中国移动应用商场业务规范安全分册
中国移动应用商场业务规范安全分册
中国移动应用商场业务规范安全分册 M o b i l e M a r k e t S e r v i c e S p e c i f i c a t i o n -S e c u r i t y P a r t i t i o n 版本号:1.0.0中国移动通信企业标准 QB-F-018-2009 中国移动通信集团公司 发布2010-4-27发布 2010-4-27实施目录前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)3.1 术语、定义 (1)3.2 缩略语 (2)4 业务概述 (3)5 业务安全需求 (3)5.1 业务安全威胁分析 (3)5.2 业务安全需求分析 (4)5.3 安全方案相关说明 (4)6 阶段一安全方案 (5)6.1 方案总体思路 (5)6.2 安全功能描述 (6)6.3 安全方案描述 (6)6.3.1 MM安装包上架准备 (6)6.3.2 用户统一登录流程 (7)6.3.3 软件下载与安装流程 (10)6.3.4 体验式计费安全方案 (13)6.3.5 安全目标实现分析 (17)7 安全方案过渡策略 (18)8 编制历史 (19)前言本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定,是保障Mobile Market业务安全开展的依据。
本标准主要包括业务安全需求、阶段一用户统一登录安全方案、阶段一软件下载安全方案及阶段一体验式计费安全方案等方面内容。
本标准是Mobile Market业务系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-D-145-2009 中国移动应用商场业务平台总体技术要求[2] QB-D-146-2009 中国移动应用商场业务平台业务规范[3] QB-D-147-2009 中国移动应用商场业务平台设备规范[4] QB-D-148-2009 中国移动应用商场业务平台接口规范[5] QB-D-149-2009 中国移动开发者社区应用开发要求[6] QB-E-051-2009 中国移动应用商场客户端规范[7] QB-F-018-2009 中国移动应用商场业务规范安全分册本标准需与《中国移动应用商场业务平台总体技术要求》、《中国移动应用商场业务平台业务规范》和《中国移动应用商场业务平台设备规范》配套使用。
中国移动集团营业部工作执行手册
中国移动集团营业部工作执行手册中国移动集团营业部工作执行手册第一章总则第一条为规范中国移动集团营业部的工作,提高工作效率和服务质量,制定本手册。
第二条中国移动集团营业部是中国移动集团公司下属的负责营业工作的部门。
第三条中国移动集团营业部的主要工作职责包括:处理客户业务办理、提供业务咨询和解答、开展销售和推广活动、维护客户关系等。
第四条中国移动集团营业部坚持以客户为中心的服务理念,积极推进现代化管理和信息化建设,不断提升服务能力和水平,为客户提供高质量、高效率的服务。
第五条中国移动集团营业部应该严守国家法律法规和公司规章制度,保护客户利益,尊重客户权利,严禁泄露客户信息。
第六条中国移动集团营业部应该注重团队合作,互相支持,共同实现公司和个人发展,建立和谐的工作氛围。
第二章工作规范第七条中国移动集团营业部应该制定详细的工作计划,按照计划有序开展工作,及时办理客户的各项业务。
第八条中国移动集团营业部应该及时回应客户的咨询和投诉,并妥善处理客户的问题和需求。
第九条中国移动集团营业部应该加强对新进员工的培训和指导,确保员工能够熟练掌握各项业务办理流程和工作要求。
第十条中国移动集团营业部应该积极参与公司组织的培训和考核活动,不断提升业务水平和综合素质。
第十一条中国移动集团营业部应该及时总结工作经验和不足,提出改进措施,不断完善工作流程。
第十二条中国移动集团营业部应该建立健全客户档案和客户反馈机制,定期进行客户满意度调查,根据调查结果改进服务。
第三章客户服务第十三条中国移动集团营业部应该提供全面、准确的业务咨询和解答,帮助客户解决问题和疑虑。
第十四条中国移动集团营业部应该为客户提供便捷的业务办理,减少等待时间,提高办理效率。
第十五条中国移动集团营业部应该关注客户的需求变化,及时推出符合客户需求的新产品和服务。
第十六条中国移动集团营业部应该定期进行客户回访,了解客户对服务的满意度和改进建议。
第十七条中国移动集团营业部应该遵循信息保密原则,严格保护客户的隐私和个人信息。
中国移动应用商店客户端技术规范
中国移动应用商店客户端技术规范中国移动应用商店客户端技术规范目录1. 范围 ........................................................... 错误!未定义书签。
2. 规范性引用文件........................................ 错误!未定义书签。
