TTAF 028-2018 移動政企終端安全管理技術(shù)要求

ICS33.050

M30

團(tuán)體標(biāo)準(zhǔn)

T/TAF028-2018

移動政企終端安全管理技術(shù)要求

TechnicalRequirementsforGovernmentandEnterpriseMobileTerminalSecurity

Management

2018-09-03發(fā)布2018-09-03實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF028-2018

移動政企終端安全管理技術(shù)要求

1范圍

本標(biāo)準(zhǔn)針對移動政企終端在移動辦公的系統(tǒng)架構(gòu)下，制定移動設(shè)備安全管理、移動應(yīng)用安全管理、

以及移動內(nèi)容安全管理的各項技術(shù)要求。

本標(biāo)準(zhǔn)適用于移動辦公環(huán)境下的移動政企終端。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

3.1.1移動智能終端SmartMobileTerminal

能夠接入移動通信網(wǎng)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運行第三方

應(yīng)用軟件的移動終端。

3.1.2移動政企終端GovernmentandEnterpriseIndustryMobileTerminal

由企業(yè)根據(jù)自身業(yè)務(wù)特點定制并僅限內(nèi)部員工辦公使用的的移動智能終端。

3.1.3移動設(shè)備管理MobileDeviceManagement

保護(hù)、監(jiān)控和管理移動政企終端。包括提供移動設(shè)備生命周期管理，從設(shè)備注冊、激活、使用、淘

汰各個環(huán)節(jié)進(jìn)行全面管理。具體能實現(xiàn)用戶管理、遠(yuǎn)程控制、通信安全、設(shè)備自檢、資產(chǎn)管理等功能。

3.1.4移動應(yīng)用管理MobileApplicationManagement

針對移動政企終端應(yīng)用的安全保護(hù)、分發(fā)、訪問、配置、更新、刪除等策略和流程。通過政企應(yīng)用

商店控制和推送應(yīng)用，能集中監(jiān)控應(yīng)用的使用情況，對應(yīng)用設(shè)置相應(yīng)策略以滿足政企的規(guī)范。

3.1.5移動內(nèi)容管理MobileContentManagement

提供隔離環(huán)境，實現(xiàn)安全傳輸及安全存儲，確保政企數(shù)據(jù)安全無憂。

3.2縮略語

BYOD攜帶自己的設(shè)備BringYourOwnDevice

COPE企業(yè)擁有、個人使用CorporateOwned,PersonallyEnabled

1

T/TAF028-2018

MAM移動應(yīng)用管理MobileApplicationManagement

MCM移動內(nèi)容管理MobileContentManagement

MDM移動設(shè)備管理MobileDeviceManagement

4系統(tǒng)架構(gòu)

移動辦公系統(tǒng)參考架構(gòu)如圖1所示，移動設(shè)備通過無線網(wǎng)絡(luò)，運用HTTPS協(xié)議對服務(wù)器進(jìn)行訪問。政

企移動業(yè)務(wù)區(qū)域、移動設(shè)備和移動設(shè)備上的相關(guān)的應(yīng)用由政企直接控制。政企核心業(yè)務(wù)區(qū)域也是在其控

制范圍內(nèi)，但該區(qū)域不在本規(guī)范描述范圍內(nèi)。

移動設(shè)備需保證移動計算以及接入到政企資源的安全，政企移動業(yè)務(wù)區(qū)域包括移動設(shè)備管理（MDM）、

移動應(yīng)用管理（MAM）和移動應(yīng)用商店；MDM是集中對移動設(shè)備的功能、安全進(jìn)行管理和優(yōu)化；MAM為裝

載在移動設(shè)備上的政企應(yīng)用提供分發(fā)、配置、數(shù)據(jù)控制以及應(yīng)用生命周期管理的功能，它還可以提供應(yīng)

用診斷的功能；移動應(yīng)用商店提供了政企應(yīng)用的下載渠道，這些已經(jīng)獲得許可的應(yīng)用需下載并安裝到經(jīng)

政企許可的移動設(shè)備上。

政企移動業(yè)務(wù)

移動辦公平臺服務(wù)器

政企核心業(yè)務(wù)

智能終端

圖1政企移動辦公框架圖

5安全目標(biāo)

