ICS35.240.01GB/T34079.5—2021國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會IGB/T34079.5—2021 1 1 1 4 5 6 6 79移動政務(wù)應(yīng)用 ⅢGB/T34079.5—2021GB/T34079《基于云計算的電子政務(wù)公共平臺服務(wù)規(guī)范》預(yù)計分為以下5個部分：——第1部分：服務(wù)分類與編碼；——第3部分：數(shù)據(jù)管理； 第5部分：移動服務(wù)。本部分為GB/T34079的第5部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分由中華人民共和國工業(yè)和信息化部(通信)提出。本部分由全國通信標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC485)歸口。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本部分起草單位：北京中海紀(jì)元數(shù)字技術(shù)發(fā)展股份有限公司、中國聯(lián)通研究院、中國信息通信研究楊森。GB/T34079.5—2021電子政務(wù)發(fā)展正處于轉(zhuǎn)變發(fā)展方式、深化應(yīng)用和突出成效的關(guān)鍵轉(zhuǎn)型期。政府職能轉(zhuǎn)變和服務(wù)型政府建設(shè)對電子政務(wù)發(fā)展提出了更新、更高的要求。以云計算為代表的新興信息技術(shù)、產(chǎn)業(yè)和應(yīng)用不斷涌現(xiàn)，深刻改變了電子政務(wù)發(fā)展的技術(shù)環(huán)境及條件。構(gòu)建基于云計算的電子政務(wù)公共平臺既可充分利本部分是基于云計算的電子政務(wù)移動應(yīng)用管理需求，以及電子政務(wù)公共平臺移動應(yīng)用管理核心要素的基礎(chǔ)上，制定了移動應(yīng)用管理中的終端要求、網(wǎng)絡(luò)接入要求、安全要求和計量要求等全過程的技術(shù)體系，為電子政務(wù)公共平臺的移動應(yīng)用服務(wù)提供機(jī)構(gòu)、服務(wù)使用機(jī)構(gòu)和服務(wù)評估機(jī)構(gòu)及平臺管理機(jī)構(gòu)提供標(biāo)準(zhǔn)規(guī)范，為推動移動應(yīng)用在電子政務(wù)公共平臺上的統(tǒng)一管理和規(guī)范服務(wù)提供參考，為電子政務(wù)應(yīng)用中的移動應(yīng)用建設(shè)的完整性、可靠性和可用性提供保障。本部分的制定結(jié)合了云計算、大數(shù)據(jù)的管理技術(shù)特征，并兼顧和引導(dǎo)傳統(tǒng)移動應(yīng)用技術(shù)逐步演進(jìn)為基于云計算的移動應(yīng)用服務(wù)，為政務(wù)移動應(yīng)用的高效利用提供有力支撐。1GB/T34079.5—2021基于云計算的電子政務(wù)公共平臺服務(wù)規(guī)范第5部分：移動服務(wù)1范圍GB/T34079的本部分規(guī)定了基于云計算的電子政務(wù)公共平臺支持移動服務(wù)的技術(shù)要求，包括總本部分適用于基于云計算的電子政務(wù)公共平臺移動服務(wù)的設(shè)計、開發(fā)和應(yīng)用。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T33780.1—2017基于云計算的電子政務(wù)公共平臺技術(shù)規(guī)范第1部分：系統(tǒng)架構(gòu)GB/T34078.1—2017基于云計算的電子政務(wù)公共平臺總體規(guī)范第1部分：術(shù)語和定義GB/T36968—2018信息安全技術(shù)IPSecVPN技術(shù)規(guī)范GM/T0024—2014SSLVPN技術(shù)規(guī)范GB/T34078.1—2017界定的以及下列術(shù)語和定義適用于本文件。3.1.1政務(wù)移動終端mobiletabletforgovernmentaffairs能夠安裝和運行政務(wù)應(yīng)用軟件，并能安全接入政務(wù)網(wǎng)絡(luò)和訪問政務(wù)應(yīng)用的移動智能終端。3.1.2雙因子認(rèn)證twofactorsauthentication結(jié)合密碼以及實物(如TF卡)兩種條件對用戶進(jìn)行認(rèn)證的方法。3.1.3在GSM和UMTS等移動網(wǎng)絡(luò)中用于唯一識別移動用戶的一個號碼。注：這個號碼通常被存放在SIM卡中，由手機(jī)發(fā)送給網(wǎng)絡(luò)。它也可用于獲取存儲在本地位置寄存器中的移動用戶的其他信息，或復(fù)制在當(dāng)?shù)匕菰L位置寄存器中。為了防止通過無線接口對用戶進(jìn)行竊聽和跟蹤，IMSI是很少被發(fā)送的，而是被作為盡可能由一個隨機(jī)生成的TMSI代替發(fā)送。3.1.4WLAN高密接入WLANhighdensityaccess通過智能調(diào)度、功率調(diào)整和信道調(diào)整等技術(shù)提升網(wǎng)絡(luò)的整體性能，提高多用戶接入能力和改善用戶體驗。