GB/T 34079.5-2021 基于云计算的电子政务公共平台服务规范 第5部分:移动.pdf

  • GB/T 34079.5-2021  基于云计算的电子政务公共平台服务规范 第5部分:移动.pdf为pdf格式
  • 文件大小:7.1 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-04-16
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 接人方式包括如下要求: 终端通过3G、4G、5G等移动网络或WLAN等公共无线网络接人政务网络时,应采用VPN 方式; 系统WLAN网络中的AP与AC之间数据通信,应采用基于DTLS的CAPWAP隧道; C 系统中WLAN设备应支持MIMO通信技术; d 系统可支持WLAN高密接人,具备智能多用户调度技术、自适应功率调整、自适应信道调整 和层次化QoS调度功能。

    接入方式包括如下要求: 终端通过3G、4G、5G等移动网络或WLAN等公共无线网络接人政务网络时,应采用VPN 方式; b 系统WLAN网络中的AP与AC之间数据通信,应采用基于DTLS的CAPWAP隧道; C 系统中WLAN设备应支持MIMO通信技术; d 系统可支持WLAN高密接人,具备智能多用户调度技术、自适应功率调整、自适应信道调整 和层次化QoS调度功能。

    无缝切换包括如下要求: a 系统应支持内部办公网络WLAN接入的无加密快速漫游,无线侧不加密,切换时间应小于 50ms; b 系统应支持内部办公网络WLAN接入的WPA2与802.1x认证结合方式下的快速漫游,保证 用户免重新认证和登录给排水图纸,切换时间应小于80mS; 系统应支持外网VPN接入切换至内网WLAN接入,保证用户免重新认证和登录,切换时间 小于4S。

    无缝切换包括如下要求: a) 系统应支持内部办公网络WLAN接入的无加密快速漫游,无线侧不加密,切换时间应小于 50ms; b 系统应支持内部办公网络WLAN接人的WPA2与802.1x认证结合方式下的快速漫游,保证 用户免重新认证和登录,切换时间应小于80mS; C 系统应支持外网VPN接入切换至内网WLAN接入,保证用户免重新认证和登录,切换时间 小于4S。

    7.1移动安全网关功能要

    关保护且支持单点登录的后台应用时,VPN网关通过匹配的单点登录用户信息重新组装用户 访问请求数据包,以实现对后台应用的自动认证,而无需用户再次填写用户信息。 安全网关应提供多种方法和令牌类型来识别认证和授权用户的功能。移动认证服务应提供处 理不同的令牌类型(如OAuth或OpenID)以及诸如语音ID或生物特征技术的能力。 1 安全网关在提供API的入口点时,需捕获政务移动应用客户端API调用的分析数据,如调用 API频率、调用API种类等

    7.2安全统一接入要求

    安全统一接入包括如下要求: a)安全统一接入网关链路级、应用级VPN加密应支持国密算法; b)安全统一接入网关应配置电子政务认证服务机构发放的设备证书: c)安全统一接入网关应支持双机热备功能; d)移动安全应用与安全统一接入网关建立连接时,安全统一接人网关应校验数字证书的有效性 支持证书的CRL或OCSP检测,保证证书的有效和安全,工作密钥交换应使用数字证书保护 安全统一接人网关应能获取MDM控制策略,终端违反安全策略时,网关应阻断其接入网络。

    终端识别包括如下要求: a 应支持网络接人设备通过报文重定向或内置探针的方式,获取终端类型、接人方式、接人时间、 系统软件和应用软件等信息的能力。 b)应支持MAC、OUI规则库,以及DHCP、HTTP、SNMP和NMAP等协议探针。 应支持智能终端名称识别功能: 能够识别智能手机和平板电脑类产品; 能够识别出具体的产品名称。 d)应支持终端软件系统的识别功能。策略服务器应支持非智能终端的识别功能,如摄像头、打印 机、VDI瘦终端、IP话机和服务器等, e) 应支持终端接人信息识别的功能,如接人时间、离线时间、接人地点和漫游等。 f)应支持终端资产类型识别的功能