3. 术语与缩略................................................ 错误!未定义书签。
4. 系统概述.................................................... 错误!未定义书签。
4.1. 背景 .................................................... 错误!未定义书签。
4.2. 业务功能 ............................................ 错误!未定义书签。
4.3. 接口 .................................................... 错误!未定义书签。
4.4. 规模 .................................................... 错误!未定义书签。
5. 应用商店客户端功能框架 ........................ 错误!未定义书签。
6. 应用商店客户端功能要求 ........................ 错误!未定义书签。
6.1. UI ........................................................ 错误!未定义书签。
6.2. Widget支持 ....................................... 错误!未定义书签。
中国移动Mobile Market业务客户端规范1.0
中国移动通信企业标准中国移动M o b i l e M a r k e t 业务客户端规范S p e c i f i c a t i o n F o r M o b i l e M a r k e t S e r v i c e C l i e n t 版本号:1.0.0目 录前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)3.1 术语、定义 (1)3.2 缩略语 (2)4 业务概念 (2)5 功能要求 (3)5.1 登录/注销登录 (4)5.1.1 登录流程 (4)5.1.2 用户登录失败后的重试以及登录成功后的断线重连 (4)5.1.3 主动注销登录和被动退出 (4)5.2 应用和数字商品展现 (4)5.2.1 客户端展现内容 (4)5.2.2 软件 (4)5.2.3 游戏 (5)5.2.4 主题 (5)5.2.5 视频 (5)5.2.6 热卖场 (5)5.2.7 音乐 (5)5.2.8 营业厅 (5)5.2.9 书城 (5)5.2.10 我的MM (6)5.3 全局搜索 (6)5.4 应用和数字商品获取 (6)5.4.1 应用下载 (6)5.4.2 应用安装 (6)5.4.3 应用管理 (7)5.4.4 应用升级(推荐) (7)5.5 推荐 (7)5.5.1 商品推荐 (7)5.6 计费 (7)5.7 参数设置 (7)5.7.1 显示设置 (8)5.7.2 下载设置 (8)5.7.3 主题设置 (8)5.8 其他 (8)5.8.1 客户端适配信息 (8)5.8.2 广告(可选) (8)5.8.3 测量统计(可选) (9)5.8.4 关于和帮助 (9)5.8.5 安全 (9)6 客户端实现架构要求 (9)6.1 客户端架构 (9)6.2 内容排版 (10)6.3 导航功能 (10)6.4 插件功能 (11)6.4.1 音频播放器插件 (11)6.4.2 视频播放器插件 (11)6.4.3 阅读插件 (12)6.5 快捷键 (12)6.6 方向键功能 (12)6.7 浏览器选项菜单 (13)6.8 浏览器状态栏 (13)7 客户端的生命周期 (14)7.1 下载 (14)7.2 本地安装 (14)7.3 安装检测 (14)7.4 快捷方式 (15)7.5 客户端升级 (15)7.5.1 自动升级 (15)7.5.2 手动升级 (15)7.6 客户端卸载 (15)8 客户端异常处理 (16)8.1 网络异常处理 (16)8.2 存储异常处理 (16)8.3 内容异常处理 (16)9 编制历史 (16)前 言本标准对中国移动Mobile Market客户端需要规范的内容提出全面要求,是开发和测试Mobile Market客户端的依据。
10086生产中心安全管理规范2.0
1.0 目的为加强客户服务中心安全管理,有效推动中心安全生产工作规范执行,提升员工安全意识,杜绝安全隐患,预防重大事故发生,确保生产运营正常进行,根据省公司“安全管理程序”规定,结合中心生产情况,特制定本规范。
2.0 适用范围适用于10086客户服务中心 (包括办公楼、裙楼、大院内及相邻周边)的安全管理。
3.0 管理职责3.1客户服务中心安全生产履行“一岗双责”,“谁主管、谁负责”和“以人为本”的原则,责任层层落实,重大责任事故一票否决,各层级负责人为本层级行政管理范围安全生产第一责任人。
3.2各级责任人要把安全防范工作作为一项重要内容列入自己工作日程,真抓实管,切实负责。
3.3客户服务中心大楼安全管理责任划分3.3.1第一责任人:总经理、分管安全副总经理。
