中华人民共和国国家标准 - cesa.cn 174413.pdf · gb/t 34078.1-2017...

120ICS35.240.01M 67

中华人民共和国国家标准

GB/T 34079.5-xxxx

代替

基于云计算的电子政务公共平台服务规范

第 5部分：移动服务

Service Specification of Electronic Government CommonPlatformBased on CloudComputing

Part 5: Mobility Service

（报批稿）

（本稿完成日期：2018.06.18）

××××-××-××发布 ××××-××-××实施

中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会

发布

工业和信息化部



GB/T 34079.5—××××

I

目次

前言.......................................................................................................................................................................II引言.....................................................................................................................................................................III1 范围.....................................................................................................................................................................12 规范性引用文件.................................................................................................................................................13 术语、定义和缩略语.........................................................................................................................................13.1术语和定义......................................................................................................................................................13.2缩略语..............................................................................................................................................................34 总体框架.............................................................................................................................................................45 终端.....................................................................................................................................................................65.1终端安全模块..................................................................................................................................................65.2移动办公工作平台..........................................................................................................................................76 安全信道.............................................................................................................................................................76.1接入方式..........................................................................................................................................................76.2无缝切换..........................................................................................................................................................77 移动安全网关.....................................................................................................................................................87.1安全网关服务功能..........................................................................................................................................87.2安全统一接入要求..........................................................................................................................................88 服务端管理.........................................................................................................................................................88.1策略管理服务..................................................................................................................................................88.2移动设备管理MDM.......................................................................................................................................98.3用户管理........................................................................................................................................................118.4访客接入管理................................................................................................................................................128.5证书管理及使用............................................................................................................................................128.6移动应用支撑服务........................................................................................................................................129 移动政务应用...................................................................................................................................................139.1移动应用支持................................................................................................................................................139.2常用软件要求................................................................................................................................................1410 安全要求.........................................................................................................................................................1710.1终端安全......................................................................................................................................................1710.2传输安全......................................................................................................................................................1710.3身份安全......................................................................................................................................................1810.4应用安全......................................................................................................................................................1811 计量要求.........................................................................................................................................................1911.1资源使用信息数据采集.............................................................................................错误！未定义书签。

11.2计量计算、查询和统计.............................................................................................错误！未定义书签。

参考文献...............................................................................................................................................................22




GB/T 34079.5—××××

II

前言

GB/T34079《基于云计算的电子政务公共平台服务规范》预计分为以下五个部分：

——第 1 部分：服务分类与编码；

——第 2 部分：应用部署和数据迁移；

——第 3 部分：数据管理；

——第 4 部分：应用服务；

——第 5 部分：移动服务。

本部分为 GB/T34079 的第 5部分。

本部分按照GB/T1.1-2009给出的规则起草。

本部分由工业和信息化部（通信）提出。

本部分由全国通信标准化技术委员会(SAC/TC485)归口。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本部分起草单位：北京中海纪元数字技术发展股份有限公司、中国联通研究院、中国信息通信研究

院、中兴通讯股份有限公司、中国电子科技集团第二十八研究所。

本部分主要起草人：徐起、马书惠、石友康、聂秀英、李拯、刘威、张春晖、范小平、尧川、张敏、

丁广告、杨森。工业和信息化部



GB/T 34079.5—××××

III

引言

电子政务发展正处于转变发展方式、深化应用和突出成效的关键转型期。政府职能转变和服务型政

府建设对电子政务发展提出了更新更高要求。以云计算为代表的新兴信息技术、产业、应用不断涌现，

深刻改变了电子政务发展的技术环境及条件。构建基于云计算的电子政务公共平台既可充分利用已有资

源,又可充分发挥新兴信息技术的潜能，加快电子政务发展创新，提高应用支撑服务能力，增强安全保

障能力，减少重复建设、避免各自为政的信息孤岛。

本部分是基于云计算的电子政务移动应用管理需求，以及电子政务公共平台移动应用管理核心要素

的基础上，制定了移动应用管理中的终端要求、网络接入要求、安全要求、计量要求等全过程的技术体

系，为电子政务公共平台的移动应用服务提供机构、服务使用机构、服务评估机构及平台管理机构提供

标准规范，为推动移动应用在电子政务公共平台上的统一管理和规范服务提供参考，为电子政务应用中

的移动应用建设的完整性、可靠性和可用性提供保障。本部分的制定结合了云计算、大数据的管理技术

特征，并兼顾、引导传统移动应用技术逐步演进为基于云计算的移动应用服务，为政务移动应用的高效

利用提供有力支撑。




GB/T 34079.5—××××

1

基于云计算的电子政务公共平台服务规范第 5部分：移动服务

1 范围

本部分规定了基于云计算的电子政务公共平台支持移动服务的技术要求，包括总体框架、终端要求、

安全信道要求、移动安全网关要求、安全要求、服务端管理要求、应用支持和计量等方面的要求。

本部分适用于基于云计算的电子政务公共平台移动服务的设计、开发和应用。

注：除非特殊说明，以下各章中“电子政务公共平台”和“公共平台”均指“基于云计算的电子政务公共平台”。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 34078.1-2017 基于云计算的电子政务公共平台总体规范第1部分:术语和定义

