對移動終端、信道、接入和服務(wù)端的具體

安全技術(shù)要求，如圖2所示。圖1中的基礎(chǔ)設(shè)施如邊界防護(hù)或安全隔離設(shè)備不包含在圖2范圍。

圖2電子政務(wù)移動辦公系統(tǒng)安全技術(shù)框架

（1）移動終端安全：移動終端在基本配置上應(yīng)根據(jù)政務(wù)系統(tǒng)的安全級別支持如下安全客戶端的安

裝和運(yùn)行，包括VPN客戶端、MDM客戶端、MAM客戶端和MCM客戶端等，支持軟硬件形式的數(shù)字證書的安裝

與使用，具備身份認(rèn)證、數(shù)據(jù)加密存儲、安全防護(hù)、運(yùn)行環(huán)境隔離等安全功能。

（2）信道安全：應(yīng)通過構(gòu)建VPN隧道滿足移動終端從公共無線網(wǎng)接入政務(wù)網(wǎng)絡(luò)的傳輸安全技術(shù)要求。

（3）接入安全：應(yīng)在政務(wù)網(wǎng)絡(luò)邊界側(cè)構(gòu)建接入?yún)^(qū)，以滿足移動終端安全接入要求，以及與政務(wù)網(wǎng)

絡(luò)核心服務(wù)區(qū)的安全隔離，包括接入認(rèn)證網(wǎng)關(guān)、MDM平臺和應(yīng)用前置，支持移動設(shè)備的接入認(rèn)證、安全

管理、以及后臺政務(wù)系統(tǒng)的安全隔離和前置功能，如虛擬化前置、頁面適配、接入?yún)^(qū)與核心區(qū)的數(shù)據(jù)交

換等。

（4）服務(wù)端安全：在政務(wù)網(wǎng)絡(luò)的核心服務(wù)區(qū)加強(qiáng)對移動應(yīng)用和移動數(shù)據(jù)的安全控制管理，包括對

移動應(yīng)用進(jìn)行控制管理的MAM平臺、對移動內(nèi)容進(jìn)行控制管理的MCM平臺。

7移動終端安全要求

7.1基本配置

移動終端的基本配置要求包括：

a)應(yīng)支持?jǐn)?shù)字證書的安裝和運(yùn)行；

b)應(yīng)支持VPN客戶端的安裝和運(yùn)行，以及在線升級；

4

GB/TXXXXX—XXXX

c)應(yīng)支持MDM客戶端的安裝和運(yùn)行，以及在線升級；

d)應(yīng)支持MAM客戶端的安裝和運(yùn)行，以及在線升級。

增強(qiáng)要求包括：

a)應(yīng)至少具備一個SD插槽或USB接口，支持硬件密碼卡（如TF/MicroSD卡）或UKey形式的數(shù)字

證書；

b)應(yīng)支持MCM客戶端的安裝和運(yùn)行，以及在線升級；

c)應(yīng)支持虛擬化客戶端的安裝和運(yùn)行，以及在線升級。

7.2數(shù)字證書

移動終端應(yīng)支持使用軟件形式的數(shù)字證書。

增強(qiáng)要求包括：

a)應(yīng)使用硬件密碼卡或UKey等安全介質(zhì)存儲數(shù)字證書；

b)硬件密碼卡或UKey應(yīng)支持國密算法。

7.3VPN客戶端

VPN客戶端與VPN服務(wù)端通訊，在公共無線網(wǎng)絡(luò)上構(gòu)建政務(wù)數(shù)據(jù)傳輸?shù)陌踩诺?，具體要求包括：

a)VPN客戶端啟動時，應(yīng)作為網(wǎng)絡(luò)通信的唯一通道；

b)支持軟件形式的數(shù)字證書。

增強(qiáng)要求包括：

應(yīng)支持硬件密碼卡或UKey。

7.4MDM客戶端

MDM客戶端與MDM平臺通訊，實(shí)現(xiàn)對移動終端設(shè)備的安全管理，具體要求包括：

a)應(yīng)開機(jī)自動運(yùn)行，保持對移動設(shè)備的實(shí)時監(jiān)測；

b)應(yīng)支持移動終端設(shè)備的注冊和登錄管理；

c)應(yīng)支持設(shè)備運(yùn)行狀態(tài)收集上報，如設(shè)備標(biāo)識、位置信息、固件版本、系統(tǒng)版本、網(wǎng)絡(luò)類型、用