3.3.2管理责任人:综合部安全管理员3.3.3直接责任人:各部门负责人、各部门安全管理员、各级员工、物业公司人员3.4直接责任人主要职责3.4.1宣传、贯彻国家有关法律法规和省、市公司相关安全制度。
3.4.2负责本部门的安全检查,发现问题及时报告安全管理员。
3.4.3负责对本部门所有员工的安全宣传、教育工作,随时检查督促,确保员工安全生产。
4.0 管理制度4.1进出管理制度4.1.1凡进入生产园区上班的员工必须佩戴工作证,由门卫确认工作证与佩戴人相符后方可进入大门,未佩戴者不准进入。
4.1.2来访人员确因工作和业务联系,必须在门卫处进行登记,电话通知被联系人,经被联系人员认可同意后,留下身份证件换取临时出入证后,凭来访条方可进入大门,并经大厅总台服务人员核实后,由总台服务人员带领至被联系人处。
4.1.3任何员工非因公事项不得将外来人员带入大楼。
4.1.4对前来会见中心领导的人员,总台人员必须核实其是否持有出入证、是否已征得公司领导本人同意,确实者安排在总台等候,经请示领导同意后引见。
如发现有可疑迹象,应立即阻止并报告保安人员。
同时,接待态度应礼貌周到。
中国移动业务安全通用评估规范
中国移动业务安全通用评估规2012年3月目录第1章概述 (3)第2章评估依据 (3)第3章框架及模型 (3)3.1概述 (3)3.2安全评估模型 (4)3.3模型简介 (5)3.3.1网络结构安全 (5)3.3.2设备安全 (5)3.3.3平台及软件安全 (5)3.3.4业务流程安全 (5)3.3.5终端安全 (7)3.3.6安全管控 (7)3.3.7应用指导原则 (8)第4章实施方案 (8)4.1网络结构安全 (8)4.2设备安全 (10)4.3平台及软件安全 (26)4.4业务流程安全 (31)4.4.1容安全 (31)4.4.2计费安全 (34)4.4.3能力开放接口安全 (36)4.4.4客户信息安全 (37)4.4.5业务逻辑安全 (41)4.4.6传播安全 (44)4.4.7营销安全 (45)4.5终端安全 (48)4.6安全管控 (51)4.6.1系统安全 (51)4.6.2人员安全 (53)4.6.3第三方安全管理 (54)第1章概述为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规。
本评估规针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。
本规解释权归总部信息安全管理与运行中心。
第2章评估依据1.《中国移动业务安全评估标准》2.《中国移动账号口令管理办法》3.《中国移动设备通用安全功能和配置规》4.《中国移动第三方管理办法》5.《中国移动口令集中管理系统功能及技术规》6.《中国移动业务支撑网4A安全技术规》7.《中国移动客户信息安全保护管理规定》8.《中国移动安全域管理办法》第3章框架及模型3.1概述中国移动业务安全评估依据科学的安全风险评估方法,从业务所3.3模型简介3.3.1网络结构安全网络结构安全从网络拓扑、安全域方面进行安全评估,重点评估中国移动业务所涉及的物理链路、数据路径、流量控制、安全域划分及隔离防护策略等信息安全管控措施的落实及实施效果。
中国移动分公司营业厅服务规范手册
中国移动某分公司营业厅服务规范手册二0一二年六月目录第一章服务行为准则 .................................... 错误!未指定书签。
第一节服务理念............................................ 错误!未指定书签。
第二节服务原则............................................ 错误!未指定书签。
第三节服务准则............................................ 错误!未指定书签。
第二章仪容仪表规范 .................................... 错误!未指定书签。
第一节仪容 .................................................... 错误!未指定书签。
第二节着装 .................................................... 错误!未指定书签。
第三节饰品 .................................................... 错误!未指定书签。
第三章形体仪态规范 .................................... 错误!未指定书签。
第一节标准站姿............................................ 错误!未指定书签。
第二节标准坐姿............................................ 错误!未指定书签。
第三节标准行姿............................................ 错误!未指定书签。