    策略统一包括如下要求: 策略管理服务应具备为有线、无线和VPN接人用户提供统一的策略控制功能,能够根据用户 认证策略和终端信息进行授权和策略下发; b) 策略管理服务应支持在多系统共同部署时,策略引擎可共享; 策略管理服务应支持基于用户角色、安全状态、位置、时间授权、终端类型、资产类型和认证方 式等策略维度限制用户接人权限,控制终端接人安全; d 策略管理服务支持自定义Radius(半径)属性的功能,允许主流厂家预置私有Radius(半径)属 性字典,支持导人和更新主流厂家私有Radius(半径)属性字典; e) 策略管理服务的策略支持基于不同的QoS、不同的接人/应用权限、不同的带宽和不同的时间

    GB/T 34079.52021

    段来进行策略制定和控制

    8.2.1用户自助服务

    用户自助服务包括如下要求: a 应支持用户通过自助页面查看自已设备的信息; 应支持用户通过自助页面对自己的终端做远程擦除; 应支持用户通过自助页面对自已的终端做远程锁定; d)应支持用户通过自助页面清除自已设备的锁屏密码; 应支持用户通过自助页面定位或注销自已设备的位置

    应用管理包括如下要求: a)应支持移动办公应用商店客户端,提供应用下载、升级; b) 应支持移动办公应用后台管理,如应用的上传、删除和查询(查询内容包括应用程序的名称及 版本信息); C 应支持应用黑白名单,若出现违规,如:安装了黑名单中的应用,或未安装白名单中的应用,可 配置策略禁止使用移动应用平台软件; d 移动设备管理员需能查看终端的应用列表,包括程序名称、应用包名、版本和大小等; e 移动办公应用管理支持应用控制、分发部署、更新和卸载提醒等,确保应用合规并提升应用部 署效率; f 提供托管政务目录并将政务应用程序分发到移动设备的能力

    应用管理包括如下要求: a) 应支持移动办公应用商店客户端,提供应用下载、升级; 应支持移动办公应用后台管理,如应用的上传、删除和查询(查询内容包括应用程序的名称及 版本信息) C) 应支持应用黑白名单,若出现违规,如:安装了黑名单中的应用,或未安装白名单中的应用,可 配置策略禁止使用移动应用平台软件; d 移动设备管理员需能查看终端的应用列表,包括程序名称、应用包名、版本和大小等; 移动办公应用管理支持应用控制、分发部署、更新和卸载提醒等,确保应用合规并提升应用部 署效率; f 提供托管政务目录并将政务应用程序分发到移动设备的能力

    资产管理包括如下要求: a)支持设备资产的生命周期管理:从设备发现,注册、准入控制到使用监控,数据管理及挂失注 销.进行端到端的管理

    资产管理包括如下要求: a)支持设备资产的生命周期管理:从设备发现,注册、准入控制到使用监控,数据管理及挂失注 销,进行端到端的管理

    b)支持管理员注册单个终端; c)支持管理员批量注册终端; d)支持设备注销; e)支持设备信息列表; f)支持查看单台设备的详细信息(如软硬件信息); g)支持消息推送,后台能够向终端推送不合规告警

    安全管控包括如下要求: a) 支持终端首次使用前注册到MDM系统,并建立设备序列号、证书序列号、人员和手机号码等 绑定关系; b)支持终端准入检查,可检查配置、密码策略和应用列表等; c)支持终端接入认证,后端支持与LDAP、AD、Radius和身份安全管理服务器对接; d 识别用户身份,基于用户进行管理,并支持一个用户绑定多个终端:通过用户分组和关联角色, 进行规范化的管理控制; e 通过对软硬件环境的监控,以及对应用访问的监控,识别出异常的动作,进行事中控制或事后 审计; 支持强制终端定期登录MDM系统,实现对资产的不间断管控; g)可对终端允许使用的地理区域进行限制

    女全管控包括如下安水: a) 支持终端首次使用前注册到MDM系统,并建立设备序列号、证书序列号、人员和手机号码等 绑定关系; b 支持终端准入检查,可检查配置、密码策略和应用列表等; 支持终端接入认证,后端支持与LDAP、AD、Radius和身份安全管理服务器对接; d) 识别用户身份,基于用户进行管理,并支持一个用户绑定多个终端;通过用户分组和关联角色 进行规范化的管理控制; e) 通过对软硬件环境的监控,以及对应用访问的监控,识别出异常的动作,进行事中控制或事后 审计; f 支持强制终端定期登录MDM系统,实现对资产的不间断管控; g 可对终端允许使用的地理区域进行限制