5.1概述

為了解決政企辦公人員在工作中使用移動政企終端存在的安全風(fēng)險，需要對移動設(shè)備、移動應(yīng)用、

移動內(nèi)容進(jìn)行安全管理，以保證政企辦公數(shù)據(jù)在存儲、處理、傳輸過程中沒有被盜，以此來改善員工和

政企辦公風(fēng)險問題。

2

T/TAF028-2018

5.2移動設(shè)備管理安全目標(biāo)

5.2.1用戶管理

為解決用戶有意或無意安裝不符規(guī)定的軟件，或者附錄B中所提到的員工有意或無意泄密問題，安

全功能應(yīng)對用戶進(jìn)行相應(yīng)的權(quán)限管理。

在訪問受保護(hù)的功能和數(shù)據(jù)前，需要用戶發(fā)起向設(shè)備的鑒權(quán)申請。一些非敏感功能（如撥打緊急電

話，文字提示）可以無需鑒權(quán)直接訪問。

用戶反復(fù)嘗試鑒權(quán)的行為應(yīng)被限制或阻止，應(yīng)保證未成功的嘗試間間隔足夠長時間。

5.2.2遠(yuǎn)程控制

為解決附錄B中提到的設(shè)備丟失所帶來的數(shù)據(jù)丟失，移動設(shè)備應(yīng)提供數(shù)據(jù)保護(hù)，移動設(shè)備應(yīng)該能夠

具備遠(yuǎn)程保護(hù)的能力，且終端的遠(yuǎn)程控制功能也應(yīng)具備非授權(quán)訪問的安全設(shè)置，確保終端僅處在有安全

隱患的情況下才能被啟用。

5.2.3通信安全

為解決附錄B中提到的網(wǎng)絡(luò)竊聽和網(wǎng)絡(luò)攻擊的威脅，移動設(shè)備和遠(yuǎn)程網(wǎng)元間應(yīng)使用可信通信傳輸方

式。

5.2.4設(shè)備自檢

為保證移動設(shè)備的完整性，移動設(shè)備應(yīng)能自檢其關(guān)鍵功能、軟件、固件和數(shù)據(jù)的完整性，自檢失敗

的信息應(yīng)能提示給用戶。

為解決應(yīng)用程序漏洞和惡意軟件攻擊，對軟件和固件版本升級也應(yīng)在安裝運行前進(jìn)行完整性檢測。

5.2.5資產(chǎn)管理

如果終端為企業(yè)所有、個人使用，則需要對終端進(jìn)行資產(chǎn)管理，確保資產(chǎn)在使用過程中的安全可控。

5.3移動應(yīng)用管理安全目標(biāo)

政企實施移動辦公，移動應(yīng)用是重要的軟件資產(chǎn)，需要通過移動應(yīng)用管理能力來提供移動應(yīng)用全生

命周期管理，保障移動應(yīng)用的安全高效使用。

5.4移動內(nèi)容數(shù)據(jù)加密安全目標(biāo)

政企辦公數(shù)據(jù)的內(nèi)容管理既要確保內(nèi)容的安全性，確保用戶數(shù)據(jù)不被非法篡改、獲取，同時能夠通

過備份保證有效恢復(fù)，還需要具備擦除內(nèi)容的能力。

6安全管理

6.1移動設(shè)備安全管理

6.1.1概述

根據(jù)5.2節(jié)的安全目標(biāo)，移動設(shè)備的安全管理包括用戶管理、遠(yuǎn)程控制、通信安全、設(shè)備自檢和資

產(chǎn)管理等功能。

6.1.2用戶管理

3

T/TAF028-2018

移動設(shè)備能夠在用戶訪問受保護(hù)的功能和數(shù)據(jù)前發(fā)起鑒權(quán)申請，以及對不同領(lǐng)域的用戶進(jìn)行相應(yīng)的