2GB/T34079.5—20213.1.5在WLAN網(wǎng)絡(luò)中，通過對無線應(yīng)用環(huán)境和信號質(zhì)量的感知。靈活調(diào)整物理信道競爭參數(shù)和調(diào)整3.1.6根據(jù)無線終端接入的距離及數(shù)據(jù)交換容量，AP自動調(diào)整無線信號發(fā)射功率。3.1.7AP支持信道自動掃描功能，自動探測周邊AP使用的信道以及干擾，結(jié)果上報AC,觸發(fā)信道3.1.83.1.9把計算機(jī)技術(shù)與傳統(tǒng)通信技術(shù)融為一體的新通信模式的一種業(yè)務(wù)類型。3.1.10在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。3.1.11一種為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的安全協(xié)議。3.1.12應(yīng)用級VPNapplicationlevelVPN為了特定應(yīng)用程序而構(gòu)建基于SSL傳輸協(xié)議的VPN。下列縮略語適用于本文件。AC:無線控制器(AccessController)ACL:訪問控制列表(AccessControlList)AD:廣告(Advertisement)AES:高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)AP:無線接入點(AccessPoint)API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)CA:認(rèn)證中心(CertificationAuthority)3GB/T34079.5—2021CAPWAP:無線接入點的控制和規(guī)范(ControlandProvisioningofWirelessAccessPoints)CDR:計費數(shù)據(jù)記錄(ChargingDataRecord)CRL:證書撤銷列表(CertificateRevocationLists)DHCP:動態(tài)主機(jī)配置協(xié)議(DynamicHostConfigurationProtocol)DTLS:數(shù)據(jù)包傳輸層安全性協(xié)議(DatagramTransportLayerSecurity)FTP:文件傳輸協(xié)議(FileTransferProtocol)GRE:通用路由封裝(GenericRoutingEncapsulation)GSM:全球移動通信系統(tǒng)(GlobalSystemforMobileCommunications)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)IMSI:國際移動用戶標(biāo)識碼(InternationalMobileSubscriberIdentity)IP:網(wǎng)際互連協(xié)議(InternetProtocol)IPSec:IP安全(IPSecurity)LDAP:輕型目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)MAC:介質(zhì)訪問控制(MediumAccessControl)MDM:移動設(shè)備管理(MobileDeviceManagement)MEAP:基于移動的應(yīng)用平臺(Mobile-basedEnterpriseApplicationPlatform)NMAP:網(wǎng)絡(luò)映射器(NetworkMapper)NoSQL:非關(guān)系型數(shù)據(jù)庫(NotOnlySQL)OCSP:在線證書狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)OTA:空中下載技術(shù)(OvertheAirTechnology)OUI:組織唯一標(biāo)識符(OrganizationallyUniqueIdentifier)PC:個人計算機(jī)(PersonalComputer)PDF:可攜帶文檔格式(PortableDocumentFormat)QoS:服務(wù)質(zhì)量(QualityofService)RSA:高安全密鑰分發(fā)算法(RivestShamirAdleman)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)SIM:客戶識別模塊(SubscriberIdentityModule)SMS:短信息服務(wù)(ShortMessageService)SNMP:簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)SSID:服務(wù)集標(biāo)識(ServiceSetIdentifier)SSL:安全套接層(SecureSocketsLayer)TLS:傳輸層安全(TransportLayerSecurity)TMSI:臨時識別碼(TemporaryMobileSubscriberIdentity)TSM:終端安全管理(TerminalSecurityManagement)UC:統(tǒng)一通信(UnifiedCommunications)UMTS:通用移動通信系統(tǒng)(UniversalMobileTelecommunicationsSystem)USB:通用串行總線(UniversalSerialBus)VDI:虛擬桌面設(shè)備(VirtualDesktopInfrastructure)VPN:虛擬專用網(wǎng)(VirtualPrivateNetwork)WAPI:無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WirelessLANAuthenticationandPrivacy4WLAN:無線局域網(wǎng)(WirelessLocaWPA2:保護(hù)無線電腦網(wǎng)絡(luò)安全系統(tǒng)(Wi-FiProtectedAccess)3DES:三重數(shù)據(jù)加密算法(TripleDataEncryptionStandard)4總體框架移動政務(wù)應(yīng)用移動政務(wù)1移動政務(wù)2移動應(yīng)用3移動政務(wù)4移動政務(wù)應(yīng)用N應(yīng)用商店應(yīng)用安全計量要求終端移動辦公工作臺終端安全模塊安全信道移動網(wǎng)絡(luò)WLAN移動安全網(wǎng)關(guān)VPN接入認(rèn)證/授權(quán)服務(wù)端管理JI/Ue適配服務(wù)移動應(yīng)用支撐電子政務(wù)公共平臺終端安全接入傳輸安全身份安全移動服務(wù)總體框架具體包括以下內(nèi)容：a)終端主要包含移動辦公工作平臺及終端安全模塊這兩個組件：2)終端安全模塊是通過如：TF密碼卡、終端安全加固和終端管理軟件等安全隔離運行環(huán)境，實現(xiàn)電子政務(wù)移動辦公的終端安全。終端系統(tǒng)可定制安全能力，可通過軟件升級為用戶提供不斷演進(jìn)的安全性能和服務(wù)。b)安全信道主要包括移動網(wǎng)絡(luò)、WLAN和固定網(wǎng)絡(luò)3個部分，終端通過WLAN網(wǎng)絡(luò)、3G、4G和5G等移動網(wǎng)絡(luò)及固定網(wǎng)絡(luò)接入政務(wù)網(wǎng)絡(luò)，并通過安全統(tǒng)一接入網(wǎng)關(guān)進(jìn)行多場景統(tǒng)一移動接入5GB/T34079.5—2021和認(rèn)證。終端用戶通過內(nèi)外網(wǎng)切換和WLAN快速漫游，可實現(xiàn)無縫切換的業(yè)務(wù)感受。c)移動安全網(wǎng)關(guān)可提供VPN接入，以及在政務(wù)網(wǎng)絡(luò)下訪問的API調(diào)用分析服務(wù)和SSO服務(wù)，同時提供移動服務(wù)所規(guī)定的認(rèn)證授權(quán)服務(wù)。d)服務(wù)端管理主要包括策略管理服務(wù)、移動設(shè)備管理及移動應(yīng)用支撐服務(wù)3個部分：1)策略管理服務(wù)支持終端接入、終端識別和集中管理等功能，具備為有線、無線和VPN接入用戶提供統(tǒng)一的策略控制功能，能夠根據(jù)用戶認(rèn)證策略和終端信息進(jìn)行授權(quán)和策略2)移動設(shè)備管理基于運行于終端的前臺軟件與后臺終端管理平臺配合提供全面的系統(tǒng)監(jiān)管3)移動應(yīng)用支撐服務(wù)是針對移動應(yīng)用所提供的信息推送服務(wù)、UI/UE適配服務(wù)、通訊錄服務(wù)、統(tǒng)計分析服務(wù)、API接入管理服務(wù)及數(shù)據(jù)管理服務(wù)的技術(shù)支撐，用于快速訪問移動應(yīng)用系統(tǒng)，減少對政務(wù)系統(tǒng)的訪問來節(jié)省資源和提升移動應(yīng)用的可用性，同時可以在應(yīng)用過程中，對用戶上網(wǎng)行為進(jìn)行管控，對外發(fā)文件及內(nèi)容進(jìn)行控制和審計，并對用戶信息提供e)移動政務(wù)應(yīng)用主要包括移動應(yīng)用支持、常用軟件要求兩個部分，移動政務(wù)應(yīng)用是為政務(wù)應(yīng)用中運行業(yè)務(wù)流程和邏輯應(yīng)用提供程序組件，如應(yīng)用商店、應(yīng)用訪問及應(yīng)用交付，常用軟件要求則是針對部分具體移動政務(wù)應(yīng)用提出要求。f)安全要求主要包括終端安全、接入傳輸安全、身份安全和應(yīng)用安全4個部分，安全服務(wù)可以實現(xiàn)對訪問的管理，只有授權(quán)政務(wù)用戶可安全訪問移動服務(wù)。該組件提供對移動設(shè)備和移動應(yīng)用服務(wù)之間的數(shù)據(jù)保護(hù)，并使得安全管理服務(wù)具備可視性及在管理中具備可操作性。g)計量要求主要包括服務(wù)度量計價模塊和計費管理流程兩個部分組成，計量服務(wù)是針對政務(wù)用戶訪問的資源計費管理，通過對計價功能要求和計費管理流程的要求，確保計量服務(wù)的完整性。5終端5.1終端安全模塊終端安全模塊包括如下要求：故障恢復(fù)能力。c)終端應(yīng)具有系統(tǒng)安全校驗技術(shù)，只能安裝和升級指定系統(tǒng)軟件。d)應(yīng)支持OTA方式升級系統(tǒng)及安全補(bǔ)丁，同時應(yīng)具備對OTA升級包進(jìn)行完整性驗證的能力。e)軟件升級時，系統(tǒng)應(yīng)可對升級包以及版本的合法性進(jìn)行校驗和檢查，僅允許升級到具有官方簽名的同款產(chǎn)品版本。