第四节标准手势............................................ 错误!未指定书签。
{业务管理}中国移动省级经营分析系统业务规范基础业务分册
{业务管理}中国移动省级经营分析系统业务规范基础业务分册目录THEBASICSERVICEFASCICULE1 OFBUSINESSANALYSISSUPPORTSYSTEM11范围12引用标准13术语和定义14符号和缩略语15总体说明25.1目标25.1.1重入网分析25.1.2营销终端IMEI拆包分析25.1.3营销渠道分析25.1.4位置分析25.2章节说明36重入网分析36.1名词解释36.2识别模式流程46.2.1识别模式一:通过手机IMEI对比分析识别46.2.1.1分析识别流程56.2.1.1.1区分新老客户56.2.1.1.2IMEI号清洗工作66.2.1.1.3识别新入网客户的有效IMEI66.2.1.1.4生成、维护历史有效IMEI库76.2.1.1.5识别重入网客户86.2.2识别模式二:通过客户呼叫记录与手机IMEI相结合分析识别86.2.2.1分析识别流程96.2.2.1.1提取有效交往圈信息96.2.2.1.2提取有效IMEI信息126.2.2.1.3提取重入网客户信息12 6.3分析功能146.3.1KPI指标146.3.1.1分析目标146.3.1.1.1维度指156.3.1.1.2指标说明156.3.1.1.3面向对象156.3.1.1.4功能要求156.3.2应用分析156.3.2.1重入网客户总体分析166.3.2.1.1分析目标166.3.2.1.2维度指标166.3.2.1.3指标说明176.3.2.1.4面向对象186.3.2.1.5功能要求186.3.2.2多次重入网客户总体分析186.3.2.2.1分析目标186.3.2.2.2维度指标186.3.2.2.3指标说明196.3.2.2.4面向对象206.3.2.2.5功能要求206.3.2.3重入网渠道因素分析206.3.2.3.1分析目标206.3.2.3.2维度指标216.3.2.3.3指标说明216.3.2.3.4面向对象216.3.2.3.5功能要求216.3.2.4重入网客户营销政策分析226.3.2.4.1分析目标226.3.2.4.2维度指标226.3.2.4.3指标说明226.3.2.4.4面向对象226.3.2.4.5功能要求236.3.2.5新增市场网内互转分析236.3.2.5.1分析目标236.3.2.5.2维度指标236.3.2.5.3指标说明236.3.2.5.4面向对象246.3.2.5.5功能要求246.3.2.6存量市场网内互转分析246.3.2.6.1分析目标246.3.2.6.2维度指标246.3.2.6.3指标说明256.3.2.6.4面向对象256.3.2.6.5功能要求256.3.2.7重入网客户消费变化分析256.3.2.7.1分析目标256.3.2.7.2维度指标256.3.2.7.3指标说明266.3.2.7.4面向对象266.3.2.7.5功能要求266.3.2.8多次重入网客户消费变化分析266.3.2.8.1分析目标266.3.2.8.2维度指标266.3.2.8.3指标说明276.3.2.8.4面向对象276.3.2.8.5功能要求276.3.2.9重入网老号码充值分析(可选)286.3.2.9.1分析目标286.3.2.9.2指标说明286.3.2.9.3面向对象286.3.2.9.4功能要求286.3.2.10重入网老号码欠费分析296.3.2.10.1分析目标296.3.2.10.2维度指标296.3.2.10.3指标说明296.3.2.10.4面向对象296.3.2.10.5功能要求306.3.3即席查询306.3.3.1重入网客户名单即席查询306.3.3.1.2展现内容306.3.3.1.3指标说明306.3.3.1.4面向对象316.3.3.1.5功能要求316.3.3.2多次重入网客户名单即席查询316.3.3.2.1分析目标316.3.3.2.2展现内容316.3.3.2.3指标说明316.3.3.2.4面向对象326.3.3.2.5功能要求326.3.3.3一次性弃卡客户名单即席查询(可选)326.3.3.3.1分析目标326.3.3.3.2展现内容326.3.3.3.3指标说明326.3.3.3.4面向对象336.3.3.3.5功能要求336.3.3.4重入网老客户欠费名单即席查询336.3.3.4.1分析目标336.3.3.4.2展现内容336.3.3.4.3指标说明336.3.3.4.4面向对象336.3.3.4.5功能要求347营销终端IMEI拆包分析347.1名词解释347.2识别模式流程347.3分析功能357.3.1应用分析357.3.1.1终端捆绑销售情况分析357.3.1.1.1分析目标357.3.1.1.2维度指标357.3.1.1.3指标说明367.3.1.1.4面向对象367.3.1.1.5功能要求367