代替GB/T35282—2017信息安全技術電子政務移動辦公系統安全技術規范I 2規范性引用文件 l3術語和定義 14縮略語 25概述 25.1電子政務移動辦公系統參考架構 25.2電子政務移動辦公系統安全技術框架 36移動終端安全要求 46.1終端基礎環境安全 46.2移動政務應用程序安全 57移動通信安全要求 67.1安全通信網絡 67.2安全通信協議 68移動接入安全要求 68.1邊界防護 68.2身份鑒別 68.3訪問控制 78.4入侵防范 79服務端安全要求 9.1身份鑒別 9.2訪問控制 79.3安全審計 79.4入侵防范 79.5數據安全 89.6安全隔離與交換 89.7移動終端虛擬化 910系統安全管理要求 910.1移動終端管理 910.2移動應用管理 910.3數據安全管理 10.4安全監測 910.5安全審計 Ⅱ11測試評價方法 11.1移動終端安全要求 11.2移動通信安全要求 11.3移動接入安全要求 11.4服務端安全要求 11.5系統安全管理要求 附錄A(資料性)電子政務移動辦公系統面臨的主要安全風險 附錄B(資料性)電子政務移動辦公系統技術要求劃分 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件代替GB/T35282—2017《信息安全技術電子政務移動辦公系統安全技術規范》,與GB/T35282—2017相比，除結構調整和編輯性改動外，主要技術變化如下：——更改了“范圍”一章(見第1章，2017年版的第1章);——更改了移動終端、移動終端管理、移動應用管理等術語的定義，增加了政務數據、移動政務應用程序等術語和定義(見第3章，2017年版的第3章);——更改了“電子政務移動辦公系統基本結構”圖的移動接入區和服務端的結構，增加了系統安全管理(見第5章，2017年版的第5章);——增加了電子政務移動辦公系統主要安全風險的相關內容，更改了“電子政務移動辦公系統的安全技術框架”(見第5章和附錄A,2017年版的第5章);——更改了移動終端安全、移動通信安全、移動接入安全、服務端安全中具體的安全技術要求(見第6章、第7章、第8章、第9章，2017年版的第7章、第8章、第9章、第10章);——增加了“系統安全管理要求”一章，并增加對系統辦公安全監測的相關技術要求(見第10章);——增加了“測試評價方法”一章，提出了移動終端安全、移動通信安全、移動接入安全、服務端安全、系統安全管理的測試評價方法(見第11章)。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：國家信息中心、北京梆梆安全科技有限公司、上海瀛聯信息科技股份有限公司、北京智游網安科技有限公司、中國移動通信集團有限公司、華為技術有限公司、亞信科技(成都)有限公司、北京北信源軟件股份有限公司、同智偉業軟件股份有限公司、杭州盈高科技有限公司、上海觀安信息技術股份有限公司、西安交大捷普網絡科技有限公司、北京天融信網絡安全技術有限公司、元心信息科技集團有限公司、北京金山辦公軟件股份有限公司、中國信息通信研究院、福建省經濟信息中心、中關村網絡安全與信息化產業聯盟、深信服科技股份有限公司、吉林信息安全測評中心、西安郵電大學、武漢安天信息技術有限責任公司、陜西省網絡與信息安全測評中心、奇安信網神信息技術(北京)股份有限公司、鄭州信大捷安信息技術股份有限公司、沈陽東軟系統集成工程有限公司、深圳海云安網絡安全技術有限公司、新華三技術有限公司、中國軟件評測中心、中貿促信息技術有限責任公司。趙恬。本文件及其所代替文件的歷次版本發布情況為：——2017年首次發布為GB/T35282—2017;——本次為第一次修訂。1信息安全技術電子政務移動辦公系統安全技術規范1范圍本文件規定了電子政務移動辦公系統的移動終端安全、移動通信安全、移動接入安全、服務端安全和系統安全管理等各部分技術要求，給出了測試評價方法。本文件適用于電子政務移動辦公系統的安全設計、建設實施、安全管理和測試評價。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)話用干本文件。GB/T20279—2015信息安全技術網絡和終端隔離產品安全技術要求GB/T22239—2019信息安全技術網絡安全等級保護基本要求GB/T25069—2022信息安全技術術語GB/T28448—2019信息安全技術網絡安全等級保護測評要求GB/T35281—2017信息安全技術移動互聯網應用服務器安全技術要求GB/T37952—2019信息安全技術移動終端安全管理平臺技術要求GB/T38636—2020信息安全技術傳輸層密碼協議(TLCP)GB/T39786信息安全技術信息系統密碼應用基本要求3術語和定義GB/T25069—2022界定的以及下列術語和定義適用于本文件。