權(quán)限配置，即通過分權(quán)分域的方式來配置用戶的不同權(quán)限。用戶管理要求包括：

(1)對用戶的認(rèn)證和授權(quán)通過移動設(shè)備與授權(quán)服務(wù)之間的可信通道建立；

(2)用戶在解密敏感數(shù)據(jù)時，應(yīng)提供相應(yīng)的鑒權(quán)機(jī)制，例如PIN碼、指紋等；

(3)針對身份認(rèn)證口令，安全功能應(yīng)支持以下功能：

1.口令應(yīng)可以由大寫英文字母、小寫英文字母、數(shù)字、特殊字符任意組合而成。

2.口令長度不低于6位。

(4)限制用戶在認(rèn)證前嘗試，用戶認(rèn)證嘗試連續(xù)失敗次數(shù)不超過10次，兩次嘗試間隔應(yīng)不小于500毫秒；

(5)當(dāng)用戶修改身份認(rèn)證因子口令時，應(yīng)要求用戶先輸入正確的口令；

(6)在設(shè)備進(jìn)行口令輸入認(rèn)證過程中，設(shè)備應(yīng)只提供隱式顯示或提示，如顯示*號，不允許明文顯示和

提示。（最多允許短暫（不大于1秒）顯示輸入各個字符，方便用戶確認(rèn)自己的輸入字符）

(7)移動設(shè)備應(yīng)在一定的時間間隔無操作后轉(zhuǎn)入鎖定模式；

(8)在移動設(shè)備轉(zhuǎn)入鎖定模式時應(yīng)將之前顯示的內(nèi)容清除或覆蓋設(shè)備顯示；

(9)移動設(shè)備在使用僅充電模式下且處于鎖定狀態(tài)，移動設(shè)備應(yīng)不支持?jǐn)?shù)據(jù)存取功能；

(10)移動設(shè)備應(yīng)有用戶權(quán)限管理，每個通過認(rèn)證的用戶只能操作其授權(quán)的功能。

6.1.3遠(yuǎn)程控制

移動設(shè)備支持遠(yuǎn)程控制功能，應(yīng)具備一下條件：

(1)應(yīng)在移動設(shè)備與遠(yuǎn)程控制設(shè)備之間建立可信鏈路，用于保證遠(yuǎn)程控制的控制安全。

(2)控制設(shè)備與被控設(shè)備之間應(yīng)建立強(qiáng)認(rèn)證機(jī)制，確保非授權(quán)設(shè)備控制移動設(shè)備。

移動設(shè)備能夠可執(zhí)行的遠(yuǎn)程操作如下：

(1)用戶的數(shù)據(jù)的遠(yuǎn)程擦除，保證被刪除用戶數(shù)據(jù)不可再恢復(fù)，遠(yuǎn)程擦除數(shù)據(jù)可以提供多項選擇，例如：

擦除SD卡數(shù)據(jù)、恢復(fù)出廠設(shè)置和應(yīng)用的權(quán)限配置等；

(2)移動設(shè)備的遠(yuǎn)程鎖定，若使用者由于疏忽暫時無法找到終端時，終端應(yīng)支持遠(yuǎn)程鎖定終端，保證信

息安全；

(3)移動設(shè)備的遠(yuǎn)程備份，備份系統(tǒng)應(yīng)具備安全性、可管理性和可擴(kuò)展性，且移動設(shè)備的數(shù)據(jù)備份系統(tǒng)

的數(shù)據(jù)加密最好使用數(shù)字信封的方式，保證高效的完成數(shù)據(jù)加密。

6.1.4通信安全

移動政企終端通過移動網(wǎng)絡(luò)接入遠(yuǎn)程接入?yún)^(qū)，移動終端應(yīng)滿足一下要求：

(1)移動終端與遠(yuǎn)程接入?yún)^(qū)應(yīng)具備雙向身份認(rèn)證機(jī)制，確保移動終端與遠(yuǎn)程接入?yún)^(qū)的身份可信。