.3.1.2终端捆绑销售的的效益分析367.3.1.2.2维度指标377.3.1.2.3指标说明377.3.1.2.4面向对象377.3.1.2.5功能要求377.3.1.3终端捆绑销售的拆包用户情况分析387.3.1.3.1分析目标387.3.1.3.2维度指标387.3.1.3.3指标说明387.3.1.3.4面向对象387.3.1.3.5功能要求397.3.1.4终端捆绑销售的用户离网情况分析397.3.1.4.1分析目标397.3.1.4.2维度指标397.3.1.4.3指标说明397.3.1.4.4面向对象407.3.1.4.5功能要求407.3.2即席查询功能407.3.2.1捆绑营销终端信息查询407.3.2.1.1分析目标407.3.2.1.2展现内容407.3.2.1.3指标说明407.3.2.1.4面向对象417.3.2.1.5功能要求417.3.2.2查询终端捆绑用户信息查询功能417.3.2.2.1分析目标417.3.2.2.2展现内容417.3.2.2.3指标说明417.3.2.2.4面向对象427.3.2.2.5功能要求427.3.2.3查询拆包用户信息查询和分析427.3.2.3.1分析目标427.3.2.3.2展现内容427.3.2.3.3指标说明427.3.2.3.4面向对象437.3.2.3.5功能要求438营销渠道分析438.1渠道结构分析438.1.1分析目的438.1.2维度/指标438.1.3说明438.2营销人员组成分析448.2.1分析目的448.2.2维度/指标448.2.3说明448.3实体渠道业务能力分析448.3.1分析目的448.3.2维度/指标458.3.3说明458.4客户质量分析458.4.1分析目的458.4.2维度/指标458.4.3说明468.5卡件销售分析468.5.1分析目的468.5.2维度/指标468.5.3说明468.6号源铺货量和放号量分析468.6.1分析目的468.6.2维度/指标478.6.3说明478.7手机终端销售分析478.7.1分析目的478.7.2维度/指标478.7.3说明478.8服务性业务办理分析488.8.1分析目的488.8.2维度/指标488.8.3说明489位置分析489.1片区化营销管理489.1.1客户属地化499.1.1.1移动客户属地化499.1.1.1.1片区客户发展分析499.1.1.1.1.1分析目标499.1.1.1.1.2维度/指标499.1.1.1.1.3指标口径499.1.1.1.1.4使用对象509.1.1.1.1.5功能要求509.1.1.1.2片区客户变动月分析509.1.1.1.2.1分析目标509.1.1.1.2.2维度/指标509.1.1.1.2.3指标口径509.1.1.1.2.4使用对象509.1.1.1.2.5功能要求509.1.1.2竞争对手属地化519.1.1.2.1片区竞争对手客户数月分析519.1.1.2.1.1分析目标519.1.1.2.1.2维度/指标519.1.1.2.1.3指标口径519.1.1.2.1.4使用对象519.1.1.2.1.5功能要求519.1.2片区化营销管理519.1.2.1日KPI529.1.2.1.1分析目标529.1.2.1.2维度/指标529.1.2.1.3指标口径529.1.2.1.4使用对象529.1.2.1.5功能要求529.1.2.2月KPI529.1.2.2.1分析目标529.1.2.2.2维度/指标539.1.2.2.3指标口径539.1.2.2.4使用对象539.1.2.2.5功能要求539.1.3片区化营销分析539.1.3.1片区资费分布549.1.3.1.1分析目标549.1.3.1.2维度/指标549.1.3.1.3指标口径549.1.3.1.4使用对象549.1.3.1.5功能要求549.1.3.2片区特征分析549.1.3.2.1分析目标549.1.3.2.2维度/指标559.1.3.2.3指标口径559.1.3.2.4使用对象559.1.3.2.5功能要求559.1.3.3特定局部区域分析(可选集)559.1.3.3.1分析目标559.1.3.3.2维度/指标569.1.3.3.3指标口径569.1.3.3.4使用对象569.1.3.3.5功能要求569.1.3.4片区营销活动期间业务发展分析(可选集)569.1.3.4.1分析目标569.1.3.4.2维度/指标569.1.3.4.3指标口径579.1.3.4.4使用对象579.1.3.4.5功能要求579.2热点小区分析579.2.1热点小区通话特征分析579.2.1.1分析目标579.2.1.2维度/指标589.2.1.3指标口径589.2.1.4使用对象589.2.1.5功能要求589.3集团客户小区业务分析(可选集)589.3.1集团小区通话地理集中度分析(可选集)599.3.1.1分析目标599.3.1.2维度/指标599.3.1.3指标口径599.3.1.4使用对象599.3.1.5功能要求599.3.2集团小区短信广告分析(可选集)609.3.2