接入公眾移動通信網絡、具有操作系統、可由用戶自行安裝和卸載應用軟件的移動通信終端產品。電子政務移動辦公系統mobilee-governmentsystem用戶利用移動終端和移動通信網絡訪問電子政務辦公系統進行移動辦公的信息系統。移動終端管理mobileterminalmanagement針對移動終端，提供從注冊、激活、使用到廢棄等全生命周期的遠程安全控制管理。移動應用管理mobileapplicationmanagement針對移動應用軟件，提供從分發、安裝、使用、升級到卸載等全過程的安全管理。政務數據governmentdata各級政務部門及其技術支撐單位在履行職責過程中依法采集、生成、存儲、管理的各類數據資源。2移動政務應用程序mobilegovernmentapplication安裝并運行在移動終端上，具有政務移動辦公功能的應用程序。注：移動政務應用程序包括政務APP、政務小程序、客戶端軟件等。個人用戶在使用移動終端過程中產生與個人相關的數據。敏感數據sensitivedata因泄露、修改、破壞或丟失對用戶產生不可預知的損害而需要保護的數據。一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。注：重要數據不包括國家秘密。4縮略語下列縮略語適用于本文件。APN:接入點名稱(AccessPointName)APT:高級持續性威脅(AdvancedPersistentThreat)DDoS:分布式拒絕服務(DistributedDenialofService)DNN:數據網絡名稱(DataNetworkName)IP:網際互連協議(InternetProtocol)IPSec:互聯網安全協議(InternetProtocolSecurity)SSL:安全套接層(SecureSocketsLayer)TLCP:傳輸層密碼協議(TransportLayerCryptographyProtocol)TLS:網絡傳輸層安全(TransportLayerSecurity)VPN:虛擬專用網(VirtualPrivateNetwork)WLAN:無線局域網(WirelessLocalAreaNetworks)5概述5.1電子政務移動辦公系統參考架構電子政務移動辦公系統參考架構見圖1,其中：a)移動終端：處于電子政務移動辦公系統的用戶側，包括手機、平板電腦、便攜式計算機等類型終端，其上加載移動政務應用程序。b)通信網絡：連接移動終端和政務網絡的移動通信網絡，以蜂窩網絡、WLAN等方式連接移動終端，以互聯網、專用網絡或局域網等方式接入政務網絡。d)服務端：政務網絡的核心服務區域，主要部署政務辦公應用服務系統和安全管理系統。安全管理系統是對電子政務移動辦公系統的各部分實施統一集中安全管理的系統平臺或區域。政務辦公應用服務系統主要通過三種方式訪問：1)直接或VPN等方式；2)虛擬移動服務；3)應用前置服務和安全隔離交換設備。3移動終端通信網絡移動接入區服務端政務應用服務接入認證移動政務應用程序峰窩網絡專用網絡/局域網應用前置服務安全隔離交換設備虛擬移動服務安全管理系統政務網絡圖1電子政務移動辦公系統參考架構5.2電子政務移動辦公系統安全技術框架電子政務移動辦公系統面臨的安全風險主要存在于移動終端、通信網絡、移動接入區和服務端等方面(見附錄A)。電子政務移動辦公系統的安全技術框架見圖2,包括5個部分，其中：移動終端安全移動終端安全終端基礎環境安全移動政務應用程序安全移動通信安全安全通信網絡安全通信協議移動應用管理移動接入安全數據安全管理邊界防護身份鑒別訪問控制入使防范安全監測服務端安全訪問控制安全中計安全市計安全隔離與交換入侵防范移動終端虛擬化身份鑒別數據安全移動終端管理系統安全管理圖2電子政務移動辦公系統安全技術框架a)移動終端安全：提出用戶側計算環境安全技術要求，包括終端基礎環境安全要求和終端應用程序安全要求；b)移動通信安全：提出從公眾移動通信網絡接入政務網絡的通信網絡安全技術要求，包括安全通信網絡要求和安全通信協議要求；c)移動接入安全：提出移動接入政務網絡區域邊界安全技術要求，包括邊界防護、身份鑒別、訪問4控制和入侵防范等安全要求；d)服務端安全：提出政務網絡核心服務區計算環境安全技術要求，包括身份鑒別、訪問控制、安全審計、入侵防范、數據安全、安全隔離與交換和移動終端虛擬化等安全要求；e)系統安全管理：提出電子政務移動辦公系統安全統一集中管理技術要求，包括移動終端管理、移動應用管理、數據安全管理、安全監測和安全審計等安全要求。本文件提出的安全技術要求分為基本要求和增強要求。基本要求適用于等級保護三級以下的電子政務移動辦公系統，增強要求適用于等級保護三級(含)以上的電子政務移動辦公系統，技術要求劃分參見附錄B。在本文件中，黑體字部分表示增強要求。涉及個人信息保護的相關要求，參照GB/T35273和GB/T34978的相關規定。