f)終端應(yīng)能夠監(jiān)視CPU、存儲卡、內(nèi)存和網(wǎng)絡(luò)等資源的使用情況。g)終端對應(yīng)用程序啟動、網(wǎng)絡(luò)訪問、配置修改和系統(tǒng)登錄等操作行為應(yīng)可以實時記錄監(jiān)控并生成h)終端管理軟件應(yīng)為系統(tǒng)級進(jìn)程，用戶不能自行卸載及終止。i)終端管理軟件應(yīng)可檢測TF密碼卡、SIM卡等外部安全物理插件是否正確載入，如載入不正確或密碼輸入錯誤，應(yīng)停止政務(wù)應(yīng)用的訪問或鎖屏。j)終端為政務(wù)應(yīng)用運行提供安全隔離運行環(huán)境。普通應(yīng)用和政務(wù)應(yīng)用運行環(huán)境之間資源隔離，6GB/T34079.5—2021k)終端可根據(jù)用戶需求定制安全能力，通過軟件升級為用戶提供不斷演進(jìn)的安全性能和服務(wù)。作平臺具備功能如下：b)移動辦公工作平臺應(yīng)支持通過提供移動辦公系統(tǒng)安全SDK的集成能力，實現(xiàn)電子政務(wù)移動辦c)在移動辦公工作平臺中的應(yīng)用程序需要處理敏感政務(wù)數(shù)據(jù)時應(yīng)采用應(yīng)用代理的方式，并在設(shè)d)應(yīng)提供在網(wǎng)絡(luò)可用時將數(shù)據(jù)安全地存儲在設(shè)備上并與后端同步的功能。由于移動網(wǎng)絡(luò)并不總6安全信道接入方式包括如下要求：a)終端通過3G、4G、5G等移動網(wǎng)絡(luò)或WLAN等公共無線網(wǎng)絡(luò)接入政務(wù)網(wǎng)絡(luò)時，應(yīng)采用VPNb)系統(tǒng)WLAN網(wǎng)絡(luò)中的AP與AC之間數(shù)據(jù)通信，應(yīng)采用基于DTLS的CAPWAP隧道；c)系統(tǒng)中WLAN設(shè)備應(yīng)支持MIMO通信技術(shù)；d)系統(tǒng)可支持WLAN高密接入，具備智能多用戶調(diào)度技術(shù)、自適應(yīng)功率調(diào)整、自適應(yīng)信道調(diào)整和層次化QoS調(diào)度功能。6.2無縫切換無縫切換包括如下要求：a)系統(tǒng)應(yīng)支持內(nèi)部辦公網(wǎng)絡(luò)WLAN接入的無加密快速漫游，無線側(cè)不加密，切換時間應(yīng)小于b)系統(tǒng)應(yīng)支持內(nèi)部辦公網(wǎng)絡(luò)WLAN接入的WPA2與802.1x認(rèn)證結(jié)合方式下的快速漫游，保證c)系統(tǒng)應(yīng)支持外網(wǎng)VPN接入切換至內(nèi)網(wǎng)WLAN接入，保證用戶免重新認(rèn)證和登錄，切換時間小于4s。7移動安全網(wǎng)關(guān)a)針對移動應(yīng)用服務(wù)采用VPN方式進(jìn)行接入來提供移動應(yīng)用的安全接入，消除地域差異，實現(xiàn)可移動用戶的網(wǎng)絡(luò)互聯(lián)及基于Internet網(wǎng)絡(luò)下的移動應(yīng)用安全訪問控制。b)安全網(wǎng)關(guān)應(yīng)提供SSO服務(wù)，SSO是在通過VPN客戶端認(rèn)證成功后，用戶請求訪問受VPN7GB/T34079.5—2021關(guān)保護(hù)且支持單點登錄的后臺應(yīng)用時，VPN網(wǎng)關(guān)通過匹配的單點登錄用戶信息重新組裝用戶訪問請求數(shù)據(jù)包，以實現(xiàn)對后臺應(yīng)用的自動認(rèn)證，而無需用戶再次填寫用戶信息。c)安全網(wǎng)關(guān)應(yīng)提供多種方法和令牌類型來識別認(rèn)證和授權(quán)用戶的功能。移動認(rèn)證服務(wù)應(yīng)提供處理不同的令牌類型(如OAuth或OpenID)以及諸如語音ID或生物特征技術(shù)的能力。d)安全網(wǎng)關(guān)在提供API的入口點時，需捕獲政務(wù)移動應(yīng)用客戶端API調(diào)用的分析數(shù)據(jù)，如調(diào)用API頻率、調(diào)用API種類等。7.2安全統(tǒng)一接入要求安全統(tǒng)一接入包括如下要求：a)安全統(tǒng)一接入網(wǎng)關(guān)鏈路級、應(yīng)用級VPN加密應(yīng)支持國密算法；b)安全統(tǒng)一接入網(wǎng)關(guān)應(yīng)配置電子政務(wù)認(rèn)證服務(wù)機(jī)構(gòu)發(fā)放的設(shè)備證書；c)安全統(tǒng)一接入網(wǎng)關(guān)應(yīng)支持雙機(jī)熱備功能；d)移動安全應(yīng)用與安全統(tǒng)一接入網(wǎng)關(guān)建立連接時，安全統(tǒng)一接入網(wǎng)關(guān)應(yīng)校驗數(shù)字證書的有效性，支持證書的CRL或OCSP檢測，保證證書的有效和安全，工作密鑰交換應(yīng)使用數(shù)字證書保護(hù)；安全統(tǒng)一接入網(wǎng)關(guān)應(yīng)能獲取MDM控制策略，終端違反安全策略時，網(wǎng)關(guān)應(yīng)阻斷其接入網(wǎng)絡(luò)。