(2)移動政企終端應(yīng)安全接入?yún)^(qū)建立可信加密通訊鏈路（例如VPN）

移動設(shè)備的通信安全要求包括：

(1)使用HTTPS等安全傳輸協(xié)議進(jìn)行安全通信；

(2)應(yīng)提供VPN客戶端接口，或數(shù)據(jù)流直接通過VPN客戶端的方式傳輸，如IPsecVPN或者SSLVPN；

(3)與外部藍(lán)牙設(shè)備配對前，應(yīng)要求用戶進(jìn)行顯式的認(rèn)證；

(4)使用TLS版本應(yīng)限于TLS1.2版本或更高版本，如TLS1.3版本，應(yīng)限制使用自身不安全的版本，如TLS

1.0版本等；

(5)安全功能應(yīng)提供適當(dāng)方法，可以在某應(yīng)用使用安全通信前，檢查其認(rèn)證證書的合法性；

(6)當(dāng)移動設(shè)備無法建立網(wǎng)絡(luò)連接來決定認(rèn)證證書的合法性時，安全功能應(yīng)運行管理員或用戶來選擇是

否認(rèn)可該認(rèn)證證書合法。

(7)安全功能應(yīng)為應(yīng)用提供認(rèn)證證書合法性驗證服務(wù)，驗證結(jié)果應(yīng)告知該應(yīng)用。

4

T/TAF028-2018

6.1.5設(shè)備自檢

移動設(shè)備的自檢要求包括：

(1)在開機(jī)初始化過程中運行自測套件來測試所有安全功能正常運行；

(2)對完整性驗證值進(jìn)行加密簽名；

(3)為自身使用提供可靠的時間戳；

(4)通過應(yīng)用處理器OS內(nèi)核和在互斥媒介中存儲的所有可執(zhí)行代碼驗證啟動鏈的完整性，該代碼在用數(shù)

字簽名、硬件保護(hù)非對稱密鑰、或硬件保護(hù)哈希運行前在互斥媒介中存儲；

(5)使用更新前廠商提供的數(shù)字簽名來驗證對應(yīng)用處理器系統(tǒng)軟件和其他處理器系統(tǒng)軟件的軟件更新；

(6)不更新或僅由被驗證過的軟件更新其根完整性保護(hù)密鑰或哈希；

(7)驗證在更新中使用的數(shù)字簽名驗證密鑰的合法性，驗證方法可以是通過信任錨數(shù)據(jù)庫公共密鑰驗證

其合法性或通過硬件保護(hù)的公共密鑰驗證其符合性；

(8)使用非對稱算法管理根密鑰，持續(xù)不定期的更新根密鑰；

(9)將設(shè)備軟件完整性驗證值計入日志或提供給管理員。

6.1.6資產(chǎn)管理

對于企業(yè)所有、個人使用的終端，其資產(chǎn)管理要求包括：

(1)應(yīng)具備資產(chǎn)注冊及注銷的功能；

(2)對終端的位置信息、使用賬戶信息要進(jìn)行記錄。

(3)智能終端應(yīng)具備唯一標(biāo)識該設(shè)備的硬件標(biāo)識。

6.2移動應(yīng)用安全管理

6.2.1移動應(yīng)用分發(fā)管理

(1)通過建立政企移動應(yīng)用商店進(jìn)行私有的、安全的管理移動應(yīng)用；

(2)政企移動應(yīng)用商店不面向大眾公開，終端訪問應(yīng)用商店以及下載應(yīng)用時需要通過身份認(rèn)證；

(3)政企應(yīng)用商店需要支持企業(yè)自行開發(fā)的移動應(yīng)用和第三方應(yīng)用市場的公共應(yīng)用上架、下架管理；

(4)可以基于員工的組織結(jié)構(gòu)信息、設(shè)備的歸屬（BYOD、COPE）定向控制每個應(yīng)用的分發(fā)和可視范圍；

(5)可以快速將移動應(yīng)用定向推送到員工的移動設(shè)備上；

(6)應(yīng)用商店能夠進(jìn)行應(yīng)用版本更新，并快速將新版本應(yīng)用推送到對應(yīng)的員工移動設(shè)備上；

(7)在新版本應(yīng)用上架后，支持移動應(yīng)用的部分設(shè)備試點升級；

(8)支持應(yīng)用黑名單和白名單，能夠進(jìn)行黑白名單的檢查。

6.2.2應(yīng)用層面的數(shù)據(jù)丟失保護(hù)