涉及密碼技術的使用和管理要求，參照GB/T39786的相關規定。6移動終端安全要求6.1終端基礎環境安全本項要求包括：a)應支持設置開機口令或利用生物特征識別等方式，在開啟移動終端時進行身份鑒別；b)應具備屏幕鎖定功能，移動終端空閑操作時間達到設定閾值時鎖定屏幕，解鎖時應重新進行身份鑒別；c)應能在限定次數內多次連續嘗試身份驗證失敗后，或者一定時長后鎖定移動終端；d)應能為每一臺移動終端確定唯一身份標識。本項要求包括：a)應支持具有VPN功能的應用程序的安裝和運行，以及在線升級；b)應支持具備移動終端管理功能的應用程序的安裝和運行，以及在線升級；c)應支持具備移動應用管理功能的應用程序的安裝和運行，以及在線升級；d)應支持用于政務移動辦公身份鑒別的密鑰的安裝和運行；e)宜支持基于密鑰分割安全機制，保障移動端密鑰數據的安全；f)用于身份鑒別的密鑰(如數字證書對應的私鑰)應存儲在密碼模塊中，密碼模塊安全應用應符合GB/T39786的相關要求，外置存儲設備接口受限的移動終端可采用安全薄膜卡或虛擬硬件密碼模塊等方式。本項要求包括：a)應支持配置訪問控制策略，可授權用戶和應用程序訪問和修改終端系統配置、數據、接口等資源；b)應支持對移動終端運行環境安全性進行持續評估，并可根據評估結果動態調整移動終端的訪c)在訪問移動政務應用系統時，不應將移動終端作為無線熱點提供政務網絡共享。本項要求包括：5a)宜支持終端安全啟動信任鏈按序逐級驗證，具備防止惡意繞過的功能；b)宜支持對終端系統的動態可信度量，包括二進制文件加載過程中簽名驗簽，對內核，以及核心6.2移動政務應用程序安全本項要求包括：a)應對登錄用戶進行身份鑒別，在訪問重要數據和敏感個人信息時應支持進行二次身份鑒別，鑒別方式包括但不限于口令、短信驗證碼、二維碼、手勢識別、生物特征識別或密碼技術認證等；b)移動政務應用程序進入后臺運行狀態超過設定時限，再次切換到前臺時，應重新進行身份鑒別；c)應具備身份鑒別失敗處理措施，包括結束會話、限制失敗登錄次數和自動退出等；d)應具備口令長度和復雜度校驗功能，以及口令重置的驗證機制，不應以明文形式顯示和存儲用戶口令；e)應支持設置身份鑒別結果的有效期，過期后應重新進行身份鑒別，更換終端設備登錄時，應重新進行身份鑒別并退出原有設備的登錄信息。本項要求包括：a)應能對數據進行基于接口調用或內容識別的訪問控制；b)應能對移動政務應用程序訪問移動終端數據和資源，以及獲取用戶個人信息、更改終端配置等行為進行授權管理；c)應支持基于用戶身份、角色、行為、環境等綜合因素進行動態訪問控制策略配置。本項要求包括：a)應支持將移動政務應用程序本地緩存數據和個人數據根據不同的策略隔離存儲；b)應采用密碼技術保證重要數據和敏感個人信息存儲過程的完整性和保密性；c)宜對政務數據進行標記，保證數據存儲和使用過程中的可追蹤性；d)宜采用移動終端虛擬化等技術，實現政務數據在服務端存儲。本項要求包括：a)在個人應用前臺運行時，移動政務應用程序僅可提示有待處理事項，不可顯示完整事項信息；b)應采用沙箱等隔離技術防止移動政務應用程序發生數據泄露，包括但不限于不可應用分享、不c)應采用密碼技術保證重要數據和敏感個人信息傳輸過程的完整性和保密性。應保證用戶鑒別信息和敏感數據所在的存儲空間被釋放或重新分配前得到完全清除。本項要求包括：6a)應支持在移動政務應用程序安裝、啟動、更新時驗證簽名，并校驗自身代碼和文件完整性，當發現被篡改后，應立即終止運行；b)應支持對移動政務應用程序的運行狀態進行安全監測，存在安全風險時應及時提醒用戶；c)當檢測到惡意行為發生時，移動政務應用程序應可根據配置參數決定是否退出；d)應用程序組件應限制僅對信任的其他應用進行共享數據或交互，同時應對共享數據和交互進行權限控制和參數校驗。e)宜支持為重要移動政務應用提供應用級隔離的運行環境，保證應用的輸入、輸出、存儲信息不被非法獲取。7移動通信安全要求7.1安全通信網絡本項要求包括：a)應通過SSLVPN網關或IPSecVPN網關等建立安全傳輸通道，對通信實體進行身份鑒別，保證移動終端與政務服務端之間數據傳輸的完整性和保密性；b)應支持VPN,在移動政務應用啟動時自動啟動，實現數據安全傳輸；c)移動終端通過蜂窩網絡接入政務網絡時，應采用專用網絡切片、專用DNN、APN、VPN等方式，保證專有政務數據與互聯網數據網絡傳輸通道的安全隔離；d)移動終端通過無線局域網接入政務網絡時，應采用專用網絡接入，保證專有政務數據與互聯網數據網絡傳輸通道的安全隔離。7.2安全通信協議本項要求包括：a)系統應支持SSL/TLS或IPSec等安全通信協議；b)采用的安全通信協議版本應及時更新至安全穩定版本；c)采用的安全通信協議應確保不包含已知的公開漏洞；d)傳輸層密碼協議應滿足GB/T38636—2020的要求。