    数据管理包括如下要求: a)支持远程擦除,能够远程擦除整机,恢复出厂设置; b)支持移动办公应用数据擦除

    数据管理包括如下要求: 支持远程擦除,能够远程擦除整机,恢复出厂设 支持移动办公应用数据擦除

    后台管理包括如下要求: a)MDM后台提供策略管理页面; b)MDM管理后台可与安全,安全统一接人网关的管理后台集成; c)管理终端与管理平台之间应加密传输

    后台管理包括如下要求: a)MDM后台提供策略管理页面; b)MDM管理后台可与安全,安全统一接入网关的管理后台集成; c)管理终端与管理平台之间应加密传输

    用户管理包括如下要求: a 应支持基于用户组下发业务VLAN、基于用户组下发ACL控制策略、基于用户组下发上下行 速率控制和基于用户组下发隔离策略; b 应支持通过用户组进行策略配置,判断用户合法性、根据用户属性进行分组(用户分类、用户访 客等)并赋予不同的访问权限; 应支持对用户进行分权分域管理,网管操作人员可设置管理用户范围和权限; d 应支持用户管理控制,设置账号同时在线数、有效期、上网时间段、时长限制(最长闲置时长)、 支持强制下线和账号锁定(可以自动解锁和管理员解锁)功能 e) 应支持账号与硬盘序列号绑定、IMSI绑定,与AP的MAC、SSID等身份信息绑定认证,增强 用户认证的安全性,具备自动学习功能,减少管理员手工录人工作量; f 应支持用户黑名单管理,例如:客户端认证时连续输入错误密码,达到某个阅值时将会被加人

    用户管理包括如下要求: a 应支持基于用户组下发业务VLAN、基于用户组下发ACL控制策略、基于用户组下发上下行 速率控制和基于用户组下发隔离策略; b 应支持通过用户组进行策略配置,判断用户合法性、根据用户属性进行分组(用户分类、用户访 客等)并赋予不同的访问权限; 应支持对用户进行分权分域管理,网管操作人员可设置管理用户范围和权限; d 应支持用户管理控制,设置账号同时在线数、有效期、上网时间段、时长限制(最长闲置时长)、 支持强制下线和账号锁定(可以自动解锁和管理员解锁)功能 e 应支持账号与硬盘序列号绑定、IMSI绑定,与AP的MAC、SSID等身份信息绑定认证,增强 用户认证的安全性,具备自动学习功能,减少管理员手工录人工作量; 1 应支持用户黑名单管理,例如:客户端认证时连续输入错误密码,达到某个阅值时将会被加人

    GB/T 34079.52021

    黑名单,此时使用正确的密码也应不能登录

    证书管理及使用包括如下要求: a 系统应支持对终端的强认证功能,即终端内置TF密码卡,登录移动办公应用时应进行双因子 身份认证; b TF密码卡应具有电子认证服务机构资质认证的数字证书,TF密码卡应支持国密算法: C 认证信息应保密存储,可使用TF卡的加密密钥进行保护; d 移动安全应用与安全统一接入网关建立连接时,安全统一接入网关应校验数字证书的有效性, 支持证书的CRL或OCSP检测,保证证书的有效和安全,工作密钥交换应使用数字证书保护。

    8.6移动应用支撑服务

    3.6.1API接入管理服务

    API管理功能是为移动网关提供可访问的可用服务端点。应提供API服务目录,提供API连接到 服务实现和管理功能,如API版本控制等,同时应包括以下功能: a)API服务目录/描述文档:提供安全查找和使用API的功能; b)API管理:可为移动网关、策略管理服务及其他移动应用程序等提供API使用的管理视图

    8.6.2数据管理服务

    的数据,如存在于政务系统或者各种其他来源的用户信息。基于适合的形式存储以满足移动应用程序 的快速访问。数据管理服务应包括: a 移动应用数据/NoSQL:移动应用程序可以方便、快速地调用和存储数据 b 文件存储库:提供存储静态文件的功能,如PDF和系统页面内容; C 缓存:提供数据缓存的能力,以便移动应用程序快速访问; d)API数据:提供以API的方式向其他移动应用开放数据。

