《电子政务云政务移动办公系统密码应用建设指南.docx》由会员分享,可在线阅读,更多相关《电子政务云政务移动办公系统密码应用建设指南.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XXX(标准名称)一、 标准名称:电子政务云政务移动办公系统密码应用建设指南项目提出单位:上海市密码管理局二、 起草单位:智巡密码(上海)检测技术有限公司四、立项理由:随着移动互联技术的快速发展,移动办公已经成为提升政务工作效率、打造“服务型 政府”的迫切需求和重要手段,但政务移动办公的安全问题也随之凸显。例如,当政务办公 移动化后,数据泄露风险日益凸显。手机失窃、丢失,或是蓄意的信息散播行为都将导致重 要/敏感数据资源的流失。此外,大量且标准不一的移动终端设备和移动办公软件,为监管 带来了巨大挑战。移动终端设备具有高度便携性,常常脱离于网络管理边界之外,管理员无 法随时掌控这些移动终端设备的
2、状态,无法限定移动终端设备的应用环境,也无法确定使用 移动终端设备接入系统的人员身份等,这些因素都会产生巨大的安全风险。上海市推广政务移动办公已有一定的时间和基础,但部分移动办公信息系统建设较早, 存在密码应用不正确、不全面等问题,许多系统仍在沿用国外密码算法和产品。例如,在用 户口令保护策略中应用最为广泛的MD5算法,已被证明是不安全的算法;服务端通常采用 设备标识码(如IM日、MEID、UDID等)对移动客户端进行身份鉴别,未采用任何密码技术, 存在被黑客伪装或篡改的风险;移动终端存在政务数据与个人数据混合存储、明文保存等情 况,使用安全强度较低的DES、RSA-1024等密码算法。为保护
3、网络空间安全,规范国产密码算法、密码技术和密码产品/密码服务在移动办公 系统中的应用,为设计密码应用方案提供参照与指导,保证政务信息系统密码应用的正确性、 有效性和合理性,最大程度发挥国产密码算法在政务移动办公安全防护中的作用,促进商用 密码在移动办公系统中的应用研究,填补相关标准领域的空白,需制订政务移动办公信息系 统密码应用建设的相关标准。通过制订此标准,将更好地厘清移动办公系统各组成部分的密 码应用需求及密码应用措施,指导用户进行移动办公系统的密码应用建设,确保密码技术在 政务移动办公领域中能够发挥出核心保障作用,推动网络空间安全整体水平的提升。五、主要内容:1 .密码应用框架设计包括系
4、统基本结构、密码应用需求分析、系统安全框架等。系统基本结构描述系统架构 以及系统组成,包括移动终端、通信网络、移动接入区和服务端等。密码应用需求分析从移 动终端、通信网络、移动接入区和服务端等方面描述系统面临的安全风险;并给出相应的密 码应用需求分析。系统安全框架是在前述的安全风险分析、密码应用需求分析的基础上:给 出通用的系统安全技术框架。2 .密码应用措施指南对标GB/T 39786-2021信息安全技术信息系统密码应用基本要求,给出移动办公系 统的密码应用要求及其通用的措施。3 .密钥管理指南从密钥生成周期包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复、 销毁等提出安全要求。六、适用范围:适用于本市政务移动办公系统责任单位、系统集成单位、密码应用支撑单位和商用密码 检测机构。用于指导、规范政务移动办公系的规划、建设及运行,也可供第三方评估机构对 政务移动办公系进行商用密码应用安全性评估时参考。