1 范圍

      本標(biāo)準(zhǔn)規(guī)定了移動終端安全管理平臺的技術(shù)要求，包括安全功能要求和安全保障要求。

      本標(biāo)準(zhǔn)適用于移動終端安全管理平臺產(chǎn)品的設(shè)計(jì)、開發(fā)與檢測，為組織或機(jī)構(gòu)（以下簡稱“組織”）實(shí)施移動互聯(lián)應(yīng)用的安全防護(hù)提供參考。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

3 術(shù)語和定義

      GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

      移動終端 mobile terminal

      接入公眾移動通信網(wǎng)絡(luò)、具有操作系統(tǒng)、可由用戶自行安裝和卸載應(yīng)用軟件的移動通信終端產(chǎn)品。

3.2

      移動終端安全管理平臺 mobile terminal security management platform

      為增強(qiáng)移動終端的安全性和可控性，通過定制安全策略對移動終端設(shè)備、應(yīng)用等進(jìn)行統(tǒng)一管理和安全接入控制的產(chǎn)品。

4 縮略語

      下列縮略語適用于本文件。

      SD卡：安全數(shù)據(jù)存儲卡（Secure Digital Card）

      WiFi：無線局域網(wǎng)接入 (Wirelireless Fidelity)

5 產(chǎn)品描述

      本標(biāo)準(zhǔn)按照GB/T 18336.3-2015安全保障要求級別劃分的原則，依據(jù)移動終端安全管理平臺的安全功能要求和安全保障要求的強(qiáng)弱，將安全等級分為基本級和增強(qiáng)級?；炯壙蓪?yīng)支撐等級保護(hù)三級以下要求。增強(qiáng)級對應(yīng)支撐等級保護(hù)三級（含）以上要求。等級劃分參見附錄A。在增強(qiáng)級中新增的要求會通過黑體標(biāo)識。

      本標(biāo)準(zhǔn)從安全功能要求和安全保障要求兩個(gè)方面，規(guī)范了移動終端安全管理平臺的安全技術(shù)要求，

典型應(yīng)用場景參見附錄B。安全功能要求包括終端管理、應(yīng)用管理、數(shù)據(jù)安全、終端接入控制、安全管理、客戶端保護(hù)和安全審計(jì)等七個(gè)方面，安全保障要求則主要包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測試等方面。

6 安全技術(shù)要求

6.1 基本級安全技術(shù)要求

6.1.1 安全功能要求

6.1.1.1 終端管理

6.1.1.1.1 終端注冊

      應(yīng)提供對移動終端的注冊功能，注冊信息包括注冊日期、硬件型號、設(shè)備序列號、系統(tǒng)軟件版本、所屬部門等。

6.1.1.1.2 遠(yuǎn)程管理

      應(yīng)支持以下遠(yuǎn)程管理功能：

      a）遠(yuǎn)程鎖定移動終端；

      b）遠(yuǎn)程擦除移動終端存儲的敏感業(yè)務(wù)數(shù)據(jù)；

      c）遠(yuǎn)程備份移動終端存儲的敏感業(yè)務(wù)數(shù)據(jù)；

      d）授權(quán)人員遠(yuǎn)程設(shè)置功能限制策略，至少應(yīng)包括禁用攝像頭、禁止截屏、禁用WiFi、限制SD卡讀寫權(quán)限等。

6.1.1.1.3 存儲介質(zhì)管理

      應(yīng)支持對移動終端外接存儲介質(zhì)的管理、監(jiān)測等功能，對違規(guī)使用行為進(jìn)行告警和阻斷。

6.1.1.1.4 安全監(jiān)測

      應(yīng)支持以下監(jiān)測功能：

      a）監(jiān)測移動終端中惡意程序檢測軟件的安裝、運(yùn)行情況等；

      b）監(jiān)測移動終端位置信息、運(yùn)行服務(wù)、設(shè)備性能、軟件版本（至少應(yīng)包括操作系統(tǒng)等）等信息。

6.1.1.1.5 口令或生物特征鑒別策略

      應(yīng)支持以下功能：

      a）遠(yuǎn)程設(shè)置終端開機(jī)口令策略，阻斷未設(shè)置口令的終端接入，支持生物特征鑒別功能；

      b）監(jiān)測是否設(shè)置用戶賬戶口令，阻斷未設(shè)置用戶口令的終端接入；

      c）遠(yuǎn)程設(shè)置用戶口令策略，至少應(yīng)包括口令類型、定期更換策略、失敗次數(shù)限制等。

6.1.1.2 應(yīng)用管理

      應(yīng)支持授權(quán)人員設(shè)置應(yīng)用程序白名單、黑名單的功能，并能夠根據(jù)白名單、黑名單執(zhí)行相應(yīng)的操作。