    通讯录服务可以基于统一身份管理下的政务通讯服务体系,可以实现多平台同步并具备以下功能: a)移动应用服务应采用统一标准以实现多平台同步,如与PC应用下的数据同步; b)本地通讯录可自动备份,并提供安全保障,保证用户联系人不会发生丢失情况

    8.6.4统计分析服务

    统计分析服务应包括: a)通信位置数据分析 提供终端设备的物理位置及位置活动模式的数据分析,便于为移动服务优化操作或辅助优化 操作行为,同时可以提供该位置下的精准内容推送及相关移动通信服务。 b) 使用数据量化分析 通过采集移动应用的用户信息,并提供完整的应用信息可见性。用于构建和管理预警系统,以 检测移动用户问题,并提供主动检测移动应用程序故障及其他障碍。并通过分析特定移动用 户行为或设备属性来帮助量化或细分影响

    8.6.5信息推送服务

    服务端应具备问平台中移动应用提供基于统一标准的消息推送服务的能力。并支持如短轮询、长 轮询或协议连接等方式实现应用与服务端的消息推送

    8.6.6UI/UE适配服务

    服务端应提供标准化的UI/UE适配服务,可为移动应用提供统一的界面语言和交互公共标准,提 升政务移动应用访问效率和服务可靠性

    应用商店包括如下要求: 政务单位可建立移动办公的应用程序商店; ) 移动办公应用目录应能设置用户角色权限,控制终端用户可访问的应用列表; 移动办公应用目录应能实现电子政务移动办公应用程序的安装、更新和升级提醒: d) 所有移动办公及个人应用软件应通过应用商店签名发布,并提供下载安装; 系统应支持安全浏览器、安全邮件、移动VDI和UC等应用; f) 系统应支持主流智能设备的移动协作,支持语音、即时消息、数据、视频和会议的协作

    应用访问包括如下要求: a)用户访问移动办公应用时,应经过CA数字证书和登录密码的双因子认证; b) 用户访问移动办公应用时,可支持基于时间属性的访问控制,可以配置允许用户登录业务系统 的时间段,只有在允许的时间内,用户才能够登录访问内部网络的资源

    应用访问包括如下要求: 用户访问移动办公应用时,应经过CA数字证书和登录密码的双因子认证; 用户访问移动办公应用时,可支持基于时间属性的访问控制,可以配置允许用户登录业务系统 的时间段,只有在允许的时间内,用户才能够登录访间内部网络的资源

    应用交付包括如下要求: a)应支持移动办公应用客户端由应用商店来提供下载安装; b)应支持Web移动办公应用部署在移动办公工作平台; C)应支持通过应用虚拟化客户端进行应用访间,现有应用无需改造:

    应用交付包括如下要求: a)应支持移动办公应用客户端由应用商店来提供下载安装; b)应支持Web移动办公应用部署在移动办公工作平台; c)应支持通过应用虚拟化客户端进行应用访问,现有应用无需改造:

    d)应支持通过Meap平台对现有应用进行移动化开发,生成原生应用客户端或非原生客户端(如 HTML5应用)

    9.2.1安全浏览器技术要求

    9.2.2安全邮件技术要求

    9.2.3安全即时通讯要求

    应安装、使用定制的安全即时通讯系统,不准许便用社会化即时通讯软件进行相关工作交流。 即时通讯系统通过VPN或其他安全物理通道与政府移动接入网络建立安全隧道,针对于智能终 瑞和桌面电脑的屏幕尺寸和操作特点,安全即时通讯提供功能如下: a)点对点即时消息 支持点对点聊天,聊关支持发送文字、图片、拍照、语音和文件功能,支持消息内容查询功能,支 持消息置顶功能,支持转发及批量删除功能。 b)群组消息 支持多人聊天,聊天支持发送文字、图片、拍照、语音和文件;在群组通信中,当部分成员加人或 退出群组时,其他在线成员应收到相应的提示信息;群主能够解散群,能够转移群主权限。 后台建群 支持后台统一建群,批量导入人员信息,支持后台删除群,添加、删除群成员,冻结个人账号,解 禁个人账号等功能。 d)安全管控 支持移动端文件传输,传输文件应支持水印功能,支持用户消息界面水印功能,支持用户多种 权限控制功能,能够根据业务要求进行权限配置,支持用户撤回已发送的消息,支持用户发送 的消息在预订时间到达后自动楚毁。文字消息、长文本、图片、语音和视频在服务器及终端 本地保存时需要进行加密。支持屏蔽词安全策略,通过此策略即时通信禁止发送相关内容, 系统内消息不准许外发、分享到外部社会化平台