GB/T 33780.1-2017 基于云计算的电子政务公共平台技术规范第1部分：系统架构

3 术语、定义和缩略语

3.1 术语和定义

GB/T 34078.1-2017《基于云计算的电子政务公共平台总体规范第1部分：术语和定义》中界定的以

及下列术语和定义适用于本文件。

3.1.1

政务移动终端 mobile tablet for government affairs

能够安装和运行政务应用软件，并能安全接入政务网络和访问政务应用的移动智能终端。

政务移动终端通常具备如下一种或多种典型特征：

1）符合相关等级保护的安全要求；

2）采用数字证书加固系统安全；

3）具备终端数据加密保护；

4）提供安全信道的连接；

5）可以安装下载政务应用；

6）具备无线通讯功能，包括移动通讯、WLAN、蓝牙等。

3.1.2

双因子认证 two factors authentication

结合密码以及实物（如TF卡）两种条件对用户进行认证的方法。




GB/T 34079.5—××××

2

3.1.3

策略管理中心 policy centre

有线、无线、VPN一体化的认证中心，对不同的场景通过策略定义、策略下发及策略执行来完成终

端的集中控制。通过把准入控制与终端的安全状态相结合，对于不符合安全策略的终端进行隔离修复，

强制终端用户实施政府的安全策略。控制接入网络的终端用户网络访问权限，实现最小授权访问控制，

保障政府内网的安全。

3.1.4

国际移动用户标识码 international mobile subscriber identity

在GSM和UMTS等移动网络中用于唯一识别移动用户的一个号码。这个号码通常被存放在SIM卡中，由

手机发送给网络。它也可用于获取存储在本地位置寄存器（HLR）中的移动用户的其他信息，或复制在

当地拜访位置寄存器中。为了防止通过无线接口对用户进行窃听和跟踪，IMSI是很少被发送的，而是被

作为尽可能由一个随机生成的TMSI代替发送。

3.1.5

WLAN高密接入 WLAN high density access

在用户较多的高密场所，无线WLAN网络会出现速率慢和易掉线等问题。需要通过智能调度、功率调

整、信道调整等技术提升网络的整体性能，提高多用户接入能力和改善用户体验。

3.1.6

智能多用户调度技术 intelligent multi-user scheduling technology

WLAN网络中的智能多用户调度技术主要包括基于环境的无线调度和基于信号质量的无线调度。基于

环境的无线调度，即通过对用户数、冲突概率和信道使用率等参数的感知，灵活调整物理信道竞争参数，

降低碰撞几率。基于信号质量的无线调度，即通过限制低速率用户接入，强制弱信号用户下线，避免误

关联，保障已关联终端的业务性能。

3.1.7

自适应功率调整 adaptive power adjustment

根据无线终端接入的距离及数据交换容量，AP自动调整无线信号发射功率。

3.1.8

自适应信道调整 adaptive channel adjustment

AP 支持信道自动扫描功能，自动探测周边 AP 使用的信道以及干扰，结果上报 AC，触发信道调整。

3.1.9

层次化 QoS调度 hierarchical QoS

一种既能控制用户的流量，又能同时根据用户业务优先级进行调度的 QoS 技术，多级的 QoS 调度

提供了精细化的服务质量保证。而传统的 QoS 基于端口进行流量控制，单个端口只能区分业务优先级，




GB/T 34079.5—××××

3

无法区分不同用户之间的业务，只能做到一级的 QoS 调度。WMM 是无线 QoS 的主要协议，用于保证高优

先级的报文有优先发送的权利，从而保证语音、视频等应用在无线网络中有更好的质量。

3.1.10

统一通信 unified communications；UC

一种业务类型。是指把计算机技术与传统通信技术融为一体的新通信模式，其核心内容是：让用户

无论任何时间、任何地点，都可以通过设备、网络，获得数据、图像和声音的自由通信。也就是说，统

一通信是将语音、传真、电子邮件、移动短消息、多媒体和数据等所有信息类型合为一体。

3.1.11

虚拟专用网络 virtual private network；VPN

在公用网络上建立专用网络的技术。VPN网络的任意两个节点之间的连接无需专用的端到端的物理

链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。

3.1.12

SSL VPN

用SSL协议来实现的VPN。SSL协议是一种应用于传输层的安全协议，用于构建客户端与服务端之间

的安全通道。

3.1.13

应用级 VPN application Level VPN

基于 SSL 传输协议的 VPN，是为了特定的应用程序而构建。

3.2 缩略语

下列缩略语适用于本文件。

AC 无线控制器 Access Controller

ACL 访问控制列表 Access Control List

AP 无线接入点 Access Point

CA 认证中心 Certification Authority

CAPWAP 无线接入点的控制和规范 Control and Provisioning of Wireless Access

Points

CRL 证书撤销列表 Certificate Revocation Lists

DTLS 支持UDP的传输层安全 Datagram TLS

GRE 通用路由封装 Generic Routing Encapsulation

IMSI 国际移动用户标识码 International Mobile Subscriber Identity