8移動接入安全要求8.1邊界防護本項要求包括：a)應在政務網絡邊界側部署接入認證網關設備，具備自主的接入控制能力，保證移動終端通過無線網絡安全接入政務網絡；b)移動終端通過無線局域網或蜂窩網絡接入政務網絡時，應具備自主的接入控制能力；c)應通過邊界設備提供的受控接口進行訪問和數據通信。8.2身份鑒別本項要求包括：a)應對登錄的用戶進行身份鑒別，身份鑒別信息應具有復雜度要求并定期更換；b)應采用密碼技術保證身份鑒別信息在傳輸過程中的完整性和保密性；c)應采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。78.3訪問控制本項要求包括：a)在訪問被允許之前，訪問主體需要經過身份鑒別和授權，并按照最小安全訪問原則設置訪問控制權限；b)應支持基于用戶賬戶和權限分配的細粒度訪問控制，僅授權用戶才能訪問特定資源；c)應能根據用戶身份、行為、環境，以及安全監測情況等綜合因素，動態調8.4入侵防范本項要求包括：a)應在政務網絡邊界處檢測、防范并阻止網絡攻擊行為；b)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；c)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應及時報警并實施阻斷。9服務端安全要求9.1身份鑒別本項要求包括：a)應符合GB/T22239—2019中7.1.4.1的要求；b)宜支持用戶一次認證可訪問多個域的應用和資源；c)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對登錄服務端的用戶進行身份鑒別，且其中一種鑒別技術應使用密碼技術來實現。9.2訪問控制本項要求包括：a)應符合GB/T22239—2019中7.1.4.2的要求；b)應配置服務端應用軟件的訪問控制策略，訪問控制的粒度應達到用戶級和進程級；c)應配置服務端操作系統的訪問控制策略，如文件系統權限、進程沙箱等，將中間件可訪問的系統資源限制在最少夠用的范圍內，并且在不同的中間件進程之間實現隔離；d)應配置服務端數據庫的訪問控制策略，應支持對訪問數據庫的應用進行身份鑒別與授權。e)應支持針對用戶訪問應用或數據的每次請求，根據安全通信網絡、安全區域邊界和安全計算環境風險狀況，動態調整訪問控制策略，并重新進行授權。9.3安全審計本項要求包括：a)應符合GB/T22239—2019中b)對服務端應用服務器的安全審計應符合GB/T35281—2017中11.3的要求；c)審計日志應留存時間不少于6個月。9.4入侵防范本項要求包括：a)應符合GB/T22239—2019中7.1.4.4的要求；b)應能夠檢測、防止或限制對服務端進行入侵的行為，包括但不限于網絡掃描、DDoS攻擊、暴力8破解、APT等，并在發生嚴重入侵事件時提供告警并實施阻斷。9.5數據安全9.5.1數據安全存儲本項要求包括：a)應對數據進行分類存儲；b)應對存儲的用戶數據進行完整性和保密性保護，并配置訪問控制策略；c)應采用校驗技術或密碼技術保證服務端重要數據在存儲過程中的完整性，包括但不限于身份鑒別數據、重要數據和敏感個人信息等；d)應采用密碼技術保證服務端數據在存儲過程中的保密性，包括但不限于身份鑒別數據、重要數據和敏感個人信息等；e)宜采用移動終端虛擬化技術，實現移動政務應用程序及數據在虛擬移動服務端集中安裝和9.5.2數據防泄露本項要求包括：a)應按照設定的數據分類分級規則，配置服務端數據防泄露安全策略，對服務端政務數據訪問行為和操作行為進行監測和審計；b)應建立數據脫敏安全策略，在數據共享和導出過程中對敏感數據進行脫敏處理；c)宜支持對政務數據文件進行安全展現，如按頁加載、按頁清除等；d)宜建立數據共享管控和數據泄露溯源機制；e)宜采用密碼技術保證敏感數據提供給第三方機構進行處理過程中的保密性和完整性。9.5.3數據備份恢復本項要求包括：a)應支持對服務端重要數據定期進行本地或異地備份，包括但不限于身份鑒別數據、重要數據和敏感個人信息等；b)應支持選擇全部數據或部分數據備份方式，并用不同時間點的備份數據進行恢復，在數據恢復過程中應進行數據完整性校驗；c)應提供服務端重要數據的異地實時備份和恢復功能；d)應對重要政務應用系統采用熱冗余部署方式，保證系統的業務連續性。本項要求包括：a)應保證重要數據、個人信息和身份鑒別信息所在的存儲空間被釋放或重新分配前得到完全b)應保證服務端所使用的內存和存儲空間回收時得到完全清除；c)當用戶注銷賬戶時，應能夠同步銷毀該用戶在服務端數據庫中的用戶個人數據及其備份。9.6安全隔離與交換本項要求包括：a)應支持網絡分區分域，核心政務應用系統所在的網絡區域與其他網絡區域之間應采用安全隔離與交換技術，并應符合GB/T20279—2015中5.2.2的要求；b)宜采用單向傳輸技術，通過協議轉換或剝離，以數據單向導入方式實現單向數據傳輸，同時確9保數據無反向傳輸。