.1分析目标609.3.2.2维度/指标609.3.2.3指标口径609.3.2.4使用对象609.3.2.5功能要求609.3.3集团小区短信广告目标客户匹配(可选集)619.3.3.1分析目标619.3.3.2维度/指标619.3.3.3指标口径619.3.3.4使用对象619.3.3.5功能要求629.4漫游客户群体分析629.4.1省内漫游客户群体特征分析629.4.1.1分析目标629.4.1.2维度/指标629.4.1.3指标口径629.4.1.4使用对象629.4.1.5功能要求639.4.2节假日特定景点网络压力分析(可选集)639.4.2.1分析目标639.4.2.2维度/指标639.4.2.3指标口径639.4.2.4使用对象639.4.2.5功能要求649.5网元收益分析(可选集)649.5.1网元收益分析(可选集)649.5.1.1分析目标649.5.1.2维度/指标649.5.1.3指标口径649.5.1.4使用对象649.5.1.5功能要求659.6GIS应用(可选集)659.6.1营业厅GIS展现(可选集)659.6.1.1分析目标659.6.1.2维度/指标659.6.1.3指标口径669.6.1.4使用对象669.6.1.5功能要求669.6.2特定市场分析GIS展现(可选集)669.6.2.1分析目标669.6.2.2维度/指标669.6.2.3指标口径679.6.2.4使用对象679.6.2.5功能要求679.6.3大客户通话变动轨迹GIS展现(可选集)679.6.3.1分析目标679.6.3.2维度/指标679.6.3.3指标口径689.6.3.4使用对象689.6.3.5功能要求689.6.4关键业务发展指标OLAP分析-GIS展现(可选集)689.6.4.1分析目标689.6.4.2维度/指标689.6.4.3指标口径699.6.4.4使用对象699.6.4.5功能要求699.6.5数据业务体验地域分布GIS展现(可选集)699.6.5.1分析目标699.6.5.2维度/指标699.6.5.3指标口径709.6.5.4使用对象709.6.5.5功能要求7010编制历史70QB-J-003-2006前言为适应电信市场的激烈竞争,经分系统综合目前各省市场营销热点需求,精炼出四个专项分析,为精细化营销提供深度支撑,主要包括:重入网分析、营销终端IMEI拆包分析、营销渠道分析和位置分析。
中国移动业务安全通用评估规范
中国移动业务安全通用评估规范2012年3月目录第1章概述 (3)第2章评估依据 (3)第3章框架及模型 (3)3.1 概述 (3)3.2 安全评估模型 (4)3.3 模型简介 (5)3.3.1 网络结构安全 (5)3.3.2 设备安全 (5)3.3.3 平台及软件安全 (5)3.3.4 业务流程安全 (5)3.3.5 终端安全 (7)3.3.6 安全管控 (7)3.3.7 应用指导原则 (8)第4章实施方案 (8)4.1 网络结构安全 (8)4.2 设备安全 (10)4.3 平台及软件安全 (26)4.4 业务流程安全 (31)4.4.1 内容安全 (31)4.4.2 计费安全 (34)4.4.3 能力开放接口安全 (36)4.4.4 客户信息安全 (37)4.4.5 业务逻辑安全 (41)4.4.6 传播安全 (44)4.4.7 营销安全 (45)4.5 终端安全 (48)4.6 安全管控 (51)4.6.1 系统安全 (51)4.6.2 人员安全 (53)4.6.3 第三方安全管理 (54)第1章概述为了加强中国移动业务安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务安全整体水平,降低业务安全风险,特制定本安全评估规范。
本评估规范针对各业务类型的信息安全水平进行客观、综合评价,促进业务安全管理工作的开展,为业务发展提供良好支撑。
本规范解释权归总部信息安全管理与运行中心。
第2章评估依据1.《中国移动业务安全评估标准》2.《中国移动账号口令管理办法》3.《中国移动设备通用安全功能和配置规范》4.《中国移动第三方管理办法》5.《中国移动帐号口令集中管理系统功能及技术规范》6.《中国移动业务支撑网4A安全技术规范》7.《中国移动客户信息安全保护管理规定》8.《中国移动安全域管理办法》第3章框架及模型3.1概述中国移动业务安全评估依据科学的安全风险评估方法,从业务所涉及的各类软硬件资产(网络、设备、通用平台及软件、业务实现程序、终端)出发,依据不同类型资产耦合度,划分为五个层次。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动应用商场业务规范安全分册Service Specification-Security Partition版本号:1、0、0xx-4-27实施xx-4-27发布中国移动通信集团公司发布目录前言II1范围12规范性引用文件13术语、定义和缩略语13、1术语、定义13、2缩略语24业务概述35业务安全需求35、1业务安全威胁分析35、2业务安全需求分析45、3安全方案相关说明46阶段一安全方案56、1方案总体思路56、2安全功能描述66、3安全方案描述66、3、1MM安装包上架准备66、3、2用户统一登录流程76、3、3软件下载与安装流程106、3、4体验式计费安全方案136、3、5安全目标实现分析177安全方案过渡策略188编制历史19前言本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定,是保障Mobile Market业务安全开展的依据。