IPSec IP安全 IP Security




GB/T 34079.5—××××

4

MAC 介质访问控制 Medium Access Control

MDM 移动设备管理 Mobile Device Management

Meap 基于移动的应用平台 Mobile-based Enterprise Application Platform

MIMO 多入多出 Multiple-Input Multiple-Output

OCSP 在线证书状态协议 Online Certificate Status Protocol

OTA 空中下载技术 Over the Air Technology

OUI 组织唯一标识符 Organizationally Unique Identifier

QoS 服务质量 Quality of Service

SDK 软件开发工具包 Software Development Kit

SIM 客户识别模块 Subscriber Identity Module

SSL 安全套接层 Secure Sockets Layer

TF 闪存 Trans-Flash

TLS 传输层安全 Transport Layer Security

TSM 终端安全管理 Terminal Security Management

UC 统一通信 Unified Communications

VDI 虚拟桌面设备 Virtual Desktop Infrastructure

VPDN 虚拟专用拨号网 Virtual Private Dial－up Networks

VPN 虚拟专用网 Virtual Private Network

WAPI 无线局域网鉴别和保密基础结构 Wireless LAN Authentication and Privacy

Infrastructure

WLAN 无线局域网 Wireless Local Area Network

WMM Wi-Fi多媒体 Wi-Fi Multimedia

WPA Wi-Fi保护接入 Wi-Fi Protected Access

4 总体框架

基于 GB/T 33780.1-2017《基于云计算的电子政务公共平台技术规范第 1部分：系统架构》，电子政

务公共平台支持移动服务的整体框架主要包括终端、安全信道、移动安全网关、服务端管理组件、移动

政务应用组件、安全服务组件、计量管理等七个部分，见图 1所示。




GB/T 34079.5—××××

5

图 1 整体框架

1) 政务移动终端主要包含移动办公工作平台及终端安全模块这两个组件：

移动办公工作平台为移动政务应用提供统一门户界面及应用商店，基于安全隔离运行环境运行电子

政务应用，并通过应用与用户主账号关联，可提供移动政务应用单点登录功能；

终端安全模块是通过如：TF密码卡、终端安全加固、终端管理软件等安全隔离运行环境，实现电子

政务移动办公的终端安全。终端系统可定制安全能力，可通过软件升级为用户提供不断演进的安全性能

和服务。

2) 安全信道主要包括移动网络、WLAN、固定网络三部分：

政务移动终端通过WLAN网络、3G、4G及5G等公共移动网络、固定网络接入政务网络，通过安全统一

接入网关进行多场景统一移动接入和认证。终端用户通过内外网切换和WLAN快速漫游，可实现无缝切换

的业务感受。

3) 移动安全网关主要包括接入网关要求与移动安全网关的功能要求两个部分：

移动安全网是从移动服务所特定的内容，可提供VPN接入以及在政务网络下访问的API调用及分析，

同时提供移动服务所必须的认证授权等服务功能。

4) 服务端主要包括策略管理中心、移动设备管理MDM及移动应用支撑服务三个部分：

策略管理中心支持终端接入、终端识别和集中管理等功能，具备为有线、无线、VPN接入用户提供

统一的策略控制功能，能够根据用户认证策略和终端信息进行授权和策略下发。




GB/T 34079.5—××××

6

MDM基于运行于终端的前台软件与后台终端管理平台配合提供全面的系统监管能力，终端管理层通

过多个维度，确保管理的完整性，包括：用户自助服务、应用管理、设备管理、资产管理、安全管控、

数据管理、后台管理、策略管理及密码管理。

移动应用支撑服务是针对移动应用所特有的的API管理、及移动数据及通讯录等方面的技术支撑，

用于快速访问移动应用系统，减少对政务系统的访问来节省资源和提升移动应用的可用性，同时可以在

应用过程中，对用户上网行为进行管控，对外发文件及内容进行控制和审计，并对用户信息提供存储和

访问，以支持认证，授权或配置。

5) 政务应用组件主要包括移动政务支持、常用软件要求两个部分：

政务应用组件包括为政务应用中运行业务流程和逻辑应用的提供的程序组件，包括应用商店、应用

访问及应用交付。

6) 安全服务组件主要包括终端安全、接入传输安全、身份安全、应用安全四个部分组成：

安全服务可以实现对访问的管理，只有授权政务用户可安全访问移动服务。该组件提供对移动设备

和移动应用服务之间的数据保护，并使得安全管理服务具备可视性及在管理中具备可操作性。

5 终端

5.1 终端安全模块

本项应包括如下要求：

a) 终端硬件主要功能应包括显示、声音、输入、计算、存储、网络连接、定位，并应有必要的容

错和故障恢复能力；

b) 终端须支持3G、4G、Wi-Fi和WAPI等多种网络连接，并可支持蓝牙连接；

c) 终端须具有系统安全校验技术，只能安装和升级指定系统软件；

d) 终端须支持OTA方式升级系统及安全补丁，须具备对OTA升级包进行完整性验证的能力；

e) 软件升级时，系统应对升级包以及版本的合法性进行校验和检查，仅允许升级到具有官方签名

的同款产品版本；

f) 终端应能够监视CPU、存储卡、内存、网络等资源的使用情况；