戶信息等；

d)應(yīng)支持MDM服務(wù)端管理策略執(zhí)行，包括終端設(shè)備鎖定、整機(jī)遠(yuǎn)程擦除、出廠設(shè)置恢復(fù)、數(shù)據(jù)擦

除、ROOT檢測、策略更新、SD卡檢測等；

e)應(yīng)支持將政務(wù)辦公數(shù)據(jù)遠(yuǎn)程備份至服務(wù)端；

f)應(yīng)具備防卸載機(jī)制，當(dāng)MDM客戶端被卸載時，政務(wù)應(yīng)用客戶端及本地辦公數(shù)據(jù)將被自動擦除。

7.5MAM客戶端

MAM客戶端與MAM平臺通訊，實(shí)現(xiàn)對移動應(yīng)用的安全管理，具體要求包括：

a)應(yīng)開機(jī)自動運(yùn)行，保持對移動應(yīng)用的實(shí)時監(jiān)測；

b)應(yīng)支持移動辦公應(yīng)用及第三方應(yīng)用信息收集上報，如程序標(biāo)識、名稱、版本、平臺、開發(fā)商等；

c)應(yīng)支持MAM服務(wù)端管理策略執(zhí)行，包括應(yīng)用分發(fā)、安裝、卸載、應(yīng)用黑白名單設(shè)置等；

d)具備防卸載機(jī)制，可與MDM客戶端聯(lián)動，當(dāng)MAM客戶端被卸載時，執(zhí)行終端設(shè)備鎖定或信息

擦除策略。

5

GB/TXXXXX—XXXX

7.6MCM客戶端

MCM客戶端與MCM平臺通訊，實(shí)現(xiàn)對移動辦公數(shù)據(jù)文件的安全管理，具體要求包括：

a)應(yīng)開機(jī)自動運(yùn)行，支持自動更新升級；

b)應(yīng)支持移動辦公數(shù)據(jù)文件信息收集上報，如文件名稱、格式、大小、版本、更新時間、所有者、

分發(fā)條目、分發(fā)狀況等；

c)應(yīng)支持MCM服務(wù)端管理策略執(zhí)行，對PNG、JPG、GIF、BMP、PDF、DOC、DOCX、XSL、

CSV、TXT、HTML等格式數(shù)據(jù)文件進(jìn)行分級標(biāo)記管理，僅符合標(biāo)記等級的數(shù)據(jù)文件可由移動

終端訪問、處理和傳輸；

d)具備防卸載機(jī)制，可與MDM客戶端聯(lián)動，當(dāng)MAM客戶端被卸載時，執(zhí)行終端設(shè)備鎖定或信息

擦除策略。

7.7身份認(rèn)證

移動終端在身份認(rèn)證方面的要求包括：

a)應(yīng)支持設(shè)置開機(jī)口令或利用生物特征識別，開啟移動終端時進(jìn)行身份認(rèn)證；

b)應(yīng)支持屏幕鎖定口令，移動終端空閑時間達(dá)到設(shè)定閾值時鎖定屏幕；解鎖時應(yīng)重新進(jìn)行身份認(rèn)

證；

c)訪問政務(wù)應(yīng)用和本地政務(wù)數(shù)據(jù)之前應(yīng)采用數(shù)字證書進(jìn)行身份驗(yàn)證；

d)在限定時間段內(nèi)多次連續(xù)嘗試身份驗(yàn)證失敗，應(yīng)鎖定系統(tǒng)；

e)認(rèn)證信息應(yīng)加密存儲。

增強(qiáng)要求包括：

認(rèn)證信息應(yīng)采用硬件密碼卡或UKey加密存儲。

7.8數(shù)據(jù)存儲

移動終端數(shù)據(jù)存儲方面的要求包括：

a)政務(wù)數(shù)據(jù)應(yīng)與個人數(shù)據(jù)隔離存儲；

b)政務(wù)數(shù)據(jù)應(yīng)加密存儲，采用的加密算法應(yīng)符合國家密碼管理局的相關(guān)規(guī)定。

增強(qiáng)要求包括：

政務(wù)數(shù)據(jù)不應(yīng)存儲在手持式移動智能終端上，如手機(jī)和PAD。

7.9安全防護(hù)

