电子政务云政务移动办公系统密码应用建设指南.docx

XXX（标准名称）一、 标准名称:电子政务云政务移动办公系统密码应用建设指南项目提出单位：上海市密码管理局二、 起草单位：智巡密码（上海）检测技术有限公司四、立项理由：随着移动互联技术的快速发展，移动办公已经成为提升政务工作效率、打造“服务型 政府”的迫切需求和重要手段，但政务移动办公的安全问题也随之凸显。例如，当政务办公 移动化后，数据泄露风险日益凸显。手机失窃、丢失，或是蓄意的信息散播行为都将导致重 要/敏感数据资源的流失。此外，大量且标准不一的移动终端设备和移动办公软件，为监管 带来了巨大挑战。移动终端设备具有高度便携性，常常脱离于网络管理边界之外，管理员无 法随时掌控这些移动终端设备的状态，无法限定移动终端设备的应用环境，也无法确定使用 移动终端设备接入系统的人员身份等，这些因素都会产生巨大的安全风险。上海市推广政务移动办公已有一定的时间和基础，但部分移动办公信息系统建设较早, 存在密码应用不正确、不全面等问题，许多系统仍在沿用国外密码算法和产品。例如，在用 户口令保护策略中应用最为广泛的MD5算法，已被证明是不安全的算法；服务端通常采用 设备标识码（如IM日、MEID、UDID等）对移动客户端进行身份鉴别，未采用任何密码技术, 存在被黑客伪装或篡改的风险；移动终端存在政务数据与个人数据混合存储、明文保存等情 况，使用安全强度较低的DES、RSA-1024等密码算法。为保护网络空间安全，规范国产密码算法、密码技术和密码产品/密码服务在移动办公 系统中的应用，为设计密码应用方案提供参照与指导，保证政务信息系统密码应用的正确性、 有效性和合理性，最大程度发挥国产密码算法在政务移动办公安全防护中的作用，促进商用 密码在移动办公系统中的应用研究，填补相关标准领域的空白，需制订政务移动办公信息系 统密码应用建设的相关标准。通过制订此标准，将更好地厘清移动办公系统各组成部分的密 码应用需求及密码应用措施，指导用户进行移动办公系统的密码应用建设，确保密码技术在 政务移动办公领域中能够发挥出核心保障作用，推动网络空间安全整体水平的提升。五、主要内容：1 .密码应用框架设计包括系统基本结构、密码应用需求分析、系统安全框架等。系统基本结构描述系统架构 以及系统组成，包括移动终端、通信网络、移动接入区和服务端等。密码应用需求分析从移 动终端、通信网络、移动接入区和服务端等方面描述系统面临的安全风险；并给出相应的密 码应用需求分析。系统安全框架是在前述的安全风险分析、密码应用需求分析的基础上：给 出通用的系统安全技术框架。2 .密码应用措施指南对标GB/T 39786-2021信息安全技术信息系统密码应用基本要求，给出移动办公系 统的密码应用要求及其通用的措施。3 .密钥管理指南从密钥生成周期包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复、 销毁等提出安全要求。六、适用范围：适用于本市政务移动办公系统责任单位、系统集成单位、密码应用支撑单位和商用密码 检测机构。用于指导、规范政务移动办公系的规划、建设及运行，也可供第三方评估机构对 政务移动办公系进行商用密码应用安全性评估时参考。