9.7移動終端虛擬化本項要求包括：a)應支持政務數據統一存儲在虛擬移動服務端，并保證不同用戶數據的邏輯隔離；b)應保證虛擬移動終端實例所在的存儲空間被釋放或重新分配前得到完全清除；c)應支持僅傳輸加密繪圖指令到移動終端物理設備進行解析和顯示用戶界面和指令交互窗口；d)應支持登錄用戶和移動終端硬件標識碼進行綁定，支持移動終端生物特征身份鑒別方式；e)應支持對不同用戶的虛擬化資源和安全策略進行統一配置管理；f)應支持對虛擬移動終端的運行狀態、資源占用、異常事件等進行實時監控。10系統安全管理要求10.1移動終端管理本項要求包括：a)應支持移動終端全生命周期管理，終端汪冊、遠程控制管理和外接存儲介質管理應符合b)應支持移動終端運行狀態的收集上報，包括終端標識、位置信息、固件版本、系統版本、網絡類c)應能對發生異常(如丟失)或廢棄的移動終端進行遠程注銷、數據擦除、禁用和鎖定；e)應支持終端用戶管理，包括一個用戶綁定多個移動終端或者一個移動終端綁定多個用戶，支持通過用戶分組和關聯角色進行管理控制；f)應支持建立移動終端的白名單或配置庫，用于對非法移動終端的識別。10.2移動應用管理本項要求包括：a)應符合GB/T22239—2019中7.3.3.1、7.3.4.1和7.3.4.2的要求；b)應支持對應用程序的安裝和使用情況進行統計；d)應支持應用程序遠程管理策略執行，包括軟件分發、安裝、卸載、應用黑白名單設置等；e)宜支持通過沙箱等安全容器運行移動應用程序；f)應支持對政務APP進行安全防護和加固，防止受到惡意程序的破壞、破解和篡改；g)應支持對政務APP進行安全檢測和簽名，并通過應用商店或授權渠道統一提供下載。10.3數據安全管理本項要求包括：a)應支持對政務數據和個人信息進行分類分級管理，并配置不同的數據訪問控制策略，如讀寫、b)應支持配置敏感數據和個人信息防泄露安全策略，支持敏感數據和個人信息的掃描、過濾、脫敏和外傳阻斷。本項要求包括：a)應支持對服務端的網絡攻擊行為進行監測和告警，包括但不限于漏洞利用攻擊、拒絕服務攻b)應支持對移動終端的網絡攻擊行為進行監測和告警，包括但不限于模擬器攻擊、框架攻擊、位c)應支持對移動政務應用的異常訪問和操作行為進行監測和告警，包括但不限于賬戶登錄異常、數據下載異常、可疑網絡訪問、操作異常等；d)應支持對政務數據的異常訪問和操作行為進行監測和告警，包括但不限于越權訪問、高頻訪e)應支持對移動政務應用程序和服務端存在的安全漏洞和脆弱性進行持續監測；f)應支持與接入認證網關等安全設備或平臺聯動，根據監測結果，協助實施動態訪問控制等安全10.5安全審計本項要求包括：a)應支持對移動終端訪問政務應用的操作進行審計；b)應支持對授權管理員的重要操作進行審計，包括但不限于遠程控制操作、終端用戶管理等；c)審計日志應至少包括：事件發生的日期和時間、事件主體標識、事件描述和結果等；d)審計記錄留存時間應不少于6個月，應對審計記錄進行保護，定期備份，避免受到不可預期的e)應支持對操作重要數據、敏感個人信息的行為進行審計。11測試評價方法11.1移動終端安全要求11.1.1終端運行環境安全本項測試評價方法如下。a)測試方法：1)檢查開啟移動終端時，查看身份鑒別是否采用了開啟口令或生物特征識別等方式進行身份鑒別；2)檢查移動終端是否支持屏幕鎖定口令功能，當空閑操作時間達到設定閾值時是否鎖定屏幕，測試解鎖時是否重新進行身份鑒別；3)檢查在限定次數內多次連續嘗試身份驗證失敗后或一定時長后是否鎖定移動終端；4)應訪談系統管理員，詢問移動終端標識是否具有唯一性，檢查設計或驗收文檔，查看其是否有移動終端采用了保證唯一標識的措施的描述。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否支持具有VPN功能的應用程序的安裝和運行，以及在線升級；2)檢查是否支持具備移動終端管理功能的應用程序的安裝和運行，以及在線升級；3)檢查是否支持具備移動應用管理功能的應用程序的安裝和運行，以及在線升級；4)檢查是否用于政務移動辦公身份鑒別的密鑰的安裝和運行；5)檢查是否支持基于密鑰分割安全機制，保障移動端密鑰數據的安全；6)檢查用于身份鑒別的密鑰是否存儲在密碼模塊中，密碼模塊安全應用是否符合GB/T39786的相關要求，外置存儲設備接口受限的移動終端是否支持采用安全薄膜卡或虛擬硬件密碼模塊等方式。b)預期結果：1)～4)和6)結果均為“是”,5)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否支持配置訪問控制策略，是否可授權用戶和應用程序訪問和修改終端系統配置、2)測試系統是否具備對終端運行環境安全性進行持續評估，并可根據評估結果動態調整移動終端的訪問權限；3)核查在訪問移動政務應用時，是否禁止將移動終端作為無線熱點提供網絡共享。