移動終端的安全防護(hù)要求包括：

a)應(yīng)支持對病毒、木馬的查殺，攔截惡意軟件的攻擊；

b)應(yīng)支持對系統(tǒng)漏洞的修復(fù)；

c)應(yīng)支持系統(tǒng)補(bǔ)丁的升級；

d)應(yīng)支持移動辦公應(yīng)用關(guān)閉時及時清理緩存頁面等臨時文件。

此外，筆記本電腦在安全防護(hù)方面應(yīng)符合GB/T30278—2013第7章規(guī)定的核心配置基本要求。

7.10運(yùn)行環(huán)境隔離

移動終端的運(yùn)行環(huán)境隔離要求包括：

6

GB/TXXXXX—XXXX

a)應(yīng)采用沙箱等隔離技術(shù)保證政務(wù)辦公應(yīng)用與個人應(yīng)用運(yùn)行環(huán)境的有效隔離；

b)應(yīng)支持政務(wù)辦公應(yīng)用運(yùn)行時防止截屏；

c)應(yīng)在運(yùn)行結(jié)束之后及時清除臨時文件等剩余信息。

增強(qiáng)要求包括：

應(yīng)采用虛擬化或其他技術(shù)實(shí)現(xiàn)用戶界面和運(yùn)行環(huán)境的隔離，保證政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)僅在服務(wù)端運(yùn)

行和存儲，移動終端不存儲文檔數(shù)據(jù)。

8信道安全

信道安全的具體要求包括：

a)移動終端通過移動蜂窩網(wǎng)絡(luò)GPRS/3G/4G或Wi-Fi、WAPI等公共無線網(wǎng)絡(luò)接入政務(wù)網(wǎng)絡(luò)時，應(yīng)采

用VPN方式接入；

b)應(yīng)支持SSL/TLS、IPSec等網(wǎng)絡(luò)安全協(xié)議；

c)應(yīng)支持應(yīng)用級VPN，在應(yīng)用啟動時自動啟動VPN。通過應(yīng)用專屬的安全隧道，實(shí)現(xiàn)多政務(wù)應(yīng)用

之間的安全隔離。

9接入安全

9.1接入認(rèn)證網(wǎng)關(guān)

接入認(rèn)證網(wǎng)關(guān)的要求包括：

a)應(yīng)支持國密局規(guī)定的密碼算法；

b)密鑰協(xié)商數(shù)據(jù)的加密保護(hù)應(yīng)采用非對稱密碼算法（如SM2），報文數(shù)據(jù)的加密保護(hù)應(yīng)采用對稱

密碼算法（如SM1或SM4）；

c)應(yīng)支持SSL/TLS或IPSec等網(wǎng)絡(luò)安全協(xié)議；

d)應(yīng)支持基于用戶賬戶和權(quán)限分配的細(xì)粒度訪問控制，支持僅授權(quán)用戶才能訪問特定資源；

e)應(yīng)支持網(wǎng)關(guān)運(yùn)行情況的集中監(jiān)控。

9.2MDM平臺

9.2.1設(shè)備管理

MDM平臺的設(shè)備管理要求包括：

a)應(yīng)支持移動終端首次使用前注冊到MDM平臺，支持建立設(shè)備序列號、證書序列號、人員和手機(jī)

號碼等綁定關(guān)系；

b)應(yīng)支持移動終端設(shè)備信息統(tǒng)計(jì)，包括硬件、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、位置及用戶信息等；

c)應(yīng)支持遠(yuǎn)程對移動終端設(shè)備進(jìn)行注銷、禁用和鎖定管理；

d)應(yīng)支持基于用戶進(jìn)行管理，支持一個用戶綁定多個移動終端設(shè)備，支持通過用戶分組和關(guān)聯(lián)角

色進(jìn)行管理控制；

e)應(yīng)支持限制或者禁用移動終端硬件模塊功能，如攝像頭、錄音、藍(lán)牙、麥克風(fēng)等。

9.2.2安全管控

MDM平臺的安全管控要求包括：

7

GB/TXXXXX—XXXX

a)應(yīng)支持對移動終端的安全準(zhǔn)入檢查，不合規(guī)設(shè)備不應(yīng)注冊；

b)應(yīng)支持與接入認(rèn)證網(wǎng)關(guān)聯(lián)動，不合規(guī)的移動終端不應(yīng)接入；

c)應(yīng)支持對移動終端的軟硬件環(huán)境、運(yùn)行狀態(tài)及安全事件的持續(xù)監(jiān)控、安全審計(jì)及預(yù)警；

d)應(yīng)支持針對終端違規(guī)行為采取有效控制措施，包括限制訪問、警告、鎖定、禁用、系統(tǒng)還原、

數(shù)據(jù)擦除等；

e)若檢測到移動終端有ROOT行為，應(yīng)立即鎖定終端；

f)應(yīng)支持對移動終端允許使用的地理區(qū)域進(jìn)行限制；

g)支持遠(yuǎn)程禁用或重新啟用移動終端。

9.2.3安全審計(jì)