8服務(wù)端管理8.1策略管理服務(wù)終端識別包括如下要求：a)應(yīng)支持網(wǎng)絡(luò)接入設(shè)備通過報文重定向或內(nèi)置探針的方式，獲取終端類型、接入方式、接入時間系統(tǒng)軟件和應(yīng)用軟件等信息的能力。b)應(yīng)支持MAC、OUI規(guī)則庫，以及DHCP、HTTP、SNMP和NMAP等協(xié)議探針。c)應(yīng)支持智能終端名稱識別功能：——能夠識別智能手機(jī)和平板電腦類產(chǎn)品；d)應(yīng)支持終端軟件系統(tǒng)的識別功能。策略服務(wù)器應(yīng)支持非智能終端的識別功能，如攝像頭、打印f)應(yīng)支持終端資產(chǎn)類型識別的功能。策略統(tǒng)一包括如下要求：a)策略管理服務(wù)應(yīng)具備為有線、無線和VPN接入用戶提供統(tǒng)一的策略控制功能，能夠根據(jù)用戶認(rèn)證策略和終端信息進(jìn)行授權(quán)和策略下發(fā)；b)策略管理服務(wù)應(yīng)支持在多系統(tǒng)共同部署時，策略引擎可共享；式等策略維度限制用戶接入權(quán)限，控制終端接入安全；d)策略管理服務(wù)支持自定義Radius(半徑)屬性的功能，允許主流廠家預(yù)置私有Radius(半徑)屬性字典，支持導(dǎo)入和更新主流廠家私有Radius(半徑)屬性字典；e)策略管理服務(wù)的策略支持基于不同的QoS、不同的接入/應(yīng)用權(quán)限、不同的帶寬和不同的時間8GB/T34079.5—2021段來進(jìn)行策略制定和控制。8.2移動設(shè)備管理用戶自助服務(wù)包括如下要求：a)應(yīng)支持用戶通過自助頁面查看自己設(shè)備的信息；b)應(yīng)支持用戶通過自助頁面對自己的終端做遠(yuǎn)程擦除；c)應(yīng)支持用戶通過自助頁面對自己的終端做遠(yuǎn)程鎖定；d)應(yīng)支持用戶通過自助頁面清除自己設(shè)備的鎖屏密碼；e)應(yīng)支持用戶通過自助頁面定位或注銷自己設(shè)備的位置。應(yīng)用管理包括如下要求：b)應(yīng)支持移動辦公應(yīng)用后臺管理，如應(yīng)用的上傳、刪除和查詢(查詢內(nèi)容包括應(yīng)用程序的名稱及版本信息);配置策略禁止使用移動應(yīng)用平臺軟件；e)移動辦公應(yīng)用管理支持應(yīng)用控制、分發(fā)部署、更新和卸載提醒等，確保應(yīng)用合規(guī)并提升應(yīng)用部署效率；f)提供托管政務(wù)目錄并將政務(wù)應(yīng)用程序分發(fā)到移動設(shè)備的能力。設(shè)備管理包括如下要求：a)支持通過移動設(shè)備管理平臺遠(yuǎn)程下發(fā)安全策略。b)移動設(shè)備應(yīng)支持接入控制、遠(yuǎn)程鎖定解鎖和應(yīng)用軟件控制等系列安全措施。c)若檢測到終端有破解管理員用戶配置的行為，應(yīng)提供訪問限制、審計、提示和警告相應(yīng)策略。d)移動設(shè)備管理平臺支持密碼鎖屏策略包括：——強(qiáng)制設(shè)置設(shè)備鎖屏密碼；——要求數(shù)字、字母和符號的混合；——最小密碼長度；——密碼過期時間；——密碼出錯嘗試次數(shù)限制不活動時間閾值上限。e)支持限制終端硬件模塊功能，應(yīng)能控制攝像頭、Wi-Fif)通過對終端的合規(guī)檢查，移動設(shè)備管理系統(tǒng)可控制其能否接入電子政務(wù)網(wǎng)絡(luò)。資產(chǎn)管理包括如下要求：a)支持設(shè)備資產(chǎn)的生命周期管理：從設(shè)備發(fā)現(xiàn)，注冊、準(zhǔn)入控制到使用監(jiān)控，數(shù)據(jù)管理及掛失注9GB/T34079.5—2021b)支持管理員注冊單個終端；c)支持管理員批量注冊終端；d)支持設(shè)備注銷；e)支持設(shè)備信息列表；f)支持查看單臺設(shè)備的詳細(xì)信息(如軟硬件信息);安全管控包括如下要求：進(jìn)行規(guī)范化的管理控制；f)支持強(qiáng)制終端定期登錄MDM系統(tǒng)，實現(xiàn)對資產(chǎn)的不間斷管控；g)可對終端允許使用的地理區(qū)域進(jìn)行限制。數(shù)據(jù)管理包括如下要求：b)支持移動辦公應(yīng)用數(shù)據(jù)擦除。后臺管理包括如下要求：a)MDM后臺提供策略管理頁面；c)管理終端與管理平臺之間應(yīng)加密傳輸。用戶管理包括如下要求：a)應(yīng)支持基于用戶組下發(fā)業(yè)務(wù)VLAN、基于用戶組下發(fā)ACL控制策略、基于用戶組下發(fā)上下行速率控制和基于用戶組下發(fā)隔離策略；客等)并賦予不同的訪問權(quán)限；c)應(yīng)支持對用戶進(jìn)行分權(quán)分域管理，網(wǎng)管操作人員可設(shè)置管理用戶范圍和權(quán)限；支持強(qiáng)制下線和賬號鎖定(可以自動解鎖和管理員解鎖)功能；GB/T34079.5—2021黑名單，此時使用正確的密碼也應(yīng)不能登錄。