ICS35.030 CCS L80 Ge 中华人民共和国国家标准雅 GB/T35282-2023 代替GB/T35282—2017 信息安全技术 电子政务移动办公系统安全技术规范 Information security technology- Security technology specifications of mobile e-government system 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 国家标准化管理委员会 发布
目次
前言 ………………………………………………………………………………………………………………Ⅲ
1 范围 ………………………………………………………………………………………………………………1
2 规范性引用文件 ……………………………………………………………………………………………1
3术语和定义 ……………………………………………………………………………………………………1
4 缩略语 ………………………………………………………………………………………………………2
5 概述 …………………………………………………………………………………………………………2
5.1 电子政务移动办公系统参考架构 ……………………………………………………………………2
5.2 电子政务移动办公系统安全技术框架 ……………………………………………………………3
6 移动终端安全要求 ……………………………………………………………………………………………4
6.1 终端基础环境安全 ……………………………………………………………………………………4
6.2 移动政务应用程序安全 ………………………………………………………………………………5
7 移动通信安全要求 ……………………………………………………………………………………………6
7.1 安全通信网络 …………………………………………………………………………………………6
7.2 安全通信协议 …………………………………………………………………………………………6
8 移动接入安全要求 ……………………………………………………………………………………………6
8.1 边界防护 ………………………………………………………………………………………………6
8.2 身份鉴别 ………………………………………………………………………………………………6
8.3 访问控制 …………………………………………………………………………………………………7
8.4 入侵防范 ………………………………………………………………………………………………7
9 服务端安全要求 …………………………………………………………………………………………………7
9.1 身份鉴别 ……………………………………………………………………………………………………7
9.2 访问控制 …………………………………………………………………………………………………7
9.3 安全审计 ………………………………………………………………………………………………7
9.4 入侵防范 …………………………………………………………………………………………………7
9.5 数据安全 …………………………………………………………………………………………………8
9.6 安全隔离与交换 ………………………………………………………………………………………8
9.7 移动终端虚拟化 ………………………………………………………………………………………9
10 系统安全管理要求……………………………………………………………………………………………9
10.1 移动终端管理…………………………………………………………………………………………9
10.2 移动应用管理…………………………………………………………………………………………9
10.3 数据安全管理……………………………………………………………………………………………9
10.4 安全监测………………………………………………………………………………………………9
10.5 安全审计 ……………………………………………………………………………………………10
11 测试评价方法 ……………………………………………………………………………………………10
11.1 移动终端安全要求 ……………………………………………………………………………………10
11.2 移动通信安全要求 …………………………………………………………………………………13
11.3 移动接入安全要求 …………………………………………………………………………………14
11.4 服务端安全要求 ……………………………………………………………………………………15
11.5 系统安全管理要求 ……………………………………………………………………………………18
附录 A(资料性) 电子政务移动办公系统面临的主要安全风险………………………………………21
附录B(资料性)电子政务移动办公系统技术要求划分 …………………………………………………22
参考文献 …………………………………………………………………………………………………………23
前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T 35282—2017《信息安全技术 电子政务移动办公系统安全技术规范》,与GB/T 35282—2017相比,除结构调整和编辑性改动外,主要技术变化如下:
—更改了"范围"一章(见第1章,2017年版的第1章);
—更改了移动终端、移动终端管理、移动应用管理等术语的定义,增加了政务数据、移动政务应用程序等术语和定义(见第3章,2017年版的第3章);
—更改了"电子政务移动办公系统基本结构"图的移动接入区和服务端的结构,增加了系统安全
管理(见第5章,2017年版的第5章);
——增加了电子政务移动办公系统主要安全风险的相关内容,更改了"电子政务移动办公系统的安
全技术框架”(见第5章和附录A,2017年版的第5章);
——更改了移动终端安全、移动通信安全、移动接入安全、服务端安全中具体的安全技术要求(见第
6章、第7章、第8章、第9章,2017年版的第7章、第8章、第9章、第10章);
—增加了"系统安全管理要求"一章,并增加对系统办公安全监测的相关技术要求(见第10章);——增加了“测试评价方法”一章,提出了移动终端安全、移动通信安全、移动接入安全、服务端安全、系统安全管理的测试评价方法(见第11章)。