g) 终端对应用程序启动、网络访问、配置修改、系统登录等操作行为应可以实时记录监控并生成

日志，安全管理员可以随时监督查看日志；

h) 终端管理软件须为系统级进程，用户不能自行卸载及终止；

i) 终端管理软件应可检测TF密码卡、SIM卡等外部安全物理插件是否正确载入，如载入不正确或

密码输入错误，应停止政务应用的访问或锁屏；




GB/T 34079.5—××××

7

j) 终端为政务应用运行提供安全隔离运行环境。普通应用和政务应用运行环境之间资源隔离，包

括进程隔离互不可见，数据隔离互不能访问，网络隔离互相不能访问等。

k) 终端可根据用户需求定制安全能力，通过软件升级为用户提供不断演进的安全性能和服务。

5.2 移动办公工作平台

移动办公工作平台作为移动办公应用统一入口，实现移动办公应用的统一发布和管理，移动办公工

作平台应具备如下功能：

a) 移动办公应用访问政务网内部系统时，移动办公工作平台应通过证书与用户主账号关联，提供

单点登录功能；

b) 移动办公工作平台应支持通过提供移动办公系统安全SDK的集成能力，实现电子政务移动办公

应用的快速安全开发、部署及应用；

c) 在移动办公工作平台中的应用程序需要处理敏感政务数据时应采用应用代理的方式，并在设备

上需具备存储、强制和管理策略（包括安全策略）；

d) 应提供在网络可用时将数据安全地存储在设备上并与后端同步的功能。由于移动网络并不总是

可用，移动应用程序可能会使用脱机功能（如加密数据库）来安全访问和存储数据。

6 安全信道

6.1 接入方式

本项要求应包括：

a) 终端通过3G、4G、5G、VPDN等移动网络或WLAN等公共无线网络接入政务网络时，应采用VPN方

式；

b) 系统WLAN网络中的AP与AC之间数据通信，应采用基于DTLS的CAPWAP隧道；

c) 系统中WLAN设备应支持MIMO通信技术；

d) 系统可支持WLAN高密接入，具备智能多用户调度技术、自适应功率调整、自适应信道调整和层

次化QoS调度功能。

6.2 无缝切换


a) 系统须支持内部办公网络WLAN接入的无加密快速漫游，无线侧不加密，切换时间应小于50ms；

b) 系统须支持内部办公网络WLAN接入的WPA2与802.1x认证结合方式下的快速漫游，保证用户免重

新认证和登录，切换时间应小于80ms；




GB/T 34079.5—××××

8

c) 系统须支持外网VPN接入切换至内网WLAN接入，保证用户免重新认证和登录，切换时间应小于

4S。

7 移动安全网关

7.1 移动安全网关功能要求


a) 针对移动应用服务采用 VPN 方式进行接入来提供移动应用的安全接入，消除地域差异，实现可

移动用户的网络互联及基于 Internet 网络下的的移动应用安全访问控制。

b) 安全网关应提供SSO服务，SSO是在通过VPN客户端认证成功后，用户请求访问受VPN网关保护且

支持单点登录的后台应用时，VPN网关通过匹配的单点登录用户信息重新组装用户访问请求数

据包，以实现对后台应用的自动认证，而无需用户再次填写用户信息。

c) 安全网关应提供多种方法和令牌类型来识别，认证和授权用户的功能。移动认证服务应提供处

理不同的令牌类型（如OAuth或OpenID）以及诸如语音ID或生物特征技术的能力。

d) 安全网关在提供API的入口点时，需捕获政务移动应用客户端API调用的分析数据，如调用API

频率、调用API种类等。

7.2 安全统一接入要求


a) 安全统一接入网关产品须具有国家密码管理局资质；

b) 安全统一接入网关链路级、应用级VPN加密须支持国密算法；

c) 安全统一接入网关须配置电子政务认证服务机构发放的设备证书；

d) 安全统一接入网关应支持双机热备功能；

e) 移动安全应用与安全统一接入网关建立连接时，安全统一接入网关须校验数字证书的有效性，

支持证书的CRL或OCSP检测，保证证书的有效和安全，工作密钥交换须使用数字证书保护；

安全统一接入网关应能获取MDM控制策略，终端违反安全策略时，网关应阻断其接入网络。

8 服务端管理

8.1 策略管理服务

8.1.1 终端识别


a) 须支持网络接入设备通过报文重定向或内置探针的方式，获取终端类型、接入方式、接入时间、

系统软件、应用软件等信息的能力；




GB/T 34079.5—××××

9

b) 应支持MAC OUI规则库，以及DHCP、HTTP、SNMP、NMAP等协议探针；

c) 应支持智能终端名称识别功能：能够识别智能手机和平板电脑类产品，能够识别出具体的产品

名称；

d) 应支持终端软件系统的识别功能；策略服务器应支持非智能终端的识别功能，如摄像头、打印

机、VDI瘦终端、IP话机、服务器等；

e) 应支持终端接入信息识别的功能，如接入时间、离线时间、接入地点、漫游等；

f) 应支持终端资产类型识别的功能。

8.1.2 策略统一


a) 策略管理服务须具备为有线、无线、VPN接入用户提供统一的策略控制功能，能够根据用户认

证策略和终端信息进行授权和策略下发；

b) 策略管理服务须支持在多系统共同部署时，策略引擎可共享；

c) 策略管理服务须支持基于用户角色、安全状态、位置、时间授权、终端类型、资产类型、认证

方式等策略维度限制用户接入权限，控制终端接入安全；

d) 策略管理服务须支持自定义Radius属性的功能，允许主流厂家预置私有Radius属性字典，支持

导入和更新主流厂家私有Radius属性字典；

e) 策略管理服务的策略须支持基于不同的QoS、不同的接入/应用权限、不同的带宽、不同的时

间段来进行策略制定和控制。

8.2 移动设备管理MDM

8.2.1 用户自助服务

本项应包括如下要求：

a) 支持用户通过自助页面查看自己设备的信息；