8.4訪客接入管理訪客接入管理包括如下要求：a)系統(tǒng)應(yīng)支持內(nèi)部人員為訪客申請賬號的功能，并通過短信(SMS)或者Email把賬號發(fā)給訪客訪客賬號應(yīng)具有使用時間限制，內(nèi)部人員申請權(quán)限時支持通過人員類型進(jìn)行控制的功能；b)系統(tǒng)應(yīng)支持訪客自助申請賬號的功能，并通過SMS/Email把賬號發(fā)給訪客；c)策略服務(wù)中心應(yīng)支持對訪客上下線時間、接入位置進(jìn)行審計的功能，可以按訪客來查日志；d)系統(tǒng)應(yīng)支持通過采用CAPWAP隧道和GRE隧道實現(xiàn)對訪客的路徑隔離；e)系統(tǒng)應(yīng)支持訪客接入的安全審計功能，包括訪客生命周期全流程審計、訪客流量隔離、訪客上網(wǎng)行為管理和審計。8.5證書管理及使用證書管理及使用包括如下要求：a)系統(tǒng)應(yīng)支持對終端的強(qiáng)認(rèn)證功能，即終端內(nèi)置TF密碼卡，登錄移動辦公應(yīng)用時應(yīng)進(jìn)行雙因子身份認(rèn)證；b)TF密碼卡應(yīng)具有電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì)認(rèn)證的數(shù)字證書，TF密碼卡應(yīng)支持國密算法；c)認(rèn)證信息應(yīng)保密存儲，可使用TF卡的加密密鑰進(jìn)行保護(hù)；d)移動安全應(yīng)用與安全統(tǒng)一接入網(wǎng)關(guān)建立連接時，安全統(tǒng)一接入網(wǎng)關(guān)應(yīng)校驗數(shù)字證書的有效性，支持證書的CRL或OCSP檢測，保證證書的有效和安全，工作密鑰交換應(yīng)使用數(shù)字證書保護(hù)。8.6移動應(yīng)用支撐服務(wù)8.6.1API接入管理服務(wù)API管理功能是為移動網(wǎng)關(guān)提供可訪問的可用服務(wù)端點。應(yīng)提供API服務(wù)目錄，提供API連接到a)API服務(wù)目錄/描述文檔：提供安全查找和使用API的功能；b)API管理：可為移動網(wǎng)關(guān)、策略管理服務(wù)及其他移動應(yīng)用程序等提供API使用的管理視圖。服務(wù)端所提供的數(shù)據(jù)管理服務(wù)可為移動服務(wù)提供數(shù)據(jù)存儲和訪問。應(yīng)可以處理來自不同應(yīng)用來源的數(shù)據(jù)，如存在于政務(wù)系統(tǒng)或者各種其他來源的用戶信息?；谶m合的形式存儲以滿足移動應(yīng)用程序的快速訪問。數(shù)據(jù)管理服務(wù)應(yīng)包括：a)移動應(yīng)用數(shù)據(jù)/NoSQL:移動應(yīng)用程序可以方便、快速地調(diào)用和存儲數(shù)據(jù)；b)文件存儲庫：提供存儲靜態(tài)文件的功能，如PDF和系統(tǒng)頁面內(nèi)容；d)API數(shù)據(jù)：提供以API的方式向其他移動應(yīng)用開放數(shù)據(jù)。通訊錄服務(wù)可以基于統(tǒng)一身份管理下的政務(wù)通訊服務(wù)體系，可以實現(xiàn)多平臺同步并具備以下功能：a)移動應(yīng)用服務(wù)應(yīng)采用統(tǒng)一標(biāo)準(zhǔn)以實現(xiàn)多平臺同步，如與PC應(yīng)用下的數(shù)據(jù)同步；b)本地通訊錄可自動備份，并提供安全保障，保證用戶聯(lián)系人不會發(fā)生丟失情況。GB/T34079.5—2021統(tǒng)計分析服務(wù)應(yīng)包括：a)通信位置數(shù)據(jù)分析提供終端設(shè)備的物理位置及位置活動模式的數(shù)據(jù)分析，便于為移動服務(wù)優(yōu)化操作或輔助優(yōu)化操作行為，同時可以提供該位置下的精準(zhǔn)內(nèi)容推送及相關(guān)移動通信服務(wù)。b)使用數(shù)據(jù)量化分析通過采集移動應(yīng)用的用戶信息，并提供完整的應(yīng)用信息可見性。用于構(gòu)建和管理預(yù)警系統(tǒng)，以檢測移動用戶問題，并提供主動檢測移動應(yīng)用程序故障及其他障礙。并通過分析特定移動用戶行為或設(shè)備屬性來幫助量化或細(xì)分影響。8.6.5信息推送服務(wù)服務(wù)端應(yīng)具備向平臺中移動應(yīng)用提供基于統(tǒng)一標(biāo)準(zhǔn)的消息推送服務(wù)的能力。并支持如短輪詢、長輪詢或協(xié)議連接等方式實現(xiàn)應(yīng)用與服務(wù)端的消息推送。8.6.6UI/UE適配服務(wù)服務(wù)端應(yīng)提供標(biāo)準(zhǔn)化的UI/UE適配服務(wù)，可為移動應(yīng)用提供統(tǒng)一的界面語言和交互公共標(biāo)準(zhǔn)，提升政務(wù)移動應(yīng)用訪問效率和服務(wù)可靠性。