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查安全啟動信任鏈是否按序逐級驗證，不可被惡意繞過；2)檢查是否支持對系統的動態可信度量，包括二進制文件加載過程中簽名驗簽，對內核，以及核心模塊的度量，是否能夠及時識別入侵行為，并將其有效阻斷。b)預期結果：1)和2)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。11.1.2移動政務應用程序安全本項測試評價方法如下。a)測試方法：1)登錄移動政務應用程序，測試身份鑒別方式，在訪問重要數據和敏感個人信息時是否進行二次身份鑒別，鑒別方法是否可支持口令、短信驗證碼、二維碼、手勢識別、生物特征識別或密碼認證技術等方式；2)驗證用戶登錄移動政務應用程序后，如果進入后臺運行狀態的時間超過設定時限，再被喚醒切換到前臺，是否對用戶重新進行身份鑒別；3)驗證移動政務應用程序在用戶身份鑒別失敗后，是否采取結束會話、限制失敗登錄次數和自動退出等措施；4)驗證移動政務應用程序具有口令登錄功能時，是否提供口令長度和復雜度校驗功能，并對用戶設置的口令進行強度檢測，是否具備口令重置的驗證機制，是否對用戶輸入的口令默認屏蔽顯示，后臺加密存儲；5)驗證移動政務應用程序的身份鑒別的結果是否設置有效期，過期后是否重新進行身份鑒別，在更換終端設備登錄時，是否重新鑒別并退出原有設備的登錄信息。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)訪談系統管理員，詢問是否配置訪問控制策略，對進出終端的數據實現基于接口調用和內容識別的訪問控制；2)驗證當移動政務應用程序訪問或調用移動終端數據和資源，獲取用戶個人信息、更改終端配置時是否需要用戶進行授權；3)檢查是否支持基于用戶身份、角色、行為、環境等綜合因素進行訪問控制策略配置。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查移動政務應用程序本地緩存數據是否與個人數據根據不同的策略隔離存儲；2)檢查重要數據和敏感個人信息是否加密存儲；3)檢查政務數據是否采用數字水印技術進行標記，保證數據存儲和使用過程中的可追蹤性；4)檢查系統是否支持采用移動終端虛擬化技術或其他技術措施，實現政務數據不在移動終端本地存儲。b)預期結果：1)～2)結果均為“是”,3)～4)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：2)驗證是否采用沙箱等隔離技術防止移動政務應用程序發生數據泄露，包括但不限于不可3)檢查是否支持采用密碼技術保證重要數據和敏感個人信息傳輸過程的完整性和保密性。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：驗證用戶鑒別信息和敏感數據所在的存儲空間被釋放或重新分配前是否得到完全清除。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查移動政務應用程序在安裝、啟動、更新時是否驗證簽名，是否校驗自身代碼和文件完整性，當發現被篡改后，是否立即終止運行；2)檢查是否能對移動政務應用程序的運行安全狀態進行安全監測，存在安全風險時是否能及時提醒用戶；3)在檢測到惡意行為發生時，檢查移動政務應用程序是否可根據配置參數決定是否退出；4)檢查應用程序組件是否限制僅對信任的其他應用進行共享數據或交互，同時是否對共享數據和交互進行權限控制和參數校驗。5)檢查是否支持應用沙箱或其他應用級隔離措施，保證應用的輸入、輸出、存儲信息不被非法獲取。b)預期結果：1)～4)結果均為“是”,5)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。11.2移動通信安全要求本項測試評價方法如下。a)測試方法：1)檢查是否通過SSLVPN網關、IPSecVPN網關等建立安全傳輸通道，是否對通信實體進行身份鑒別，保證移動終端與政務服務端之間數據傳輸的完整性和保密性；2)核查系統的設計文檔，是否支持VPN功能，是否在移動政務應用啟動時自動啟動VPN,建立安全傳輸通道；3)核查移動終端在通過蜂窩網絡接入政務網絡時，是否采用專用網絡切片、專用DNN、APN、VPN等方式，保證專有政務數據與互聯網數據網絡傳輸通道的安全隔離；4)核查移動終端在通過無線局域網接入政務網絡時，是否采用專用網絡接入，保證專有政務數據與互聯網數據網絡傳輸通道的安全隔離。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)核查系統的設計文檔，系統是否使用了SSL/TLS或IPSec等安全通信協議；2)核查采用的安全通信協議版本是否及時更新至安全穩定版本；3)核查采用的安全通信協議是否包含已知的公開漏洞；4)核查系統的設計文檔，傳輸層密碼協議是否使用了TLCP協議。