本标准主要包括业务安全需求、阶段一用户统一登录安全方案、阶段一软件下载安全方案及阶段一体验式计费安全方案等方面内容。
本标准是Mobile Market业务系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1]QB-D-145-xx中国移动应用商场业务平台总体技术要求[2]QB-D-146-xx中国移动应用商场业务平台业务规范[3]QB-D-147-xx中国移动应用商场业务平台设备规范[4]QB-D-148-xx中国移动应用商场业务平台接口规范[5]QB-D-149-xx中国移动开发者社区应用开发要求[6]QB-E-051-xx中国移动应用商场客户端规范[7]QB-F-018-xx中国移动应用商场业务规范安全分册本标准需与《中国移动应用商场业务平台总体技术要求》、《中国移动应用商场业务平台业务规范》和《中国移动应用商场业务平台设备规范》配套使用。
本标准由中移技〔xx〕106号印发。
本标准由中国移动通信集团公司数据部提出,集团公司技术部归口。
本标准起草单位:中国移动通信有限公司研究院。
本标准主要起草人:江为强、刘斐、彭华熹。
1 范围本标准对Mobile Market业务开展过程中可能面临的安全风险提出解决方案并提出相应规定,是保障Mobile Market业务安全开展的依据。
供中国移动内部和厂商共同使用,为中国移动提供业务开展的依据。
本标准适用于GSM/GPRS/EDGE/TD-SCDMA网络环境。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
[1]QB-D-145-xx中国移动应用商场业务平台总体技术要求中国移动通信集团公司[2]QB-D-146-xx中国移动应用商场业务平台业务规范中国移动通信集团公司[3]QB-D-147-xx中国移动应用商场业务平台设备规范中国移动通信集团公司[4]QB-D-148-xx中国移动应用商场业务平台接口规范中国移动通信集团公司[5]QB-E-051-xx中国移动应用商场客户端规范中国移动通信集团公司[6]RFC2617HTTP Authentication: Basic and Digest Access AuthenticationIETF3 术语、定义和缩略语3、1 术语、定义术语/定义解释Mobile Market(MM)MM是聚合各类开发者及其优秀应用,满足多类型终端客户实时体验、下载和订购需求的综合商场。
作为移动梦网二次创业,MM主要销售各类手机应用和数字商品。
MM客户端MM 管理器是浏览和下载MM应用的终端软件MM应用经过MM测试认证中心进行测试认证后,可交付给用户使用的手机终端应用。
应用是可安装、可执行的软件实体。
MM商品商品的是为了统计不同货架上产品的销售情况。
产品在上架之后即成为商品,商品是具有货架信息的某个产品。
开发者开发者特指原创个人,包括内容开发者、应用开发者。
开发者在MM的商业模式中处于价值链的顶端,为MM提供应用或者内容作品。
测试认证中心来自于开发者或AP的应用提交到MM的测试认证中心进行合格性测试,测试合格后签署中国移动认证签名,具备引入MM销售的资格平台能力API由中国移动将业务网络能力进行封装后开放的业务能力API,提供给应用开发者、第三方应用提供商进行应用开发。
如LBS能力、短信能力、彩信能力、飞信IM能力等平台应用能力网关用以为平台能力API(如鉴权订购API)提供统一的入口,用以检查用户及应用程序的身份及屏蔽真实的平台鉴权订购接口计费鉴权DLL该实体运行在用户终端中,用以封装应用程序访问网络能力API的调用及代理应用程序与MM平台进行交互,实现MM平台对应用程序的计费鉴权及权限校验统一登录仅通过一次登录,即可实现对多个安全联盟平台或对多个安全联盟子系统的自动安全访问的安全机制用户令牌用以实现用户统一登录的关键凭证MM统一登录服务平台MM业务中用以发布用户令牌及统一代理平台做令牌核对的实体体验式计费先试用后计费MM安装包即经过MM平台安全处理(主要是指经过平台签名后进行加密的安装文件)的、cmc格式文件平台证书由CA颁发向平台颁发的X、509数字证书软件签名值采用平台证书对软件进行签名后得到的数据,用以保证软件下载安装前的完整性及保证软件的来源正确性软件安装文件应用软件安装文件明文3、2 缩略语缩略语英文全称中文含义OTAOver The Air 空中、无线方式WAPWireless Application Protocol 无线应用协议 