6.1.1.3 數(shù)據(jù)安全

6.1.1.3.1 數(shù)據(jù)安全傳輸

      應(yīng)采用加密、數(shù)據(jù)完整性保護(hù)等安全機(jī)制，保障終端數(shù)據(jù)安全可靠傳輸。

6.1.1.3.2 數(shù)據(jù)安全存儲

      應(yīng)支持以下安全存儲功能：

      a）對服務(wù)端中的敏感數(shù)據(jù)進(jìn)行加密存儲和完整性保護(hù)；

      b）對服務(wù)端中敏感數(shù)據(jù)實(shí)現(xiàn)基于角色或?qū)傩缘鹊氖跈?quán)訪問控制；

      c）對移動終端、外置存儲設(shè)備存儲的敏感數(shù)據(jù)應(yīng)進(jìn)行加密處理，并能擦除未加密的敏感數(shù)據(jù)；

      d）對移動終端、外置存儲設(shè)備存儲的敏感數(shù)據(jù)進(jìn)行完整性保護(hù)。

6.1.1.3.3 數(shù)據(jù)防泄露

      應(yīng)支持敏感數(shù)據(jù)防泄露安全策略配置，對終端中業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測，支持?jǐn)?shù)據(jù)內(nèi)容的掃描、過濾和敏感數(shù)據(jù)外傳阻斷等功能。

6.1.1.3.4 個(gè)人信息保護(hù)

      應(yīng)采取必要的措施，確保移動終端和服務(wù)端存儲的個(gè)人信息安全，防止信息泄露、毀損、丟失等。

6.1.1.4 終端接入控制

6.1.1.4.1 接入鑒別

      應(yīng)支持僅允許經(jīng)服務(wù)端注冊的移動終端接入組織業(yè)務(wù)系統(tǒng)的功能。

6.1.1.4.2 訪問控制策略

      應(yīng)支持以下訪問控制策略配置功能：

      a）針對不同終端制定不同的應(yīng)用資源訪問控制策略。

      b）提供以下訪問限制能力：

      ——僅允許授權(quán)終端對應(yīng)用資源進(jìn)行訪問；

      ——授權(quán)終端對應(yīng)用資源進(jìn)行訪問的內(nèi)容不能超出預(yù)定義的范圍；

      ——授權(quán)終端對應(yīng)用資源進(jìn)行訪問的操作（如對文件、文件夾進(jìn)行讀、寫、復(fù)制、下載等操作）不能超出預(yù)定義的范圍（有則適用）；

      ——授權(quán)終端對應(yīng)用資源進(jìn)行訪問的時(shí)間不能超出預(yù)定義的范圍（有則適用）；

      ——授權(quán)終端通過網(wǎng)絡(luò)對應(yīng)用資源進(jìn)行訪問時(shí)，該終端所使用的移動終端的序列號/地址不能超出預(yù)定義的范圍（有則適用）；

      ——授權(quán)終端對應(yīng)用資源進(jìn)行訪問的次數(shù)不能超出預(yù)定義的范圍（有則適用）。

      c）移動終端對應(yīng)用資源的接入應(yīng)受訪問控制策略的約束。

6.1.1.5 安全管理

6.1.1.5.1 管理員屬性初始化

      應(yīng)支持對授權(quán)管理員的賬戶、口令等屬性進(jìn)行初始化的功能。

6.1.1.5.2 管理員唯一性標(biāo)識

      應(yīng)支持授權(quán)管理員唯一身份標(biāo)識功能，并將授權(quán)管理員的身份標(biāo)識與其所有可審計(jì)事件進(jìn)行關(guān)聯(lián)。

6.1.1.5.3 管理員屬性修改

      應(yīng)支持授權(quán)管理員屬性（至少包括管理員口令）修改功能。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。