b) 支持用户通过自助页面对自己的终端做远程擦除；

c) 支持用户通过自助页面对自己的终端做远程锁定。

d) 支持用户通过自助页面清除自己设备的锁屏密码；

e) 支持用户通过自助页面定位或注销自己设备的位置。

8.2.2 应用管理


a) 支持移动办公应用商店客户端，提供应用下载、升级；




GB/T 34079.5—××××

10

b) 支持移动办公应用后台管理，如应用的上传、删除、查询（查询内容包括应用程序的名称及版

本信息）；

c) 应支持应用黑白名单，若出现违规，如：安装了黑名单中的应用，或未安装白名单中的应用，

可配置策略禁止使用移动应用平台软件；

d) MDM管理员需能查看终端的应用列表，包括程序名称、应用包名、版本、大小等；

e) 移动办公应用管理支持应用控制、分发部署、更新和卸载提醒等，确保应用合规并提升应用部

署效率。

f) 提供托管政务目录并将政务应用程序分发到移动设备的能力。

8.2.3 设备管理


a) 支持通过MDM管理平台远程下发安全策略；

b) MDM须能支持接入控制、远程锁定解锁、应用软件控制等系列安全措施；

c) 若检测到终端有ROOT行为，应提供访问限制、审计、提示、警告相应策略；

d) MDM管理平台支持密码锁屏策略：

强制设置设备锁屏密码

要求数字、字母、符号的混合

最小密码长度

密码过期时间

自动锁屏时间

密码出错尝试次数限制不活动时间阈值上限

e) 支持限制终端硬件模块功能，应能控制摄像头、Wi-Fi、便携式WLAN热点、蓝牙、USB口；

f) 通过对终端的合规检查，MDM系统可控制其能否接入电子政务网络。

8.2.4 资产管理


a) 支持设备资产的生命周期管理：包括从设备发现，注册，准入控制，使用监控，数据管理，及

挂失注销，进行端到端的管理；

b) 支持管理员注册单个终端；

c) 支持管理员批量注册终端；

d) 支持设备注销；

e) 要能支持设备信息列表；




GB/T 34079.5—××××

11

f) 支持查看单台设备的详细信息（如软硬件信息）；

g) 支持消息推送，后台能够向终端推送不合规告警。

8.2.5 安全管控


a) 支持终端首次使用前注册到MDM系统，并建立设备序列号、证书序列号、人员和手机号码等绑

定关系；

b) 支持终端准入检查，可检查配置、密码策略、应用列表等；

c) 支持终端接入认证，后端支持与LDAP，AD，Radius和SecurID服务器对接；

d) 识别用户身份，基于用户进行管理，并支持一个用户绑定多个终端；通过用户分组和关联角色，

进行规范化的管理控制；

e) 通过对软硬件环境的监控，以及对应用访问的监控，识别出异常的动作，进行事中控制或事后

审计；

f) 支持强制终端定期登录MDM系统，实现对资产的不间断管控；

g) 可对终端允许使用的地理区域进行限制。

8.2.6 数据管理


a) 支持远程擦除，能够远程擦除整机，恢复出厂设置；

b) 支持移动办公应用数据擦除。

8.2.7 后台管理


a) MDM后台提供策略管理页面；

b) MDM管理后台可与安全安全统一接入网关的管理后台集成；

c) 管理终端与管理平台之间必须加密传输。

8.3 用户管理


a) 策略管理服务须支持基于用户组下发业务VLAN、基于用户组下发ACL控制策略、基于用户组下

发上下行速率控制和基于用户组下发隔离策略；

b) 策略管理服务须支持通过用户组进行策略配置，判断用户合法性、根据用户属性进行分组（用

户分类、用户访客等）并赋予不同的访问权限；

c) 策略管理服务须支持对用户进行分权分域管理，网管操作人员可设置管理用户范围和权限；




GB/T 34079.5—××××

12

d) 策略管理服务须支持用户管理控制，设置帐号同时在线数、有效期、上网时间段、时长限制（最

长闲置时长）、支持强制下线、帐号锁定（可以自动解锁和管理员解锁）功能；

e) 策略管理服务须支持帐号与硬盘序列号绑定、IMSI绑定，与AP的MAC、SSID 等身份信息绑定认

证，增强用户认证的安全性，具备自动学习功能，减少管理员手工录入工作量；

f) 策略管理服和须支持用户黑名单管理，例如：客户端认证时连续输入错误密码，达到某个阈值

时将会被加入黑名单，此时使用正确的密码应该也不能登录。

8.4 访客接入管理


a) 系统须支持内部人员为访客申请帐号的功能，并通过短信（SMS）或者Email把账号发给访客访

客帐号须具有使用时间限制，内部人员申请权限时须支持通过人员类型进行控制的功能；

b) 系统须支持访客自助申请帐号的功能，并通过SMS/Email把账号发给访客；

c) 策略服务中心须支持对访客上下线时间、接入位置进行审计的功能，可以按访客来查日志；

d) 系统须支持通过采用CAPWAP隧道和GRE隧道实现对访客的路径隔离；

e) 系统须支持访客接入的安全审计功能，包括访客生命周期全流程审计、访客流量隔离、访客上

网行为管理和审计。

8.5 证书管理及使用


a) 系统须支持对终端的强认证功能，即终端内置TF密码卡，登录移动办公应用时应进行双因子身

份认证；

b) TF密码卡应具有电子认证服务机构资质的CA认证机构提供的数字证书，TF密码卡须支持国密算

法；

c) 认证信息须保密存储，可使用TF卡的加密密钥进行保护；

d) 移动安全应用与安全统一接入网关建立连接时，安全统一接入网关须校验数字证书的有效性，

支持证书的CRL或OCSP检测，保证证书的有效和安全，工作密钥交换须使用数字证书保护。

8.6 移动应用支撑服务

8.6.1 API接入管理服务

API管理功能是为移动网关提供可访问的可用服务端点。应提供API服务目录，提供API连接到服务

实现和管理功能，如API版本控制等，同时应包括以下功能：

