国家标准信息技术安全技术信息安全治理编制说明-全国信息安全

国家标准《信息安全技术电子政务移动办公系统安全技术

规范》（征求意见稿）编制说明

一、任务来源

2013年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定《信息安全技术电子政务移动办公安全技术规范》国家标准,国标计划号：20141137-T-469。该项目由国家信息中心负责牵头研制，华为技术有限公司、深圳市雁联移动科技有限公司、北京瑞星科技股份有限公司、山东乾云启创信息科技有限公司、北京三未信安科技发展有限公司、中兴通讯股份有限公司、北京国信灵通网络科技有限公司、北京壹人壹本信息科技有限公司、等单位参与。标准文本已经过多次征求专家意见，标准名称调整为《信息安全技术电子政务移动办公系统安全技术规范》。

二、任务背景

移动通信和互联网的结合推动了移动互联网的发展，WIFI的广泛铺设、4G 时代的开启移动终端设备的凸显，以及IT业云计算、虚拟化技术、远程桌面技术的应用为移动办公提供了基本技术条件，政府政务办公、公共服务、公共管理已成为移动办公的紧迫需求。政务部门办公人员更期待摆脱时间和空间束缚，在任何时间、任何地点通过移动终端进行业务处理。电子政务移动办公作为一种灵活的、电能消耗极少的低碳办公模式将成为构建高效服务型政府的必然趋势。IDC 预计随着智能手机的普及以及应用功能的增加，移动办公的应用会越来越广泛，许多专业人才将其应用于工作中，IT分析师预计2015全球将有13亿雇员应用移动办公，——占全球总劳动力的37.2%。但同时，由于移动办公的特性，也给电子政务带来了信息外泄、网络瘫痪等安全风险。

美国移动办公的快速兴起是基于大公司主导和应用，从而带动整个美国都向移动办公的模式进化。美国移动办公的前提是信任，大公司充分相信那些在分公司只需要偶尔去办公室工作的人的工作态度和效率。美国公司使用的是专业的办公软件平台——企业社交平台，大公司在总部之外只需要设置一个安装着全套虚拟办公服务的地点，就可以最大限度地调动那个分部的人力作用。美国SOHO 的发展是对大生产、大服务、大消费经济模式的一种微调和深化。美国政府问责局(Government Accountability Office，GAO)向美国国会提交了关于移动设备

安全状态的报告，美国国家标准技术研究院(NIST) 2013年发布了NIST SP 800-124: 2013 企业移动设备安全管理指南：功能要求、NIST Draft SP 800-164: 2013 移动设备硬件层次安全指南、GAO-12-757 更好地实施移动设备安全控制，对移动设备的安全管理起到指导作用。

英国沃达丰公司的研究表明，截至2011年底，43%的企业接受了移动办公，随着4G服务的推出，超快的网速使得许多公司、单位、企业乐于投资移动办公，诸如手机、智能手机、移动设备等，尽享快速的数据传输、可靠的网络连接和更多的应用功能。Good Technology公司的研究表明，93%的员工有在工作中至少离开办公室一段时间的情况，如果他们拥有移动设备，能够连接上网，这样就可以有效利用工作时间，比如他们可以在外出中，或在另一座城市完成当日的工作。伦敦奥运会期间，移动办公极大地改善了业务连续性。据伦敦商会统计，奥运会期间，500万工作人员中约有150万人在家工作，极大地缓解了交通压力，也使他们免受通勤上班的辛劳，还提高了工作效率。

全球无线互联电子政务最发达的国家日本，专门制定了“无处不在”（u-Japan）的国家信息化战略。u-Japan政策则不仅要保持有线网络的发展，而且要发展无线网络，如移动网络和无线局域网（LAN），数字化广播系统和传输网络。日本的3G、4G、NFC和二维码非常发达，1亿多人口有4000万人使用3G 服务，日本企业和政府部门纷纷在建立专门的手机网站。手机上网在日本已经成为应用的主流。

据思杰公司提供的调查报告显示，预计到2020年，全球89%的企业都将采用移动办公的工作方式，目前有24%的受访者表示已经全面部署了移动办公，另有38%将扩大移动办公的部署规模；还有21%的受访者表示预计在未来两年内实现移动办公。这也就意味着移动办公市场从2012年的24%迅猛上升到83%，年复合增长率高达86%。据这份报告显示，北美地区的移动办公市场较为领先，90%的企业表示已经部署或正在扩大部署移动办公解决方案，紧随其后的是中国(85%)，之后则是巴西、印度、英国、法国和德国，其百分比都超过了70%。

但是根据2010年趋势科技针对美国、英国、德国与日本1,600位企业终端使用者的调查显示，大部分员工对公司整体安全状况的态度既不够谨慎，也显得矛盾。多数员工在上班时间流连社交网站，甚至有十分之一员工曾经躲避公司的

安全措施，以存取某些管制的网站。大约50%的受访者坦承曾经透过(不安全的)网页式邮件帐号传送公司内部信息。美国与英国的使用者比日本的使用者容易承认自己曾泄漏公司机密信息，他们也承认知悉何种类型的公司信息属于机密。

中国的移动办公经历了离线式移动办公、VPN有线移动办公、无线移动办公三个阶段，CDMA和GPRS移动通讯技术的出现为移动办公带来了质的飞跃，移动办公才正式进入了无线时代。近年来，随着各种移动厂商产品的出现，电子政务领域也面临强烈的移动办公需求，我国逐步认识到移动办公安全规范对于加强政务领域信息安全保障工作的重要作用。我国急需在分析我国现有移动厂商产品、移动办公实际需求和应用的基础上，结合我国电子政务领域的信息安全要求，研究制定符合我国国情的国家推荐性标准，提出我国电子政务移动办公系统的整体安全框架，切实落实对于移动终端、网络传输、移动接入、服务端安全的相关技术要求，为移动政务系统及其安全体系的运行管理和评估提供标准支撑，实现我国电子政务移动办公系统建设的标准化。

三、编制原则

基于调研事实：标准的编制以对国内外移动办公标准或规定的文献资料查阅为基础，以对国内外相关移动办公产品的功能与性能调研情况为基础。

准确理解分析：为了保证对基础材料的准确理解，标准编制组对国内不同行业尤其是政府移动办公应用情况和技术实施方案进行了研究，尤其对其安全架构进行了深入分析探讨。

具备远瞻指导：在标准的编制过程中，标准编制组从最易理解的工程角度将移动政务系统进行分解，结合安全风险描述其安全框架，力求每部分内容可行可落地，对于不同业务的移动政务系统具有统一的指导性。

搭建原型验证：为了验证标准文本的准确、可行与可落地，标准编制组以标准中的安全框架为基础，选择文本中增强要求采用移动终端+VPN认证+虚拟化前置+服务端组合搭建了移动政务系统原型，切实进行移动办公的体验，并结合体验效果迭代调整标准内容。

四、主要工作过程

1、2013年10月，《电子政务移动办公安全技术规范》国家标准编制任务正式下达，我单位在原标准草案V1.0版本的基础上，进一步研究电子政务移动办