1 范圍

      本標準規定了移動終端安全管理平臺的技術要求，包括安全功能要求和安全保障要求。

      本標準適用于移動終端安全管理平臺產品的設計、開發與檢測，為組織或機構（以下簡稱“組織”）實施移動互聯應用的安全防護提供參考。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義

      GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      移動終端 mobile terminal

      接入公眾移動通信網絡、具有操作系統、可由用戶自行安裝和卸載應用軟件的移動通信終端產品。

3.2

      移動終端安全管理平臺 mobile terminal security management platform

      為增強移動終端的安全性和可控性，通過定制安全策略對移動終端設備、應用等進行統一管理和安全接入控制的產品。

4 縮略語

      下列縮略語適用于本文件。

      SD卡：安全數據存儲卡（Secure Digital Card）

      WiFi：無線局域網接入 (Wirelireless Fidelity)

5 產品描述

      本標準按照GB/T 18336.3-2015安全保障要求級別劃分的原則，依據移動終端安全管理平臺的安全功能要求和安全保障要求的強弱，將安全等級分為基本級和增強級。基本級可對應支撐等級保護三級以下要求。增強級對應支撐等級保護三級（含）以上要求。等級劃分參見附錄A。在增強級中新增的要求會通過黑體標識。

      本標準從安全功能要求和安全保障要求兩個方面，規范了移動終端安全管理平臺的安全技術要求，

典型應用場景參見附錄B。安全功能要求包括終端管理、應用管理、數據安全、終端接入控制、安全管理、客戶端保護和安全審計等七個方面，安全保障要求則主要包括開發、指導性文檔、生命周期支持和測試等方面。

6 安全技術要求

6.1 基本級安全技術要求

6.1.1 安全功能要求

6.1.1.1 終端管理

6.1.1.1.1 終端注冊

      應提供對移動終端的注冊功能，注冊信息包括注冊日期、硬件型號、設備序列號、系統軟件版本、所屬部門等。

6.1.1.1.2 遠程管理

      應支持以下遠程管理功能：

      a）遠程鎖定移動終端；

      b）遠程擦除移動終端存儲的敏感業務數據；

      c）遠程備份移動終端存儲的敏感業務數據；

      d）授權人員遠程設置功能限制策略，至少應包括禁用攝像頭、禁止截屏、禁用WiFi、限制SD卡讀寫權限等。

6.1.1.1.3 存儲介質管理

      應支持對移動終端外接存儲介質的管理、監測等功能，對違規使用行為進行告警和阻斷。

6.1.1.1.4 安全監測

      應支持以下監測功能：

      a）監測移動終端中惡意程序檢測軟件的安裝、運行情況等；

      b）監測移動終端位置信息、運行服務、設備性能、軟件版本（至少應包括操作系統等）等信息。

6.1.1.1.5 口令或生物特征鑒別策略

      應支持以下功能：

      a）遠程設置終端開機口令策略，阻斷未設置口令的終端接入，支持生物特征鑒別功能；

      b）監測是否設置用戶賬戶口令，阻斷未設置用戶口令的終端接入；

      c）遠程設置用戶口令策略，至少應包括口令類型、定期更換策略、失敗次數限制等。

6.1.1.2 應用管理

      應支持授權人員設置應用程序白名單、黑名單的功能，并能夠根據白名單、黑名單執行相應的操作。

6.1.1.3 數據安全

6.1.1.3.1 數據安全傳輸

      應采用加密、數據完整性保護等安全機制，保障終端數據安全可靠傳輸。

6.1.1.3.2 數據安全存儲

      應支持以下安全存儲功能：

      a）對服務端中的敏感數據進行加密存儲和完整性保護；

      b）對服務端中敏感數據實現基于角色或屬性等的授權訪問控制；

      c）對移動終端、外置存儲設備存儲的敏感數據應進行加密處理，并能擦除未加密的敏感數據；

      d）對移動終端、外置存儲設備存儲的敏感數據進行完整性保護。

6.1.1.3.3 數據防泄露

      應支持敏感數據防泄露安全策略配置，對終端中業務系統數據進行實時監測，支持數據內容的掃描、過濾和敏感數據外傳阻斷等功能。

6.1.1.3.4 個人信息保護

      應采取必要的措施，確保移動終端和服務端存儲的個人信息安全，防止信息泄露、毀損、丟失等。

6.1.1.4 終端接入控制

6.1.1.4.1 接入鑒別

      應支持僅允許經服務端注冊的移動終端接入組織業務系統的功能。

6.1.1.4.2 訪問控制策略

      應支持以下訪問控制策略配置功能：

      a）針對不同終端制定不同的應用資源訪問控制策略。

      b）提供以下訪問限制能力：

      ——僅允許授權終端對應用資源進行訪問；

      ——授權終端對應用資源進行訪問的內容不能超出預定義的范圍；

      ——授權終端對應用資源進行訪問的操作（如對文件、文件夾進行讀、寫、復制、下載等操作）不能超出預定義的范圍（有則適用）；

      ——授權終端對應用資源進行訪問的時間不能超出預定義的范圍（有則適用）；

      ——授權終端通過網絡對應用資源進行訪問時，該終端所使用的移動終端的序列號/地址不能超出預定義的范圍（有則適用）；

      ——授權終端對應用資源進行訪問的次數不能超出預定義的范圍（有則適用）。

      c）移動終端對應用資源的接入應受訪問控制策略的約束。

6.1.1.5 安全管理

6.1.1.5.1 管理員屬性初始化

      應支持對授權管理員的賬戶、口令等屬性進行初始化的功能。

6.1.1.5.2 管理員唯一性標識

      應支持授權管理員唯一身份標識功能，并將授權管理員的身份標識與其所有可審計事件進行關聯。

6.1.1.5.3 管理員屬性修改

      應支持授權管理員屬性（至少包括管理員口令）修改功能。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。