移动办公及业务应用 m o c . 5 安全保障白皮书 b u h t i g 中国网络安全产业联盟 2020 年 3 月 版 权 声 明 本白皮书版权属于中国网络安全产业联盟，并受法律保护。 转载、摘编或利用其它方式使用本白皮书文字或者观点的，应 注明“来源：中国网络安全产业联盟”。违反上述声明者，联 盟将追究其相关法律责任。 h t i g b u m o c . 5 前 言 随着移动互联网的快速发展，个人消费类移动应用大量 涌现并深深影响社会生活的同时，包括政府、金融、运营商、 能源、交通等在内的各行业原有的业务/办公等应用服务也 在逐步实现移动化， 从传统面向 PC 终端提供办公和业务应 m o c . 5 用服务，扩展到了面向智能移动终端（手机/平板）提供服 务，办公和业务应用移动化帮助行业机构摆脱时间和空间的 限制，随时随地按需要处理工作，从而实现效率提升和协作 b u 增强。尤其在疫情期间，为了保障“一手抓抗疫，一手抓生 h t i g 产”，移动办公和业务应用成为众多企事业单位抗击疫情、 复工复产的重要选择，为保护员工健康、稳定社会经济发挥 了重要作用。 行业业务移动化，经历了从配发设备（COPE）到自携设 备（BYOD）的使用模式变迁，也经历了从原生应用到原生/Web 混合应用的技术形态发展，形成了众多移动业务应用场景。 移动业务场景不仅面临着分布在云管端的多种安全威胁和 风险，而且同时面临着国家和行业的网络安全监管合规要求， 如何平衡好安全控制和用户使用体验，处理好安全控制和个 人隐私保护的关系，能对网络安全风险进行有效控制，并且 确保符合监管合规的要求，是行业机构在业务移动化过程中 普遍关注的焦点问题。 为此，中国网络安全产业联盟联合北京指掌易科技有限 公司、中国移动通信集团有限公司等单位，共同编制了《移 动办公及业务应用安全保障白皮书》，旨在为行业业务移动 化进程中，面对移动业务场景安全保障需求，提供建设思路 m o c . 5 的指导和借鉴。限于研究时间和编者能力，部分白皮书内容 难免存在纰漏，不足之处恳请业界同仁批评指正。 本白皮书梳理了移动办公及业务应用发展的现状，系统 b u 分析了移动办公和业务应用面临的安全风险，结合当前国家 和行业的网络安全监管合规要求，提出了面向行业移动业务 h t i g 场景进行安全保障建设的整体思路，从安全技术和安全管理 两个维度提供了可参考的控制措施体系设计，并介绍了主要 安全技术，最后对移动办公及业务应用安全发展趋势做出了 预测。本白皮书还选取了典型企业移动办公应用安全保障案 例进行了重点介绍。 目 录 一、 移动办公及业务应用发展现状................................................................................. 1 （一） 移动互联网发展规模..................................................................................... 1 （二） 移动办公及业务应用发展现状..................................................................... 4 （三） 移动办公及业务应用的设备使用模式......................................................... 5 二、 移动办公及业务应用面临的安全风险..................................................................... 7 m o c . 5 （一） 移动应用 APP 安全风险................................................................................. 8 （二） 移动应用通信安全风险............................................................................... 10 （三） 移动应用服务端安全风险........................................................................... 11 三、 移动办公及业务应用安全监管要求....................................................................... 13 b u （一） 国家标准....................................................................................................... 13 1. 等级保护 2.0 移动互联安全扩展要求....................................................... 13 h t i g 2. 移动智能终端安全架构............................................................................... 15 （二） 行业标准....................................................................................................... 16 1. 金融行业....................................................................................................... 16 2. 电信行业....................................................................................................... 16 3. 公安行业....................................................................................................... 16 4. 司法行政行业............................................................................................... 17 （三） 企业标准....................................................................................................... 18 1. 中国移动....................................................................................................... 18 2. 中国电信....................................................................................................... 19 3. 中国铁路总公司........................................................................................... 19 四、 移动办公及业务应用安全保障实践....................................................................... 19 （一） 实践领域的发展变化................................................................................... 19 1. 个人应用 APP 加固....................................................................................... 19 2. 移动设备管理（MDM）和企业移动管理（EMM）....................................... 20 3. BYOD 模式的应用和数据安全...................................................................... 21 4. 多模式融合方案........................................................................................... 22 （二） 典型行业移动办公及业务应用安全保障解析........................................... 22 1. 金融行业业务应用安全保障解析............................................................... 22 2. 政府机构移动安全保障解析....................................................................... 24 3. 物流行业移动办公安全保障解析............................................................... 26 4. 房地产服务行业移动办公安全保障解析................................................... 28 m o c . 5 五、 移动办公及业务应用安全保障设计....................................................................... 30 （一） 移动办公及业务应用安全保障思路........................................................... 30 （二） 移动办公及业务应用安全控制体系.....