a) API服务目录/描述文档：提供安全查找和使用API的功能；

b) API管理：可为移动网关、策略管理中心及其它移动应用程序等提供API使用的管理视图。




GB/T 34079.5—××××

13

8.6.2 数据管理服务

服务端所提供的数据管理服务可为移动服务提供数据存储和访问。应可以处理来自不同应用来源的

数据，如存在于政务系统或者各种其他来源的用户信息。基于适合的形式存储以满足移动应用程序的快

速访问。数据管理服务应包括：

a) 移动应用数据/ NoSQL：移动应用程序可以方便、快速地调用和存储数据；

b) 文件存储库：提供存储静态文件的功能，如PDF和系统页面内容；

c) 缓存：提供数据缓存的能力，以便移动应用程序快速访问；

d) API数据：提供以API的方式向其它移动应用开放数据。

8.6.3 通讯录服务

通讯录服务可以基于统一身份管理下的政务通讯服务体系，可以实现多平台同步并具备以下功能：

a) 移动应用服务应采用统一标准以实现多平台同步，如与PC应用下的数据同步；

b) 本地通讯录可需实现自动备份，应提供安全保障，保证用户联系人不会发生丢失情况；

8.6.4 统计分析服务

a) 通信位置数据分析

提供终端设备的物理位置及位置活动模式的数据分析，便于为移动服务优化操作或辅助优化操作行

为，同时可以提供该位置下的精准内容推送及相关移动通信服务。

b) 使用数据量化分析

通过采集移动应用的用户信息，并提供完整的应用信息可见性。用于构建和管理预警系统，以检测

移动用户问题，并提供主动检测移动应用程序故障，及其它障碍。并通过分析特定移动用户行为或设备

属性来帮助量化或细分影响。

8.6.5 信息推送服务

服务端应具备向平台中移动应用提供基于统一标准的消息推送服务的能力。并支持如短轮询、长轮

询或协议连接等方式实现应用与服务端的消息推送。

8.6.6 UI/UE适配服务

服务端应提供标准化的UI/UE适配服务，可为移动应用提供统一的界面语言和交互公共标准，提升

政务移动应用访问效率和服务可靠性。

9 移动政务应用

9.1 移动应用支持




GB/T 34079.5—××××

14

建设移动办公工作平台，基于安全隔离运行环境运行移动办公应用，通过统一的门户界面，将应用

整合到移动办公应用工作平台。实现应用的安全接入、数据的安全传输，建立安全加密的接入管道，并

提供SDK供其它应用调用，使未来开发的应用可以直接通过安全管道访问政务网络。

9.1.1 应用商店


a) 政务单位可建立移动办公的应用程序商店；

b) 移动办公应用目录须能设置用户角色权限，控制终端用户可访问的应用列表；

c) 移动办公应用目录须能实现电子政务移动办公应用程序的安装、更新和升级提醒；

d) 所有移动办公及个人应用软件须通过应用商店签名发布，并提供下载安装；

e) 系统应支持安全浏览器、安全邮件、移动VDI和统一通信UC等应用；

f) 系统应支持主流智能设备的移动协作，支持语音、即时消息、数据、视频、会议的协作。

9.1.2 应用访问


a) 用户访问移动办公应用时，必须经过CA数字证书和登录密码的双因子认证；

b) 用户访问移动办公应用时，可支持基于时间属性的访问控制，可以配置允许用户登录业务系统

的时间段，只有在允许的时间内，用户才能够登录访问内部网络的资源。

9.1.3 应用交付


a) 应用须支持移动办公应用客户端由应用商店来提供下载安装；

b) 应用须支持Web移动办公应用部署在移动办公工作平台；

c) 应用须支持通过应用虚拟化客户端进行应用访问，现有应用无需改造；

d) 应用须支持通过Meap平台对现有应用进行移动化开发，生成原生应用客户端或非原生客户端

（如 Html5应用）。

9.2 常用软件要求

9.2.1 安全浏览器技术要求

须安装、使用定制的安全浏览器访问政务应用，不允许使用系统开源浏览器。

安全浏览器底层通过VPN或内置应用层隧道与政府移动接入网络建立加密隧道，在用户浏览政府

Intranet网站时提供安全通信防护。在浏览器的上网缓存数据在浏览器退出时可提示进行清除，防止缓

存数据泄露。

针对于智能终端的屏幕尺寸和操作特点，安全浏览器应提供以下功能，为用户提供优质体验。

1) 流量精简




GB/T 34079.5—××××

15

根据流量精简策略，对于Web页面中的资源进行过滤和内容优化，精简流量。

2) 数据保护

支持离线资源、密码、下载的文件、访问历史、Cookies和临时文件的在线加解密能力；在退出浏

览器时，可按照策略自动清理缓存和配置。

3) 文档浏览

支持文本、图片、压缩文件等办公所需文档格式的在线或离线安全浏览，实现数据与个人数据的隔

离。

4) 访问行为管控

基于URL黑白名单的管控，并根据策略限制文件上传、下载和保存等行为。

9.2.2 安全邮件技术要求

支持推送技术，为用户提供安全受控的即时邮件推送服务。安全邮件客户端通过移动VPN或内置的

应用层隧道与政府移动安全统一接入网关设备建立加密隧道，在用户查看邮箱时提供安全通信防护，附

件浏览和下载控制。

针对于智能终端和Pad设备的操作特点，安全邮件客户端应提供以下特性，为用户提供优质体验。

1) 邮件协议

支持SMTP、IMAP4、EAS协议。

2) 邮箱功能

对于单个邮件支持创建，打开，发送，接收，转发，删除，回复，标记和移动、搜索、订阅管理等

功能；

通过邮件配置自动获取功能简化用户配置，特定情况下实现零配置；

支持在线模式下，本地邮件操作同步到服务器；

支持邮件实时推送和通知，并支持同步策略和通知方式的配置。

3) 邮件传输加密

传输加密方式支持全系列的SSL/TLS协议；

支持客户端/邮件服务器间传输加密。

4) 邮件附件在线浏览

支持文本文件浏览；

支持压缩文件浏览；