APApplication Provider 应用提供商 SPService Provider 服务提供商 CPContent Provider 内容提供商WWWWorld Wide Web 万维网 HTTPHyperText Transfer Protocol 超文本传输协议 APIApplication Programming Interface应用程序接口 SMSShort Message Service短消息服务 BOSSBusiness Operation Support System业务运营支撑系统URLUniform Resource Locator统一资源定位DRMDigital Rights Management 数字版权管理 MMMobile Market移动超市SDNService Develepor Network开发者社区CACertificate Authority数字证书认证中心APPIDApplication ID应用软件唯一标识IDAPPKEYApplication KEY应用软件密钥RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统4 业务概述MM业务是聚合各类开发者及其优秀应用,具有端到端服务质量保障,丰富客户体验,满足多类型终端客户实时应用下载需求的场所。
MM业务以中国移动统一的用户服务界面,定制的客户端应用管理和开发环境,向手机用户提供全过程的业务服务质量。
来自应用开发者、应用提供商、品牌应用商店的手机应用将通过开发者社区的渠道,进入MM统一的产品库。
同时,MM平台也可以作为运营商原有业务平台(如Widget平台、通用下载平台、游戏平台等)的销售渠道。
按照MM业务是否需要访问在线内容,可分为离线MM业务和在线MM业务;按照MM业务的来源平台,可分为来自移动原有业务平台的MM业务和来自开发者社区SDN的MM业务。
MM业务支持的终端软件平台包括Symbian、Kjava、MTK、Windows Mobile、Linux、Android等。
根据业务的部署安排,将业务实施时间分为两个阶段:阶段一(即xx年5月17日到xx年底)和阶段二(即xx年12月以后)。
本规范是针对阶段一的安全需求进行制定。
5 业务安全需求5、1 业务安全威胁分析MM业务在运营过程中存在的多种安全威胁,主要存在如下六方面:(1)软件代码安全威胁:开发者提交的软件可能存在BUG、恶意代码、安全漏洞等,这些软件没有经过严格审查,可能危害到系统的安全及用户的利益;(2)软件来源身份假冒:用户下载的软件可能并非来自中国移动MM 平台,而用户可能被欺骗误以为来该软件来自MM平台或恶意声称该软件来自MM 平台。
如果因使用该软件赞成损失,MM平台需要承担不应承担的责任;(3)软件完整性被破坏:该安全威胁分为以下两种:1)主动攻击(直接篡改):软件在MM平台上、下载过程中、安装过程中、执行过程中可能被非法篡改,导致软件完整性被破坏。
最终用户使用的软件可能被植入恶意代码、破坏软件计费点或篡改版权。
直接损害了用户和运营商的利益;2)被动攻击(间接篡改):攻击者可能在平台上、下载过程中、终端存储区中非法获取软件安装文件,经过篡改后(主要是篡改版权),散布到互联网上或重新注册到MM平台上,从而直接损害软件开发者的版权;(4)数据被非法窃取:该威胁分为以下两点:1)软件被非法窃取:攻击者可能在平台上、下载过程中、终端存储区中非法获取安装文件,从而散布到互联网上或直接绕过计费环节,损害运营商的利益、开发者的版权;2)用户信息被非法窃取:如果攻击者在平台上、下载等环节窃取用户的个人信息,从而使用户的隐私和合法权益受到侵害。
此外,由于MM平台与其它多个平台(游戏平台、Widget平台、无线音乐平台等)进行镜像,用户与不同平台进行交互来提交身份标识和密码等信息,容易造成信息外泄;(5)内容类数据版权被破坏:攻击者通过非法获取内容类数据(音乐、视片、图片、动漫等)或安全数据、篡改权限信息等来破坏内容类数据的版权保护机制。
从而对内容提供者及运营商的利益造成侵害;(6)用户身份假冒:非法用户可能假冒合法用户的身份与MM平台进行交互,从而绕过计费或从事破坏系统安全的活动。
5、2 业务安全需求分析目标安全方案需要满足所有需求:图5、1 业务安全总体需求表其中,阶段一需求描述如下所示:第一点,软件的平台认证需求,即用户可确认软件是来自中国移动MM平台,且经过MM平台测试认证通过;l 下载前可查询:软件下载前用户可查阅该软件是否通过MM平台测试认证;l 下载后可验证:软件下载后用户可验证该软件是否来自MM平台,及检测完整性是否被破坏;l 纠纷后可仲裁:发生纠纷后通过仲裁中心可验证该软件是否来自MM平台,及检测完整性是否被破坏。
第二点,防止软件被非法拷贝或篡改的需求,即防止软件被非法拷贝以绕过计费环节,且防止软件完整性被破坏;第三点,统一登录需求,即用户可以通过一次性登录认证鉴权,就可以安全登录MM平台及其它多个平台(游戏平台、Widget平台、音乐平台等)或多个子系统,从而免去多次登录的繁琐过程。