YD_T 3640-2020 个人移动智能终端在企业应用中的安全策略.docx

ICS 33.030 M21 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3640—2020 个人移动智能终端在企业应用中的安全策略 Security policywhen using personal smart mobile terminal for enterprise application 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3640—2020 目 次 前言 Ⅱ 引言 Ⅲ 1 范围 1 2 术语、定义和缩略语 1 3 系统架构 4 安全目标 4 4.1 概述 4 4.2 移动设备管理 4 4.3 移动应用管理 4 4.4 移动设备安全 5 4.5 移动应用安全 5 5 安全策略 5 5.1 移动设备管理 5 5.2 移动应用管理 7 5.3 移动设备安全 8 5.4 移动应用安全 14 附录A(资料性附录)应用场景 16 附录B(资料性附录)安全威胁 17 参考文献 19 Ⅱ YD/T 3640—2020 前 言 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国信息通信研究院、中国移动通信集团公司、天津三星通信技术有限公司、北 京网秦天下科技有限公司。 本标准主要起草人：国炜、潘娟、吴越、杨延军、晋艳伟、翟世俊、姚一楠、杨正军、焦四辈、汪 薇薇、余泉。 Ⅲ YD/T 3640—2020 引 言 随着IT 技术和通信技术的进一步融合，随之带来的是智能手机及平板电脑市场的空前繁荣，智能 终端的出货量已经超过PC, 尤其是基于 iOS 和 Android 等操作系统的智能终端设备功能日益强大，越 来越多的企业员工已经或即将摆脱办公室的约束，通过智能手机等移动智能终端设备来处理日常事务。 企业员工利用个人移动智能终端访问企业邮件、文档、安装企业应用已成为市场潮流。同时，移动终端 管理策略也被大量引入企业，传统的IT 管理在针对不断涌现的新兴移动设备管理方面受到巨大的挑战。 企业如何高效地管理在企业网络中的移动设备，包括设备激活、设备配置、安全保护、应用管理、 内容管理、终端用户支持等横跨企业各个组织的整个生命周期的管理，如果安全技术和安全策略运用不 当，则弊大于利。 本标准根据企业移动办公所面临的安全风险和威胁，针对个人移动智能终端在企业的应用场景，制 定移动设备安全、移动应用安全、移动设备管理以及移动应用管理等方面的安全目标和安全策略，为企 业的移动办公安全提供安全策略指导。 YD/T 3640—2020 个人移动智能终端在企业应用中的安全策略 1 范围 本标准针对个人移动智能终端在企业办公的应用场景，规定了移动设备安全、移动应用安全、移动 设备管理(含客户端和服务器端)以及移动应用管理(含客户端和服务器端)等方面的安全目标和安全 策略。 本标准适用于企业移动办公环境下的个人移动智能终端。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本文件。 2.1.1 移动设备管理 mobile device management 保护、监控和管理个人及企业移动设备，包括提供移动设备生命周期管理，从设备注册、激活、使 用、淘汰各个环节进行全面管理等功能，具体能实现用户及设备管理、配置管理、安全管理、资产管理 等功能。 2.1.2 移动应用管理 mobile application management 针对员工移动设备应用的安全保护、分发、访问、配置、更新、删除等策略和流程。通过企业应用 商店控制和推送应用，能集中监控应用的使用情况，对应用设置相应策略以满足企业的规范。 2.1.3 安全策略 security policy 在某个安全区域内(一个安全区域，通常是指属于某个组织的一系列处理和通信资源),用于所有 与安全相关活动的一套规则，这些规则是由此安全区域中所设立的一个安全权利机构建立，并由安全控 制机构来描述、实施或者实现。 2.1.4 用户数据 user data 由用户在本地生成的数据，以及经用户许可后由外部进入用户数据区的数据。 2 YD/T 3640—2020 2.1.5 安全事件报告 security incident report 通过计算机、手机，以及其他可上网的设备进行的导致用户信息系统受损、信息内容泄露、个人活 动受到不良干扰的事件报告。 2.1.6 认证证书 authentication certific