支持BMP、PNG、GIF、JPG、JPEG图片文件浏览；




GB/T 34079.5—××××

16

5) 邮件加密保存

安全邮件客户端对邮件正文和附件都进行加密保存，缓存的邮件支持周期性清理。

6) 邮件策略控制

支持邮件附件的访问、转发策略控制；

支持邮件内容发送策略控制；

支持离线登录邮箱的权限策略控制。

7) 联系人

支持个人联系人的查询、增加、删除和修改以及同步；

支持政府联系人的查询；

支持自动缓存最近使用联系人清单；

在邮件处理过程中支持各种丰富的联系人详细信息的联想。

8) 邮件系统的认证授权

支持邮件服务器的单点登录。

9.2.3 安全即时通讯要求

须安装、使用定制的安全即时通讯系统，不允许使用社会化即时通讯软件进行相关工作交流。

即时通讯系统通过VPN或其他安全物理通道与政府移动接入网络建立安全隧道，针对于智能终端和

桌面电脑的屏幕尺寸和操作特点，安全即时通讯提供以下功能，为用户提供优质体验。

1) 点对点即时消息

支持点对点聊天，聊天支持发送文字、图片、拍照、语音、文件功能，支持消息内容查询功能，支

持消息置顶功能，支持转发及批量删除功能。

2) 群组消息

支持多人聊天，聊天支持发送文字、图片、拍照、语音、文件；在群组通信中，当部分成员加入或

退出群组时，其他在线成员应收到相应的提示信息；群主能够解散群，能够转移群主权限。

3) 后台建群

支持后台统一建群，批量导入人员信息，支持后台删除群，添加、删除群成员，冻结个人账号，解

禁个人账号等功能。

4) 安全管控

支持移动端文件传输，传输文件应支持水印功能，支持用户消息界面水印功能，支持用户多

种权限控制功能，能够根据业务要求进行权限配置，支持用户撤回已发送的消息，支持用

户发送的消息在预订时间到达后自动焚毁。文字消息，长文本，图片、语音和视频在服务




GB/T 34079.5—××××

17

器及终端本地保存时需要进行加密。支持屏蔽词安全策略，通过此策略即时通信禁止发送相关内容。

系统内消息不允许外发、分享到外部社会化平台。

10 安全要求

10.1 终端安全


a) 终端须具备ROOT检测和防篡改能力，防止被刷机；

b) 终端须支持移动办公的敏感数据可被加密存储；

c) 终端须支持文档的在线加密和离线加密两种模式，在线加密密钥动态从密钥中心获取，离线密

钥根据用户密码及终端硬件信息生成；

d) 终端应支持使用数字证书的加密密钥保护应用层密钥，包括移动办公应用系统密码、数据加密

密钥等；

e) 终端须提供用户自助平台，在移动办公终端丢失时，可供用户第一时间自助进行远程定位、锁

定和删除丢失终端设备中的数据；

f) 终端须提供MDM防卸载机制，当终端MDM被卸载时，移动办公应用及数据也将被锁定或者删

除，以防止数据泄密；

g) 终端应支持应用的所有本地操作和网络行为可被审计；

h) 终端应支持应用注销时，本地数据可被无痕化擦除；

i) 终端须具备病毒终端被自动隔离的能力，防止终端数据外泄；

j) 终端应用运行时，应保证数据安全。数据安全须采用安全隔离运行环境或者虚拟化的实现方式：

基于安全隔离运行环境实现移动办公数据和个人应用数据的隔离，其中移动办公数据加

密存储，以避免信息泄露；

虚拟化方式终端仅具备显示作用，在服务器端进行数据处理及保存，保证数据安全。虚

拟化可包括应用虚拟化和虚拟桌面两种方式。

10.2 传输安全


a) 系统应支持SSL/TLS、IPSec等网络安全协议；

b) 系统应支持应用级VPN，在应用启动时自动启动VPN。通过应用专属的安全隧道，实现多移动办

公应用之间的安全隔离，应用层数据直接封装进入隧道，防止其他恶意程序窃取、篡改应用数

据；




GB/T 34079.5—××××

18

c) 为保证本地加密密钥传输安全性，移动终端与密钥分发中心应通过SSL VPN隧道加密；密钥分

发中心、主密钥管理中心、备密钥管理中心之间通过IPsec VPN隧道加密；

d) 数据传输时，系统应支持基于RSA高安全密钥分发算法；支持3DES、AES256高强度算法；支持

国密算法；支持SHA完整性验证，确保数据不被篡改。

10.3 身份安全

10.3.1 终端系统启动认证

系统应支持开机密码，用户在开启终端时进行开机密码认证。

10.3.2 屏幕解锁认证


a) 应支持屏幕锁定密码，安全政务本应在不活动时间达到设定阈值时锁定屏幕，阈值上限应由MDM

管理员设定，也支持由用户发起的屏幕锁定；

b) 用户解锁屏幕时进行屏幕锁定密码认证，屏幕锁定的密码策略可以由MDM系统分发；

c) 重新激活终端必须经过解锁密码验证；

d) 屏幕锁定密码应支持口令形式的密码，密码应进行加密存储；

e) 系统应能设置及检查密码锁屏策略。

10.3.3 网络接入认证


a) 在访客接入时，系统应支持采用Portal认证方式对访客进行身份认证；

b) 在用户内网接入时，系统应支持Portal、802.1x、或802.1x和应用级VPN结合的方式进行身份

认证；

c) 在用户远程VPN接入时，系统应支持SSL VPN或应用级VPN的认证方式进行身份认证，技术遵循

国家密码管理局提出和归口的《SSL VPN技术规范》（国家密码管理局公告16号）；

d) 在具有分支接入时，系统应支持IPSec VPN认证方式进行身份认证，技术遵循国家密码管理局

提出和归口的《IPSec VPN技术规范》（国家密码管理局公告14号）；

e) 在终端接入时，系统应支持应采用双因子认证和唯一硬件设备信息的方式进行身份认证；

f) 用户在限定的时间段内多次连续尝试身份认证失败时，认证模块执行连续认证失败锁定策略，

可采取系统锁定或者删除全部政务应用数据并恢复到初始状态等安全措施。

10.4 应用安全

10.4.1 移动数据和应用程序保护