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。11.3移動接入安全要求本項測試評價方法如下。a)測試方法：1)核查在政務網絡邊界側是否部署接入認證網關，是否具備自主的接入控制能力；2)核查是否通過邊界設備提供的受控接口進行訪問和數據通信。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查系統是否對登錄的用戶進行身份鑒別，且身份鑒別信息是否具有復雜度要求并定期更換；2)應檢查是否采用密碼技術保證身份鑒別信息在傳輸過程中的完整性和保密性；3)檢查是否采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，并且其中一種鑒別技術至少應使用密碼技術來實現。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)模擬移動用戶和管理員進行訪問，在不經過身份鑒別和授權的狀態下，是否能夠進行相關操作；在得到認證和授權的情況下，是否符合相應的授權身份；查看授權的配置信息，是否是最小的授權原則；2)登錄系統查看用戶賬戶的授權機制，是否支持細粒度的權限分配機制；3)應核查用戶訪問權限的授權機制，是否支持根據用戶身份、行為、環境以及安全監測情況等綜合因素，動態調整用戶的訪問權限，并驗證其有效性。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否符合GB/T28448—2019中7.1.3.3.1的測試結果；2)檢查是否符合GB/T28448—2019中8.1.3.3.3的測試結果；b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。11.4服務端安全要求本項測試評價方法如下。a)測試方法：1)檢查是否符合GB/T28448-2019中7.1.4.1的測試結果；2)查看設計文檔是否具備一次認證訪問多個應用和資源的功能，驗證該功能是否支持一次認證訪問多個應用和資源；3)查看身份驗證是否滿足使用了口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術應使用密碼技術來實現的。b)預期結果：1)和3)結果均為“是”,2)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否符合GB/T28448—2019中7.1.4.2的測試結果；2)核查是否能配置服務端應用軟件的訪問控制策略，訪問控制的粒度應達到用戶級和進程級；3)核查是否能配置服務端操作系統的訪問控制策略，如文件系統權限、進程沙箱等，將中間件可訪問的系統資源限制在最少夠用的范圍內，并且在不同的中間件進程之間實現隔離；4)核查是否能配置服務端數據庫的訪問控制策略，應支持對訪問數據庫的應用進行身份鑒別與授權；5)核查當用戶訪問應用時，是否每次請求都應基于環境感知情況根據訪問控制策略進行重新授權。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否符合GB/T28448—2019中7.1.4.3的測試結果；2)核查服務端應用服務器的安全審計是否符合GB/T35281—2017中11.3的要求。3)核查審計日志留存時間是否不少于6個月。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否符合GB/T28448—2019中7.1.4.4的測試結果；2)核查是否能夠檢測、防止或限制對服務端進行入侵的行為，包括但不限于網絡掃描、DDos攻擊、暴力破解、APT等，并在發生嚴重入侵事件時提供報b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否對數據進行分類存儲；2)檢查服務端中的用戶數據是否進行了加密存儲和完整性保護，并配置了訪問控制策略；3)核查是否采用校驗技術或密碼技術保證服務端重要數據在存儲過程中的完整性，包括但不限于身份鑒別數據、重要數據和敏感個人信息等；4)核查是否采用密碼技術保證服務端重要數據在存儲過程中的保密性，包括但不限于身份鑒別數據、重要數據和敏感個人信息等；5)核查是否采用移動終端虛擬化技術，實現移動政務應用程序及數據安裝和存儲在虛擬化移動基礎設施中，不在移動終端落地安裝和存儲。b)預期結果：1)～4)結果均為“是”,5)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試方法如下。