书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３７９５２ — ２０１９ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G29 /G2A /G23 /G24 /G2B /G2C /G2D /G2E /G25 /G26 /G2F /G30 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊狅犳犿狅犫犻犾犲狋犲狉犿犻狀犪犾狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狆犾犪狋犳狅狉犿 ２０１９  ０８  ３０ /G31 /G32 ２０２０  ０３  ０１ /G33 /G34 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G31 /G32书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 １ …………………………………………………………………………………………………… ５ 　 产品描述 １ ………………………………………………………………………………………………… ６ 　 安全技术要求 ２ …………………………………………………………………………………………… 　 ６．１ 　 基本级安全技术要求 ２ ……………………………………………………………………………… 　 ６．２ 　 增强级安全技术要求 ７ ……………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 等级划分要求 １４ …………………………………………………………………… 附录 Ｂ （ 资料性附录 ） 　 典型应用场景 １６ …………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３７９５２ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国信息安全研究院有限公司 、 公安部第三研究所 、 中国电子技术标准化研究院 、 国家工业信息安全发展研究中心 、 国家信息技术安全研究中心 、 中国信息安全测评中心 、 中国网络安全审查技术与认证中心 、 国家信息中心 、 国家计算机病毒应急处理中心 、 上海理想信息产业 （ 集团 ） 有限公司 、 北京北信源软件股份有限公司 、 上海工业控制安全创新科技有限公司 、 北京中科智咨数据科技有限公司 、 华东师范大学 、 北京时代新威信息技术有限公司 、 中电智能信息科技 （ 深圳 ） 有限公司 、 西安电子科技大学 、 北京航空航天大学 、 中国传媒大学 、 重庆邮电大学 、 安徽科技学院 、 北京明朝万达科技股份有限公司 、 北京洋浦伟业科技发展有限公司 。 本标准主要起草人 ： 杨晨 、 张艳 、 张弛 、 王惠莅 、 左晓栋 、 张格 、 陆臻 、 顾键 、 茹宗光 、 刘贤刚 、 范科峰 、 梁露露 、 魏方方 、 王嘉捷 、 王石 、 王新杰 、 毛剑 、 马文平 、 肖荣 、 钟力 、 丁富强 、 贾雪飞 、 杜振华 、 张哲宇 、 崔占华 、 王麟嘉 、 黄一斌 、 周亚超 、 胡亚兰 、 黄永洪 、 刘虹 、 伍前红 、 姜正涛 、 陈晓峰 、 底兴本 、 曹浩 、 何道敬 、 刘雨桁 、 卢佐华 、 喻波 、 崔春霞 、 刘明君 、 毕强 。 Ⅲ 犌犅 ／ 犜 ３７９５２ — ２０１９ 信息安全技术移动终端安全管理平台技术要求 １ 　 范围 本标准规定了移动终端安全管理平台的技术要求 ， 包括安全功能要求和安全保障要求 。 本标准适用于移动终端安全管理平台产品的设计 、 开发与检测 ， 为组织或机构 （ 以下简称 “ 组织 ”） 实施移动互联应用的安全防护提供参考 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１８３３６．３ — ２０１５ 　 信息技术 　 安全技术 　 信息技术安全评估准则 　 第 ３ 部分 ： 安全保障组件 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ３ 　 术语和定义 ＧＢ ／ Ｔ１８３３６．