    应安装、使用定制的安全即时通讯系统,不准许便用社会化即时通讯软件进行相关工作交流。 即时通讯系统通过VPN或其他安全物理通道与政府移动接入网络建立安全隧道,针对于智能终 端和桌面电脑的屏幕尺寸和操作特点,安全即时通讯提供功能如下: a)点对点即时消息 支持点对点聊天,聊关支持发送文字、图片、拍照、语音和文件功能,支持消息内容查询功能,支 持消息置顶功能,支持转发及批量删除功能。 b)群组消息 支持多人聊天,聊天支持发送文字、图片、拍照、语音和文件;在群组通信中,当部分成员加人或 退出群组时,其他在线成员应收到相应的提示信息;群主能够解散群,能够转移群主权限。 )后台建群 支持后台统一建群,批量导入人员信息,支持后台删除群,添加、删除群成员,冻结个人账号,解 禁个人账号等功能。 d)安全管控 支持移动端文件传输,传输文件应支持水印功能,支持用户消息界面水印功能,支持用户多科 权限控制功能,能够根据业务要求进行权限配置,支持用户撤回已发送的消息,支持用户发送 的消息在预订时间到达后自动楚毁。文字消息、长文本、图片、语音和视频在服务器及终端 本地保存时需要进行加密。支持屏蔽词安全策略,通过此策略即时通信禁止发送相关内容。 系统内消息不准许外发、分享到外部社会化平台

    GB/T 34079.52021

    e) 应提供用户目助平台,在移动办公终端去失时,可供用户第一时间自助进行远程定位、锁定和 删除丢失终端设备中的数据; 应提供MDM防卸载机制,当终端MDM被卸载时,移动办公应用及数据也将被锁定或者删 除,以防止数据泄密; g 应支持应用的所有本地操作和网络行为可被审计; h) 应支持应用注销时,本地数据可被无痕化擦除; i) 应具备病毒终端被自动隔离的能力,防止终端数据外泄; j 应用运行时,应保证数据安全。数据安全可采用安全隔离运行环境或者虚拟化的实现方式: 基于安全隔离运行环境实现移动办公数据和个人应用数据的隔离,其中移动办公数据加 密存储,以避免信息泄露; 虚拟化方式终端仅具备显示作用,在服务器端进行数据处理及保存,保证数据安全。虚拟 化可包括应用虚拟化和虚拟点面两种方式

    传输安全包括如下要求: a 系统应支持SSL/TLS、IPSec等网络安全协议。 b)系统应支持应用级VPN,在应用启动时自动启动VPN。通过应用专属的安全隧道,实现多移 动办公应用之间的安全隔离,应用层数据直接封装进入隧道,防止其他恶意程序窃取、篡改应 用数据。 C 为保证本地加密密钥传输安全性,移动终端与密钥分发中心应通过SSLVPN隧道加密;密钥 分发中心、主密钥管理中心和备密钥管理中心之间通过IPsecVPN隧道加密。 d 数据传输时,系统应支持基于RSA、3DES、AES256高强度算法;支持国密算法;支持SHA完 整性验证.确保数据不被算改

    10.3.1终端系统启动认证

    支持开机密码,用户在开启终端时进行开机密码认证

    支持开机密码,用户在开启终端时进行开机密码认证

    10.3.2屏募解锁认证

    屏幕解锁认证包括如下要求: a) 应支持屏幕锁定密码,安全政务本应在不活动时间达到设定阅值时锁定屏幕,阅值上限应由 MDM管理员设定,也支持由用户发起的屏幕锁定; b) 用户解锁屏幕时进行屏幕锁定密码认证,屏幕锁定的密码策略可以由MDM系统分发; c 应通过解锁密码验证重新激活终端; d) 屏幕锁定密码应支持口令形式的密码,密码应进行加密存储; e 系统应能设置及检查密码锁屏策略

