《信息安全技术 移动终端安全管理平台技术要求-编制说明》.pdfVIP

一、工作简况 1.1任务来源 经国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260） 主任办公会讨论通过，研究制定移动终端安全管理平台技术要求的国家标准。该 项目由全国信息安全标准化技术委员会提出并归口，由中国信息安全研究院有限 公司负责主办。 1.2编制单位 在接到 《信息安全技术 移动终端安全管理平台技术要求》标准制定的任务 后，中国信息安全研究院有限公司立即与相关科研机构、厂商进行沟通，并得到 了多家业内权威科研机构与知名厂商的积极参与和反馈，最后确定由公安部第三 研究所、中国电子技术标准化研究院、工业和信息化部电子科技技术情报研究所、 国家信息技术安全研究中心、中国信息安全测评中心、中国信息安全认证中心、 国家信息中心、中国电信上海理想信息产业(集团)有限公司、北京北信源软件股 份有限公司、华东师范大学、北京时代新威信息技术有限公司、西安电子科技大 学、北京航空航天大学、北京传媒大学等作为标准编制协作单位。 1.3主要工作过程 1.3.1成立编制组 2016年7月接到标准编制任务，中国信息安全研究院有限公司联合国内科 研机构和厂商组建标准编制组，编制组成员具有资深的有足够的标准编制经验、 产品开发和检测经验、移动互联应用安全技术研究经验等，厂商的编制成员均为 移动终端安全管理平台产品的研发负责人及主要研发人员，主要编制人员杨晨、 张艳、王惠莅、左晓栋、张格、陆臻、顾键、刘贤刚、范科峰、梁露露、王嘉捷、 王石、王新杰、肖荣、钟力、丁富强、贾雪飞、魏方方、周亚超、何道敬、张驰、 陈晓峰、刘虹、伍前红、姜正涛等。 1.3.2制定工作计划 编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时 沟通交流工作情况。 1.3.3参考资料 1 该标准编制过程中，主要参考了： GB/T 18336.3－2015信息技术安全技术信息技术安全性评估准则第3部分： 安全保障要求； GB/T25069－2010 信息安全技术 术语。 1.3.4确定编制内容 全球范围内基于移动终端的移动互联应用普及快速，移动应用市场需求激增， 由于移动终端几乎时刻在线，并承载了大量关键业务及核心应用、敏感数据等， 逐步成为网络攻击的主要对象，网络安全成为移动互联网应用的瓶颈。 移动终端安全管理平台作为应用于移动终端及终端上的移动应用、数据进行 安全管理的一体化解决方案，可以让移动终端的使用符合安全使用管理规范，防 止非法移动终端访问破坏企业数据，防止他人窃取移动终端中的企业数据。因此， 在明确移动终端安全管理平台的技术要求时，需要针对用户面临的安全风险提出 针对性安全要求，可以有效提高移动终端安全性和可靠性，保障移动互联应用安 全。为此，标准编制组在确定标准内容时，在结合产品部署方式、移动终端用户 访问组织应用中的安全身份鉴别、终端接入、访问控制、数据保密性、数据完整 性、安全审计等安全需求，主要从安全功能要求和安全保障要求两个方面，按照 基本级和增量级进行规范，提出安全技术要求，并按照移动终端安全管理平台安 全功能的强度以及安全保障要求，将安全等级划分为基本级和增强级，其中，安 全功能包括终端管理、应用管理、数据安全、接入控制、安全管理、客户端保护 和安全审计等六个方面，安全保障要求则主要从开发、指导性文档、生命周期支 持、测试和脆弱性评定等方面进行规范。 1.3.5编制工作简要过程 按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反 复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修 改的基础上，开始具体的编制工作。 2016年8月，完成了对移动终端安全管理平台产品相关技术文档和前期基 础调研。编制组充分调研分析了当前移动终端安全管理平台产品的功能和部署使 用方式、移动互联应用面临的安全威胁、企事业机构针对移动终端安全平台产品 的需求等，借鉴传统桌面和服务器终端的安全防护思路，结合移动终端和移动互 2 联应用的特点和需求，提出了移动终端安全管理平台安全技术要求。 2016年9月, 编制组组织召开研讨会,以编制组人员收集的资料为基础，编 制组内部经不断的讨论和研究，封闭组织完善