本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。
本文件起草单位:国家信息中心、北京梆梆安全科技有限公司、上海瀛联信息科技股份有限公司、北京智游网安科技有限公司、中国移动通信集团有限公司、华为技术有限公司、亚信科技(成都)有限公司、北京北信源软件股份有限公司、同智伟业软件股份有限公司、杭州盈高科技有限公司、上海观安信息技术股份有限公司、西安交大捷普网络科技有限公司、北京天融信网络安全技术有限公司、元心信息科技集团有限公司、北京金山办公软件股份有限公司、中国信息通信研究院、福建省经济信息中心、中关村网络安全与信息化产业联盟、深信服科技股份有限公司、吉林信息安全测评中心、西安邮电大学、武汉安天信息技术有限责任公司、陕西省网络与信息安全测评中心、奇安信网神信息技术(北京)股份有限公司、郑州信大捷安信息技术股份有限公司、沈阳东软系统集成工程有限公司、深圳海云安网络安全技术有限公司、新华三技术有限公司、中国软件评测中心、中贸促信息技术有限责任公司。
本文件主要起草人:刘蓓、程浩、包莉娜、徐进、闫桂勋、袁森、李坤、吴阿明、韩云、赵海燕、黄静、黄敏、廖双晓、蒋国辉、王永起、孙建山、贺韬、刘浩、谢江、何建锋、张超、姜哲、张树玲、宁华、刘陶、张晓晟、王克、杨志刚、刘占丰、张勇、陈诚、田嘉豪、赵春雷、梁松涛、赵春鹏、谢朝海、万晓兰、李札恬、赵恬。
本文件及其所代替文件的历次版本发布情况为:
—2017年首次发布为GB/T 35282—2017;
—本次为第一次修订。
GB/T 35282—2023
信息安全技术电子政务移动办公系统安全技术规范
1 范围
本文件规定了电子政务移动办公系统的移动终端安全、移动通信安全、移动接入安全、服务端安全和系统安全管理等各部分技术要求,给出了测试评价方法。
本文件适用于电子政务移动办公系统的安全设计、建设实施、安全管理和测试评价。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)话用干本文件。
GB/T 20279—2015 信息安全技术 网络和终端隔离产品安全技术要求GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求GB/T 25069—2022信息安全技术 术语
GB/T 28448—2019 信息安全技术 网络安全等级保护测评要求GB/T 35281—2017 信息安全技术 移动互联网应用服务器安全技术要求GB/T 37952—2019 信息安全技术 移动终端安全管理平台技术要求GB/T 38636—2020 信息安全技术 传输层密码协议(TLCP)GB/T 39786信息安全技术 信息系统密码应用基本要求
3 术语和定义
GB/T 25069—2022界定的以及下列术语和定义适用于本文件。
3.1移动终端 mobile terminal
接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。[来源:GB/T 37952—2019,3.1]
3.2电子政务移动办公系统 mobile e-government system用户利用移动终端和移动通信网络访问电子政务办公系统进行移动办公的信息系统。
3.3移动终端管理 mobile terminal management
针对移动终端,提供从注册、激活、使用到废弃等全生命周期的远程安全控制管理。
3.4移动应用管理 mobile application management针对移动应用软件,提供从分发、安装、使用、升级到卸载等全过程的安全管理。
3.5政务数据 government data
各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。[来源:GB/T 38664.1—2020,3.1]
3.6移动政务应用程序 mobile government application
安装并运行在移动终端上,具有政务移动办公功能的应用程序。注:移动政务应用程序包括政务APP、政务小程序、客户端软件等。
3.7个人数据 personal data个人用户在使用移动终端过程中产生与个人相关的数据。
3.8敏感数据 sensitive data因泄露、修改、破坏或丢失对用户产生不可预知的损害而需要保护的数据。
3.9重要数据 critical data
一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。注:重要数据不包括国家秘密。
4 缩略语
下列缩略语适用于本文件。
APN:接入点名称(Access Point Name)
APP:应用(Application)
APT:高级持续性威胁(Advanced Persistent Threat)
DDoS:分布式拒绝服务(Distributed Denial of Service)
DNN:数据网络名称(Data Network Name)
IP:网际互连协议(Internet Protocol)
IPSec:互联网安全协议(Internet Protocol Security)
SSL:安全套接层(Secure Sockets Layer)
TLCP:传输层密码协议(Transport Layer Cryptography Protocol)
TLS:网络传输层安全(Transport Layer Security)
WLAN:无线局域网(Wireless Local Area Networks)
5概述
5.1 电子政务移动办公系统参考架构
电子政务移动办公系统参考架构见图1,其中:
a) 移动终端:处于电子政务移动办公系统的用户侧,包括手机、平板电脑、便携式计算机等类型终端,其上加载移动政务应用程序。
b)通信网络:连接移动终端和政务网络的移动通信网络,以蜂窝网络、WLAN等方式连接移动终端,以互联网、专用网络或局域网等方式接入政务网络。
c) 移动接入区:处于政务网络侧,一般包括边界防护设备,如防火墙、接入认证网关等。
d)服务端:政务网络的核心服务区域,主要部署政务办公应用服务系统和安全管理系统。安全管理系统是对电子政务移动办公系统的各部分实施统一集中安全管理的系统平台或区域。政务办公应用服务系统主要通过三种方式访问:
1) 直接或VPN等方式;
2) 虚拟移动服务;
3) 应用前置服务和安全隔离交换设备。
(略)