    屏幕解锁认证包括如下要求: a) 应支持屏幕锁定密码,安全政务本应在不活动时间达到设定阅值时锁定屏幕,阅值上限应由 MDM管理员设定,也支持由用户发起的屏幕锁定; b 用户解锁屏幕时进行屏幕锁定密码认证,屏幕锁定的密码策略可以由MDM系统分发; c 应通过解锁密码验证重新激活终端; d) 屏幕锁定密码应支持口令形式的密码,密码应进行加密存储; 系统应能设置及检查密码锁屏策略。

    10.3.3网络接入认证

    络接入认证包括如下要求: 在访客接人时,系统应支持采用Portal认证方式对访客进行身份认证; 在用户内网接入时,系统应支持Portal、802.1x、或802.1x和应用级VPN结合的方式进行身份 认证:

    网络接人认证包括如下求 在访客接入时,系统应支持采用Portal认证方式对访客进行身份认证; b)在用户内网接入时,系统应支持Portal、802.1x、或802.1x和应用级VPN结合的方式进行身份 认证:

    c)在用户远程VPN接人时,系统应支持SSLVPN或应用级VPN的认证方式进行身份认证,按 照GM/T0024—2014的规定; d)在具有分支接人时,系统应支持IPSecVPN认证方式进行身份认证,按照GB/T36968一2018 的规定; e)在终端接人时,系统应支持应采用双因子认证和唯一硬件设备信息的方式进行身份认证; f)用户在限定的时间段内多次连续尝试身份认证失败时,认证模块执行连续认证失败锁定策略, 可采取系统锁定或者删除全部政务应用数据并恢复到初始状态等安全措施。

    10.4.1移动数据和应用程序保护

    1 应支持上网行为管控的功能,实现对网络应用、站点访问、信息外发和邮件等权限控制; 应支持ASG和TSM联动来管控上网行为,ASG从TSM同步用户信息,通过单点登录的方 式,保证用户不需多处登录; C 应支持对外发文件类型、大小限制进行控制; 应支持对外发内容敏感数据进行过滤; e) 应支持对外发文件及内容的审计; f 程序保护应有助于消除访问关键的移动应用程序的安全漏洞

    10.4.2数据应用投入生产和部署

    数据应用投入生产和部署包括如下要求: a 可通过如部署应用程序防火墙来保护部署的应用程序免遭应用程序威胁。数据安全功能应支 持保护和监控移动设备,政务数据库,文件共享 b) 通过移动平台访问的大型数据环境中的数据,应通过加密与系统密钥管理来访问数据,并提供 实时数据监控和漏洞的数据活动监控评定,

    装修软件10.4.3安全信息审讯

    相关检测来帮助检测和防御威胁,可以与政务业务的管理流程相结合,从而实现自动化的规则执行、数 据审计报告

    11.1服务度量计价模块

    GB/T 34079.52021

    11.2 计费管理流程

    计费管理流程包括如下要求: 计费模块可配置计费事件和计费参数。业务功能模块接收移动政务应用或设备用户对业务资 源的访问请求,并将访问请求发送至计费模块处理。 b)计费模块记录和统计计费数据: 计费模块根据访问请求确定发生了可计费事件时,应确定并记录与访问请求相关的计费 数据,计费数据可以包括移动政务应用标识或设备用户标识、业务功能标识和流量等。 对于在线计费,计费模块应将计费数据发送到计费服务器以使于计费服务器确认是否允 许移动政务应用或设备用户对业务资源的访问,其中计费数据可以包括业务功能标识、计 费单元等。 计费服务器返回响应,允许移动政务应用或设备用户的访问。 业务功能模块对移动政务应用或设备用户的访问进行处理。 1 移动政务业务平台中的业务功能模块对访问进行处理,并将访问的响应发送至计费模块处理 计费模块记录确认访问成功时检测标准,应确定并记录与访问响应相关的计费数据,计费数据可以包括 时间戳、检索资源结果、时长和流量等。 计费模块将计费数据传送到计费服务器,进行批价并生成计费账单: 计费模块将访问请求和访问响应相关的计费数据发送到计费服务器,计费数据中还应包 括消息序列号、结束符等信息用于区别不同的计费数据; 计费服务器返回响应说明已成功发送

    ....
  • 电子标准
  • 相关专题: 电子政务  

相关下载

常用软件