9移動政務(wù)應(yīng)用9.1移動應(yīng)用支持應(yīng)用商店包括如下要求：a)政務(wù)單位可建立移動辦公的應(yīng)用程序商店；b)移動辦公應(yīng)用目錄應(yīng)能設(shè)置用戶角色權(quán)限，控制終端用戶可訪問的應(yīng)用列表；c)移動辦公應(yīng)用目錄應(yīng)能實現(xiàn)電子政務(wù)移動辦公應(yīng)用程序的安裝、更新和升級提醒；d)所有移動辦公及個人應(yīng)用軟件應(yīng)通過應(yīng)用商店簽名發(fā)布，并提供下載安裝；e)系統(tǒng)應(yīng)支持安全瀏覽器、安全郵件、移動VDI和UC等應(yīng)用；應(yīng)用訪問包括如下要求：a)用戶訪問移動辦公應(yīng)用時，應(yīng)經(jīng)過CA數(shù)字證書和登錄密碼的雙因子認(rèn)證；b)用戶訪問移動辦公應(yīng)用時，可支持基于時間屬性的訪問控制，可以配置允許用戶登錄業(yè)務(wù)系統(tǒng)的時間段，只有在允許的時間內(nèi)，用戶才能夠登錄訪問內(nèi)部網(wǎng)絡(luò)的資源。應(yīng)用交付包括如下要求：a)應(yīng)支持移動辦公應(yīng)用客戶端由應(yīng)用商店來提供下載安裝；b)應(yīng)支持Web移動辦公應(yīng)用部署在移動辦公工作平臺；c)應(yīng)支持通過應(yīng)用虛擬化客戶端進(jìn)行應(yīng)用訪問，現(xiàn)有應(yīng)用無需改造；GB/T34079.5—2021d)應(yīng)支持通過Meap平臺對現(xiàn)有應(yīng)用進(jìn)行移動化開發(fā)，生成原生應(yīng)用客戶端或非原生客戶端(如HTML5應(yīng)用)。安全瀏覽器底層通過VPN或內(nèi)置應(yīng)用層隧道與政府移動接入網(wǎng)絡(luò)建立加密隧道，在用戶瀏覽政府Intranet網(wǎng)站時提供安全通信防護(hù)。在瀏覽器的上網(wǎng)緩存數(shù)據(jù)在瀏覽器退出時可提示進(jìn)行清除，防a)流量精簡b)數(shù)據(jù)保護(hù)d)訪問行為管控支持推送技術(shù)，為用戶提供安全受控的即時郵件推送服務(wù)。安全郵件客戶端通過移動VPN或內(nèi)置的應(yīng)用層隧道與政府移動安全統(tǒng)一接入網(wǎng)關(guān)設(shè)備建立加密隧道，在用戶查看郵箱時提供安全通信防針對于智能終端和Pad設(shè)備的操作特點，安全郵件客戶端應(yīng)提供特性如下：支持SMTP、IMAP4和EAS協(xié)議。b)郵箱功能-—支持郵件實時推送和通知，并支持同步策略和通知方式的配置?！獋鬏敿用芊绞街С秩盗械腟SL/TLS協(xié)議；——支持客戶端/郵件服務(wù)器間傳輸加密。d)郵件附件在線瀏覽--—支持壓縮文件瀏覽；e)郵件加密保存GB/T34079.5—2021安全郵件客戶端對郵件正文和附件都進(jìn)行加密保存，緩存的郵件支持周期性清理。f)郵件策略控制——支持郵件附件的訪問、轉(zhuǎn)發(fā)策略控制；--支持郵件內(nèi)容發(fā)送策略控制；g)聯(lián)系人——支持政府聯(lián)系人的查詢；--—支持自動緩存最近使用聯(lián)系人清單；——在郵件處理過程中支持各種豐富的聯(lián)系人詳細(xì)信息的聯(lián)想。h)郵件系統(tǒng)的認(rèn)證授權(quán)支持郵件服務(wù)器的單點登錄。應(yīng)安裝、使用定制的安全即時通訊系統(tǒng)，不準(zhǔn)許使用社會化即時通訊軟件進(jìn)行相關(guān)工作交流。即時通訊系統(tǒng)通過VPN或其他安全物理通道與政府移動接入網(wǎng)絡(luò)建立安全隧道，針對于智能終端和桌面電腦的屏幕尺寸和操作特點，安全即時通訊提供功能如下：a)點對點即時消息持消息置頂功能，支持轉(zhuǎn)發(fā)及批量刪除功能。b)群組消息退出群組時，其他在線成員應(yīng)收到相應(yīng)的提示信息；群主能夠c)后臺建群禁個人賬號等功能。d)安全管控支持移動端文件傳輸，傳輸文件應(yīng)支持水印功能，支持用戶消息界面水印功能，支持用戶多種權(quán)限控制功能，能夠根據(jù)業(yè)務(wù)要求進(jìn)行權(quán)限配置，支持用戶撤回已發(fā)送的消息，支持用戶發(fā)送的消息在預(yù)訂時間到達(dá)后自動焚毀。文字消息、長文本、圖片、語音和視頻在服務(wù)器及終端本地保存時需要進(jìn)行加密。支持屏蔽詞安全策略，通過此策略即時通信禁止發(fā)送相關(guān)內(nèi)容。系統(tǒng)內(nèi)消息不準(zhǔn)許外發(fā)、分享到外部社會化平臺。10.1終端安全終端安全包括如下要求：a)應(yīng)具備管理員用戶權(quán)限破解的檢測和防篡改能力，防止被刷機(jī)；b)應(yīng)支持移動辦公的敏感數(shù)據(jù)可被加密存儲；c)應(yīng)支持文檔的在線加密和離線加密兩種模式，在線加密密鑰動態(tài)從密鑰中心獲取，離線密鑰根據(jù)用戶密碼及終端硬件信息生成；d)應(yīng)支持使用數(shù)字證書的加密密鑰保護(hù)應(yīng)用層密鑰，包括移動辦公應(yīng)用系統(tǒng)密碼、數(shù)據(jù)加密密鑰等；GB/T34079.5—2021e)應(yīng)提供用戶自助平臺，在移動辦公終端丟失時，可供用戶第一時間自助進(jìn)行遠(yuǎn)程定位、鎖定和刪除丟失終端設(shè)備中的數(shù)據(jù)；f)應(yīng)提供MDM防卸載機(jī)制，當(dāng)終端MDM被卸載時，移動辦公應(yīng)用及數(shù)據(jù)也將被鎖定或者刪g)應(yīng)支持應(yīng)用的所有本地操作和網(wǎng)絡(luò)行為可被審計；h)應(yīng)支持應(yīng)用注銷時，本地數(shù)據(jù)可被無痕化擦除；i)應(yīng)具備病毒終端被自動隔離的能力，防止終端數(shù)據(jù)外泄；j)應(yīng)用運行時，應(yīng)保證數(shù)據(jù)安全。