a)測試方法：1)核查是否按照設定的數據分級分類規則，配置服務端數據防泄露安全策略，是否對服務端政務數據訪問行為和操作行為進行監測和審計；2)核查是否建立了數據脫敏安全策略，在數據共享和導出過程中對敏感數據進行脫敏處理；3)核查是否支持對政務數據文件進行安全展現，如圖片點擊加載、郵件點擊顯示等；4)核查相關文檔，是否建立數據共享管控和數據泄露溯源機制；5)對數據安全管理員進行訪談，核查敏感數據的安全策略，是否有對敏感數據在提供給第三方機構進行數據處理過程中包含有對密文形態的安全要求。b)預期結果：1)～2)結果均為“是”,3)～5)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試方法如下。a)測試方法：1)檢查是否對服務端數據定期進行本地或異地備份，包括但不限于身份鑒別數據、重要數據和敏感個人信息等；2)核查所有系統的備份數據制度和備份記錄，查看是否系統進行了全部或部分數據備份，核查是否對不同備份時間點的備份數據進行了恢復；3)核查是否提供服務端重要數據的異地實時備份和恢復功能；4)核查是否對重要政務應用系統采用熱冗余部署方式，保證系統的業務連續性。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查重要數據、敏感個人信息和身份鑒別信息所在的存儲空間被釋放或重新分配前是否完全清除；2)檢查服務端所使用的內存和存儲空間回收時是否完全清除；3)檢查在用戶注銷賬戶后是否同步銷毀該用戶在服務端數據庫中的用戶個人數據及其b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。11.4.6安全隔離與交換本項測試評價方法如下。a)測試方法：1)核查是否支持網絡分區分域，核心政務應用系統所在的網絡區域與其他網絡區域之間是否采用安全隔離與交換技術，如網閘，通過協議轉換，以數據擺渡的方式實現雙向數據交換；2)核查單向數據傳輸是否采用單向光閘或網閘作為唯一連接通道，通過協議轉換，以數據擺渡的方式實現單向數據交換，同時是否確保數據無反向傳輸。b)預期結果：1)結果均為“是”,2)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)核查是否支持政務數據統一存儲在移動虛擬化平臺中，并保證不同用戶數據的邏輯隔離；2)核查虛擬移動終端實例所在的存儲空間被釋放或重新分配前是否得到完全清除；3)核查是否支持僅傳輸加密繪圖指令到物理終端進行解析顯示用戶界面和指令交互窗口避4)核查管理員設置登錄用戶和移動終端硬件標識碼進行綁定，支持移動終端生物特征身份鑒別方式；5)核查是否支持對不同用戶存儲虛擬化資源和安全策略等定制管理；6)核查是否對虛擬移動終端的運行狀態、資源占用、異常事件等進行實時監控。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。11.5系統安全管理要求本項測試評價方法如下。a)測試方法：1)查看移動終端管理系統是否支持移動終端的全生命周期管理，是否符合GB/T37952—2019中6.1.1.1的要求；2)查看是否支持終端運行狀態數據上報，上報數據包括終端標識、位置信息、固件版本、系統3)驗證是否可對發生異常(如丟失)或廢棄的移動終端進行遠程注銷、數據擦除、禁用和鎖定；4)查看是否支持對移動終端違規行為采取控制措施，包括限制訪問、警告、鎖定、禁用、系統5)核查是否支持終端用戶管理，包括一個用戶綁定多個移動終端或者一個移動終端綁定多個用戶，是否支持通過用戶分組和關聯角色進行管理控制；6)檢查是否支持移動終端的白名單或配置庫，用于對非法移動終端的識別。b)預期結果：c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試評價方法如下。a)測試方法：1)檢查是否符合GB/T22239—2019中7.3.3.1和7.3.4.2的要求；2)檢查是否支持對應用程序的安裝、使用情況進行統計；3)檢查應用程序是否對程序標識、名稱、版本、平臺、開發商等信息進行收集上報；4)檢查是否支持應用程序遠程管理策略執行，包括軟件分發、安裝、卸載、應用黑白名單設置；5)檢查是否支持通過沙箱等安全容器運行移動應用程序；6)檢查是否支持對政務APP進行安全防護和加固，防止受到惡意程序的破壞、破解和篡改；7)檢查是否支持對政務APP進行安全檢測和簽名，是否通過應用商店或授權渠道統一提供b)預期結果：1)～4)和6)～7)結果均為“是”,5)結果根據實際情況可選。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。本項測試方法如下。a)測試方法：1)核查是否對政務數據和個人信息進行分類分級管理，并配置不同的訪問策略；2)檢查是否制定敏感數據