移动办公及业务应用 安全保障白皮书 中国网络安全产业联盟 2020年3月 版权声明 本白皮书版权属于中国网络安全产业联盟，并受法律保护。 转载、摘编或利用其它方式使用本白皮书文字或者观点的，应 注明“来源：中国网络安全产业联盟”。违反上述声明者，联 盟将追究其相关法律责任。前言 随着移动互联网的快速发展，个人消费类移动应用大量 涌现并深深影响社会生活的同时，包括政府、金融、运营商、 能源、交通等在内的各行业原有的业务/办公等应用服务也 在逐步实现移动化，从传统面向PC终端提供办公和业务应 用服务，扩展到了面向智能移动终端（手机/平板）提供服 务，办公和业务应用移动化帮助行业机构摆脱时间和空间的 限制，随时随地按需要处理工作，从而实现效率提升和协作 增强。尤其在疫情期间，为了保障“一手抓抗疫，一手抓生 产”，移动办公和业务应用成为众多企事业单位抗击疫情、 复工复产的重要选择，为保护员工健康、稳定社会经济发挥 了重要作用。 行业业务移动化，经历了从配发设备（COPE）到自携设 备（BYOD）的使用模式变迁，也经历了从原生应用到原生/Web 混合应用的技术形态发展，形成了众多移动业务应用场景。 移动业务场景不仅面临着分布在云管端的多种安全威胁和 风险，而且同时面临着国家和行业的网络安全监管合规要求， 如何平衡好安全控制和用户使用体验，处理好安全控制和个 人隐私保护的关系，能对网络安全风险进行有效控制，并且确保符合监管合规的要求，是行业机构在业务移动化过程中 普遍关注的焦点问题。 为此，中国网络安全产业联盟联合北京指掌易科技有限 公司、中国移动通信集团有限公司等单位，共同编制了《移 动办公及业务应用安全保障白皮书》，旨在为行业业务移动 化进程中，面对移动业务场景安全保障需求，提供建设思路 的指导和借鉴。限于研究时间和编者能力，部分白皮书内容 难免存在纰漏，不足之处恳请业界同仁批评指正。 本白皮书梳理了移动办公及业务应用发展的现状，系统 分析了移动办公和业务应用面临的安全风险，结合当前国家 和行业的网络安全监管合规要求，提出了面向行业移动业务 场景进行安全保障建设的整体思路，从安全技术和安全管理 两个维度提供了可参考的控制措施体系设计，并介绍了主要 安全技术，最后对移动办公及业务应用安全发展趋势做出了 预测。本白皮书还选取了典型企业移动办公应用安全保障案 例进行了重点介绍。目录 一、移动办公及业务应用发展现状.................................................................................1 （一）移动互联网发展规模.....................................................................................1 （二）移动办公及业务应用发展现状.....................................................................4 （三）移动办公及业务应用的设备使用模式.........................................................5 二、移动办公及业务应用面临的安全风险.....................................................................7 （一）移动应用APP安全风险.................................................................................8 （二）移动应用通信安全风险...............................................................................10 （三）移动应用服务端安全风险...........................................................................11 三、移动办公及业务应用安全监管要求.......................................................................13 （一）国家标准.......................................................................................................13 1.等级保护2.0移动互联安全扩展要求.......................................................13 2.移动智能终端安全架构...............................................................................15 （二）行业标准.......................................................................................................16 1.金融行业.......................................................................................................16 2.电信行业.......................................................................................................16 3.公安行业.......................................................................................................16 4.司法行政行业...............................................................................................17 （三）企业标准.......................................................................................................18 1.中国移动.......................................................................................................18 2.中国电信.......................................................................................................19 3.中国铁路总公司...........................................................................................19 四、移动办公及业务应用安全保障实践.......................................................................19 （一）实践领域的发展变化...................................................................................19 1.个人应用APP加固.......................................................................................192.移动设备管理（MDM）和企业移动管理（EMM）.......................................20 3.BYOD模式的应用和数据安全......................................................................21 4.多模式融合方案...........................................................................................22 （二）典型行业移动办公及业务应用安全保障解析...........................................22 1.金融行业业务应用安全保障解析...............................................................22 2.政府机构移动安全保障解析.......................................................................24 3.物流行业移动办公安全保障解析...............................................................26 4.房地产服务行业移动办公安全保障解析......