數(shù)據(jù)安全可采用安全隔離運行環(huán)境或者虛擬化的實現(xiàn)方式：——基于安全隔離運行環(huán)境實現(xiàn)移動辦公數(shù)據(jù)和個人應(yīng)用數(shù)據(jù)的隔離，其中移動辦公數(shù)據(jù)加——虛擬化方式終端僅具備顯示作用，在服務(wù)器端進(jìn)行數(shù)據(jù)處理及保存，保證數(shù)據(jù)安全。虛擬化可包括應(yīng)用虛擬化和虛擬桌面兩種方式。10.2接入傳輸安全傳輸安全包括如下要求：a)系統(tǒng)應(yīng)支持SSL/TLS、IPSec等網(wǎng)絡(luò)安全協(xié)議。b)系統(tǒng)應(yīng)支持應(yīng)用級VPN,在應(yīng)用啟動時自動啟動VPN。通過應(yīng)用專屬的安全隧道，實現(xiàn)多移動辦公應(yīng)用之間的安全隔離，應(yīng)用層數(shù)據(jù)直接封裝進(jìn)入隧道，防止其他惡意程序竊取、篡改應(yīng)用數(shù)據(jù)。c)為保證本地加密密鑰傳輸安全性，移動終端與密鑰分發(fā)中心應(yīng)通過SSLVPN隧道加密；密鑰分發(fā)中心、主密鑰管理中心和備密鑰管理中心之間通過IPsecVPN隧道加密。d)數(shù)據(jù)傳輸時，系統(tǒng)應(yīng)支持基于RSA、3DES、AES256高整性驗證，確保數(shù)據(jù)不被篡改。系統(tǒng)應(yīng)支持開機(jī)密碼，用戶在開啟終端時進(jìn)行開機(jī)密碼認(rèn)證。屏幕解鎖認(rèn)證包括如下要求：a)應(yīng)支持屏幕鎖定密碼，安全政務(wù)本應(yīng)在不活動時間達(dá)到設(shè)定閾值時鎖定屏幕，閾值上限應(yīng)由MDM管理員設(shè)定，也支持由用戶發(fā)起的屏幕鎖定；b)用戶解鎖屏幕時進(jìn)行屏幕鎖定密碼認(rèn)證，屏幕鎖定的密碼策略可以由MDM系統(tǒng)分發(fā)；c)應(yīng)通過解鎖密碼驗證重新激活終端；d)屏幕鎖定密碼應(yīng)支持口令形式的密碼，密碼應(yīng)進(jìn)行加密存儲；e)系統(tǒng)應(yīng)能設(shè)置及檢查密碼鎖屏策略。網(wǎng)絡(luò)接入認(rèn)證包括如下要求：a)在訪客接入時，系統(tǒng)應(yīng)支持采用Portal認(rèn)證方式對訪客進(jìn)行身份認(rèn)證；b)在用戶內(nèi)網(wǎng)接入時，系統(tǒng)應(yīng)支持Portal、802.1x、或802.1x和應(yīng)用級VPN結(jié)合的方式進(jìn)行身份認(rèn)證；GB/T34079.5—2021c)在用戶遠(yuǎn)程VPN接入時，系統(tǒng)應(yīng)支持SSLVPN或應(yīng)用級VPN的認(rèn)證方式進(jìn)行身份認(rèn)證，按照GM/T0024—2014的規(guī)定；d)在具有分支接入時，系統(tǒng)應(yīng)支持IPSecVPN認(rèn)證方式進(jìn)行身份認(rèn)證，按照GB/T36968—2018的規(guī)定；e)在終端接入時，系統(tǒng)應(yīng)支持應(yīng)采用雙因子認(rèn)證和唯一硬件設(shè)備信息的方式進(jìn)行身份認(rèn)證；f)用戶在限定的時間段內(nèi)多次連續(xù)嘗試身份認(rèn)證失敗時，認(rèn)證模塊執(zhí)行連續(xù)認(rèn)證失敗鎖定策略，可采取系統(tǒng)鎖定或者刪除全部政務(wù)應(yīng)用數(shù)據(jù)并恢復(fù)到初始狀態(tài)等安全措施。移動數(shù)據(jù)和應(yīng)用程序保護(hù)包括如下要求：a)應(yīng)支持上網(wǎng)行為管控的功能，實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、站點訪問、信息外發(fā)和郵件等權(quán)限控制；b)應(yīng)支持ASG和TSM聯(lián)動來管控上網(wǎng)行為，ASG從TSM同步用戶信息，通過單點登錄的方c)應(yīng)支持對外發(fā)文件類型、大小限制進(jìn)行控制；d)應(yīng)支持對外發(fā)內(nèi)容敏感數(shù)據(jù)進(jìn)行過濾；e)應(yīng)支持對外發(fā)文件及內(nèi)容的審計；f)程序保護(hù)應(yīng)有助于消除訪問關(guān)鍵的移動應(yīng)用程序的安全漏洞。10.4.2數(shù)據(jù)應(yīng)用投入生產(chǎn)和部署數(shù)據(jù)應(yīng)用投入生產(chǎn)和部署包括如下要求：a)可通過如部署應(yīng)用程序防火墻來保護(hù)部署的應(yīng)用程序免遭應(yīng)用程序威脅。數(shù)據(jù)安全功能應(yīng)支b)通過移動平臺訪問的大型數(shù)據(jù)環(huán)境中的數(shù)據(jù)，應(yīng)通過加密與系統(tǒng)密鑰管理來訪問數(shù)據(jù)，并提供實時數(shù)據(jù)監(jiān)控和漏洞的數(shù)據(jù)活動監(jiān)控評定。安全信息審計應(yīng)