MDM平臺的安全審計(jì)要求包括：

a)應(yīng)支持對移動終端的政務(wù)應(yīng)用訪問操作進(jìn)行審計(jì)；

b)應(yīng)支持對移動終端的設(shè)備狀態(tài)變化及用戶違規(guī)行為等安全事件進(jìn)行審計(jì)；

c)審計(jì)日志應(yīng)記錄事件發(fā)生時間、對象、描述和結(jié)果等。

9.3應(yīng)用前置

為適配移動終端顯示方式，應(yīng)支持政務(wù)辦公系統(tǒng)WEB應(yīng)用到WAP應(yīng)用的轉(zhuǎn)換，或采用其他頁面適

配方法。

增強(qiáng)要求：

a)應(yīng)采用虛擬化或其他技術(shù)，實(shí)現(xiàn)政務(wù)辦公應(yīng)用及數(shù)據(jù)的安全隔離。

b)可采用數(shù)據(jù)擺渡等安全隔離技術(shù)，進(jìn)行政務(wù)辦公網(wǎng)絡(luò)接入?yún)^(qū)與核心區(qū)的安全數(shù)據(jù)交換，如網(wǎng)閘

等網(wǎng)絡(luò)隔離設(shè)備。

10服務(wù)端安全

10.1MAM平臺

10.1.1資源分類管理

MAM平臺的資源分類管理要求包括：

a)應(yīng)支持遠(yuǎn)程推送安裝移動政務(wù)應(yīng)用到指定的移動終端；

b)應(yīng)支持對移動政務(wù)應(yīng)用的安裝、使用情況進(jìn)行統(tǒng)計(jì)；

c)應(yīng)支持對移動政務(wù)應(yīng)用的版本管理，并可回退至指定歷史版本；

d)可通過建立企業(yè)移動應(yīng)用商店實(shí)現(xiàn)對移動政務(wù)應(yīng)用的統(tǒng)一發(fā)布、更新和管理。

10.1.2應(yīng)用訪問控制

MAM平臺的應(yīng)用訪問控制要求包括：

a)應(yīng)支持移動應(yīng)用黑白名單策略，并設(shè)置移動政務(wù)應(yīng)用的用戶訪問權(quán)限；

b)應(yīng)支持遠(yuǎn)程監(jiān)控和管理移動終端上安裝的政務(wù)應(yīng)用，包括應(yīng)用安裝、更新和刪除等；

c)刪除移動政務(wù)應(yīng)用時應(yīng)同時擦除應(yīng)用數(shù)據(jù)；

d)移動政務(wù)應(yīng)用不應(yīng)在未認(rèn)證的移動終端中安裝和運(yùn)行；

e)應(yīng)支持違規(guī)自動處理，自動向使用者和管理者發(fā)出警告；

f)應(yīng)支持將沙箱等安全容器推送至移動終端默認(rèn)安裝，增加應(yīng)用訪問的安全性。

8

GB/TXXXXX—XXXX

10.1.3政務(wù)應(yīng)用客戶端（APP）安全管理

對政務(wù)應(yīng)用的安全管理要求包括：

a)可設(shè)置專門應(yīng)用商店提供政務(wù)應(yīng)用發(fā)布、下載及更新服務(wù)；

b)支持對移動政務(wù)應(yīng)用進(jìn)行安全掃描，阻止含惡意代碼和嚴(yán)重漏洞的應(yīng)用發(fā)布至應(yīng)用商店；

c)支持對移動政務(wù)應(yīng)用進(jìn)行安全防護(hù)和加固，防止受到惡意程序的破壞、破解和篡改。

10.2MCM平臺

MCM平臺的要求包括：

a)應(yīng)支持JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等多種格式文件的

導(dǎo)入、上傳、發(fā)布和下載；

b)應(yīng)支持政務(wù)辦公文檔的分類管理，并設(shè)置用戶訪問權(quán)限，如讀寫、拷貝，下載等；

c)應(yīng)支持向移動