(1)基于應(yīng)用的，而不是基于整個設(shè)備的數(shù)據(jù)加密；

(2)防止惡意軟件和欺騙應(yīng)用訪問數(shù)據(jù)；

(3)基于應(yīng)用，防止非授權(quán)的對數(shù)據(jù)的拷貝和粘貼；

(4)保證附件或者文件在安全的打包應(yīng)用間傳輸（僅適用于安卓系統(tǒng)）。

6.2.3應(yīng)用級別的接入控制

(1)在允許用戶接入到政企特定的應(yīng)用前，應(yīng)驗證用戶身份的合法性；

(2)把應(yīng)用授權(quán)給用戶、角色或部門，保障應(yīng)用使用安全；

(3)在政企規(guī)定的嘗試次數(shù)認(rèn)證失敗后，企業(yè)應(yīng)具有相應(yīng)的措施使應(yīng)用無法被使用；

5

T/TAF028-2018

(4)在幾次嘗試認(rèn)證失敗后，應(yīng)丟棄或拒絕應(yīng)用數(shù)據(jù)的恢復(fù)。

6.2.4應(yīng)用級使用控制

(1)當(dāng)設(shè)備被越獄或者ROOT后，應(yīng)具有相應(yīng)的措施使應(yīng)用無法被使用；

(2)為每個應(yīng)用設(shè)置超期時間來生成時間限制的接入。

6.2.5數(shù)據(jù)保護(hù)

(1)受保護(hù)的存儲數(shù)據(jù)僅僅由相應(yīng)授權(quán)的應(yīng)用訪問；

(2)為每一個應(yīng)用和應(yīng)用服務(wù)器建立一個安全的傳輸通道；

(3)在裝載應(yīng)用的過程中要驗證設(shè)備的完整性。

6.3移動內(nèi)容數(shù)據(jù)加密安全管理

移動內(nèi)容安全管理的要求包括：

(1)對企業(yè)數(shù)據(jù)和用戶數(shù)據(jù)使用數(shù)據(jù)加密密鑰(DEK)，通過特定的密碼算法進(jìn)行加密/解密；

(2)要求用戶在解密受保護(hù)數(shù)據(jù)和加密DEK、KEK和其他長效密碼材料、軟件密碼存儲開始前，輸入身份

認(rèn)證因子口令；

(3)在擦除受保護(hù)數(shù)據(jù)時，

EEPROM：銷毀應(yīng)進(jìn)行單向隨機(jī)數(shù)覆蓋，覆蓋后應(yīng)進(jìn)行讀取驗證；

閃存:銷毀應(yīng)進(jìn)行單向全零覆蓋或塊擦除，覆蓋或擦除后應(yīng)進(jìn)行讀取驗證；

其他非易失存儲器：銷毀應(yīng)進(jìn)行三次或三次以上隨機(jī)數(shù)覆蓋，每次覆蓋使用的隨機(jī)數(shù)不同。

(4)在擦除操作完成后移動設(shè)備應(yīng)進(jìn)行重新啟動；

(5)對緩存文件進(jìn)行加密；

(6)在擦除加密密鑰時，

對易失性存儲器：銷毀應(yīng)進(jìn)行單向隨機(jī)數(shù)覆蓋，覆蓋后應(yīng)進(jìn)行讀取驗證；

EEPROM：銷毀應(yīng)進(jìn)行單向隨機(jī)數(shù)覆蓋，覆蓋后應(yīng)進(jìn)行讀取驗證；

閃存:銷毀應(yīng)進(jìn)行單向全零覆蓋或塊擦除，覆蓋或擦除后應(yīng)進(jìn)行讀取驗證；

其他非易失存儲器：銷毀應(yīng)進(jìn)行三次或三次以上隨機(jī)數(shù)覆蓋，每次覆蓋使用的隨機(jī)數(shù)不同；

(7)可將移動設(shè)備分為企業(yè)工作區(qū)域和用戶個人區(qū)域；

(8)不允許用戶或未授權(quán)的應(yīng)用將企業(yè)數(shù)據(jù)發(fā)往移動設(shè)備的個人區(qū)域和其他區(qū)域；

(9)可以提供方法在IT管理員授權(quán)情況下將聯(lián)系人、日歷事件信息在用戶個人區(qū)域和企業(yè)工作區(qū)域共

享。

6.4安全審計要求

(1)實現(xiàn)安全審計管理，收集、記錄、管理用戶與系統(tǒng)安全有關(guān)的活動，數(shù)據(jù)訪問和關(guān)鍵操作行為記錄；

(2)對接口的所有請求和響應(yīng)都要有詳細(xì)的日志記錄，便于后期的分析和審計；

(3)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

(4)應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

6

T/TAF028-2018

A

附錄A

（規(guī)范性附錄）

標(biāo)準(zhǔn)修訂歷史

修訂時間修訂后版本號修訂內(nèi)容

2018.7V1.0.0范圍，全文格式

7

T/TAF028-2018