a) 应用须支持上网行为管控的功能，实现对网络应用、站点访问、信息外发、邮件等权限控制；




GB/T 34079.5—××××

19

b) 应用须支持ASG和TSM联动来管控上网行为，ASG从TSM同步用户信息，通过单点登录的方式，保

证用户不需多处登录；

c) 应用须支持对外发文件类型、大小限制进行控制；

d) 应用须支持对外发内容敏感数据进行过滤；

e) 应用须支持对外发文件及内容的审计。

f) 程序保护须有助于消除访问关键的移动应用程序的安全漏洞

10.4.2 数据应用投入生产和部署


a) 可以通过如部署应用程序防火墙来保护部署的应用程序免遭应用程序威胁。数据安全功能应支

持保护和监控移动设备，政务数据库，文件共享。

b) 通过移动平台访问的大型数据环境中的数据，必须通过加密与系统密钥管理来访问数据，并提

供实时数据监控和漏洞的数据活动监控评定。

10.4.3 安全信息审计

安全信息审计应具备全面的可见性和操作的智能化，可以通过分析事件和日志以及高风险威胁的相

关和检测来帮助检测和防御威胁，可以与政务业务的管理流程相结合，从而实现自动化的规则执行、数

据审计报告。

11 计量要求

11.1 服务度量计价模块


a) 负责对会话交互、数据存储信息、网络资源（如短信、彩信、分组承载业务）的使用情况进行

收集、解释和处理，统计计费数据，发给计费服务器；

b) 支持多种计费模式，包括基于移动政务业务流量、事件、业务提供时长、应用类型的计费

c) 支持在线计费、离线计费两种计费功能；

d) 根据用户签约信息管理访问（如，对签约端及网关设备的管理、网络资源的使用能力）；

e) 计费模块可以根据运营商策略、签约信息为可计费事件配置计费参数，并收集会话交互、对网

络资源的使用情况。其中计费参数可以包括应用和设备用户等请求发起方、业务类型、政务应

用、终端及网关等请求接收方、网络资源的使用、时间戳等。

f) 计费功能模块能够确定访问请求的计费CDR，发送给计费服务器，以便于计费服务器对请求发

起方的本次访问请求进行计费。




GB/T 34079.5—××××

20

g) 计费功能模块够确定数据存储的计费CDR，系统周期性收集数据存储信息，包括移动政务应用

和设备用户、存储空间、时长等，发送给计费服务器进行计费。

h) 计费模块可以根据运营商策略、签约信息为可计费事件配置计费参数。可计费事件可以分为三

类：业务功能的调用、资源使用和网络使用。

i) 计费模块可以配置可计费事件，包括：移动政务应用或设备用户使用业务系统的设备管理、订

阅通知、访问控制、群组管理等业务功能模块，系统收到或发起访问请求消息表示发生可计费

事件。

j) 移动政务应用或设备用户使用业务平台的资源进行数据存储，这个可计费时间是基于定时器触

发的政务应用使用网络资源进行通信，包括短信、彩信、分组域承载、近距离无线通信、有线

通信等。

k) 计费模块可以同时配置一个或多个可计费事件。计费模块可以根据可计费事件配置计费参数并

在发生可计费时间时记录各个计费参数，如下表所示。根据需要从记录中获得计费数据，并将

计费数据以CDR的形式记录下来。然后计费模块会将计费数据传递给计费服务器处理，它们之

间的接口可以遵循FTP、Diameter等接口协议或者依赖于运营商的内部接口实现。

11.2 计费管理流程

本节主要用于描述对移动服务计费管理流程，要求如下：

a) 计费模块应配置可计费事件和计费参数；

业务功能模块接收移动政务应用或设备用户对业务资源的访问请求，并将访问请求发送至计费模块

处理；

b) 计费模块记录和统计计费数据；

计费模块根据访问请求确定发生了可计费事件时，应确定并记录与访问请求相关的计费

数据，计费数据可以包括移动政务应用标识或设备用户标识、业务功能标识、流量等；

对于在线计费，计费模块应将计费数据发送到计费服务器以便于计费服务器确认是否允

许移动政务应用或设备用户对业务资源的访问，其中计费数据可以包括业务功能标识、

计费单元等；

计费服务器返回响应，允许移动政务应用或设备用户的访问；

c) 业务功能模块对移动政务应用或设备用户的访问进行处理；

d) 移动政务业务平台中的业务功能模块对访问进行处理，并将访问的响应发送至计费模块处理；

e) 计费模块记录确认访问成功时，应确定并记录与访问响应相关的计费数据，计费数据可以包括

时间戳、检索资源结果、时长、流量等；




GB/T 34079.5—××××

21

f) 计费模块将计费数据传送到计费服务器，进行批价并生成计费账单；

计费模块将访问请求和访问响应相关的计费数据发送到计费服务器，计费数据中还应包

括消息序列号、结束符等信息用于区别不同的计费数据；

计费服务器返回响应，说明已成功发送。




GB/T 34079.5—××××

22

参考文献

[1] GB/T18336-2008《信息安全技术信息技术安全性评估准则》

[2] GB/T 20269-2006《信息安全技术信息系统安全管理要求》

[3] GB/T 25068.4 《信息安全技术远程接入的安全保护》

[4] GB/T 25068.5 《信息安全技术使用虚拟专用网的跨网通信安全保护》

[5] GA/T 671-2006 《信息安全技术终端计算机系统安全等级技术要求》

[6] 《SSL VPN技术规范》（国家密码管理局公告16号）

[7] 《IPSec VPN技术规范》（国家密码管理局公告14号）




中华人民共和国国家标准 - cesa.cn 174413.pdf · gb/t 34078.1-2017...

Documents

Transcript of 中华人民共和国国家标准 - cesa.cn 174413.pdf · gb/t 34078.1-2017...