３ — ２０１５ 和 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 移动终端 　 犿狅犫犻犾犲狋犲狉犿犻狀犪犾 接入公众移动通信网络 、 具有操作系统 、 可由用户自行安装和卸载应用软件的移动通信终端产品 。 ３ ． ２ 移动终端安全管理平台 　 犿狅犫犻犾犲狋犲狉犿犻狀犪犾狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狆犾犪狋犳狅狉犿 为增强移动终端的安全性和可控性 ， 通过定制安全策略对移动终端设备 、 应用等进行统一管理和安全接入控制的产品 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＳＤ 卡 ： 安全数据存储卡 （ ＳｅｃｕｒｅＤｉｇｉｔａｌＣａｒｄ ） ＷｉＦｉ ： 无线局域网接入 （ ＷｉｒｅｌｅｓｓＦｉｄｅｌｉｔｙ ） ５ 　 产品描述 本标准按照 ＧＢ ／ Ｔ１８３３６．３ — ２０１５ 安全保障要求级别划分的原则 ， 依据移动终端安全管理平台的安全功能要求和安全保障要求的强弱 ， 将安全等级分为基本级和增强级 。 基本级可对应支撑等级保护三级以下要求 。 增强级对应支撑等级保护三级 （ 含 ） 以上要求 。 等级划分参见附录 Ａ 。 在增强级中新增的要求会通过黑体标识 。 本标准从安全功能要求和安全保障要求两个方面 ， 规范了移动终端安全管理平台的安全技术要求 ， １ 犌犅 ／ 犜 ３７９５２ — ２０１９ 典型应用场景参见附录 Ｂ 。 安全功能要求包括终端管理 、 应用管理 、 数据安全 、 终端接入控制 、 安全管理 、 客户端保护和安全审计等七个方面 ， 安全保障要求则主要包括开发 、 指导性文档 、 生命周期支持和测试等方面 。 ６ 　 安全技术要求 ６ ． １ 　 基本级安全技术要求 ６ ． １ ． １ 　 安全功能要求 ６ ． １ ． １ ． １ 　 终端管理 ６ ． １ ． １ ． １ ． １ 　 终端注册 应提供对移动终端的注册功能 ， 注册信息包括注册日期 、 硬件型号 、 设备序列号 、 系统软件版本 、 所属部门等 。 ６ ． １ ． １ ． １ ． ２ 　 远程管理 应支持以下远程管理功能 ： ａ ） 　 远程锁定移动终端 ； ｂ ） 　 远程擦除移动终端存储的敏感业务数据 ； ｃ ） 　 远程备份移动终端存储的敏感业务数据 ； ｄ ） 　 授权人员远程设置功能限制策略 ， 至少应包括禁用摄像头 、 禁止截屏 、 禁用 ＷｉＦｉ 、 限制 ＳＤ 卡读写权限等 。 ６ ． １ ． １ ． １ ． ３ 　 存储介质管理 应支持对移动终端外接存储介质的管理 、 监测等功能 ， 对违规使用行为进行告警和阻断 。 ６ ． １ ． １ ． １ ． ４ 　 安全监测 应支持以下监测功能 ： ａ ） 　 监测移动终端中恶意程序检测软件的安装 、 运行情况等 ； ｂ ） 　 监测移动终端位置信息 、 运行服务 、 设备性能 、 软件版本 （ 至少应包括操作系统等 ） 等信息 。 ６ ． １ ． １ ． １ ． ５ 　 口令或生物特征鉴别策略 应支持以下功能 ： ａ ） 　 远程设置终端开机口令策略 ， 阻断未设置口令的终端接入 ， 支持生物特征鉴别功能 ； ｂ ） 　 监测是否设置用户账户口令 ， 阻断未设置用户口令的终端接入 ； ｃ ） 　 远程设置用户口令策略 ， 至少应包括口令类型 、 定期更换策略 、 失败次数限制等 。 ６ ． １ ． １ ． ２ 　 应用管理 应支持授权人员设置应用程序白名单 、 黑名单的功能 ， 并能够根据白名单 、 黑名单执行相应的操作 。 ６ ． １ ． １ ． ３ 　 数据安全 ６ ． １ ． １ ． ３ ． １ 　 数据安全传输 应采用加密 、 数据完整性保护等安全机制 ， 保障终端数据安全可靠传输 。 ２ 犌犅 ／ 犜 ３７９５２ — ２０１９ ６ ． １ ． １ ． ３ ． ２ 　 数据安全存储 应支持以下安全存储功能 ： ａ ） 　 对服务端中的敏感数据进行加密存储和完整性保护 ； ｂ ） 　 对服务端中敏感数据实现基于角色或属性等的授权访问控制 ； ｃ ） 　 对移动终端 、 外置存储设备存储的敏感数据应进行加密处理 ， 并能擦除未加密的敏感数据 ； ｄ ） 　 对移动终端 、 外置存储设备存储的敏感数据进行完整性保护 。 ６ ． １ ． １ ． ３ ． ３ 　 数据防泄露 应支持敏感数