《信息安全技术 电子政务移动办公安全技术规范》编制说明

一、任务来源

2013年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主

任办公会讨论通过，研究制定《信息安全技术电子政务移动办公安全技术规范》

国家标准,国标计划号：20141137-T-469。该项目由国家信息中心负责牵头研制，

华为技术有限公司、深圳市雁联移动科技有限公司、北京瑞星科技股份有限公司、

山东乾云启创信息科技有限公司、北京三未信安科技发展有限公司、中兴通讯股

份有限公司、北京国信灵通网络科技有限公司、北京壹人壹本信息科技有限公司、

等单位参与。标准文本已经过多次征求专家意见，标准名称调整为《信息安全技

术电子政务移动办公系统安全技术规范》。

二、任务背景

移动通信和互联网的结合推动了移动互联网的发展，WIFI的广泛铺设、4G

时代的开启移动终端设备的凸显，以及IT业云计算、虚拟化技术、远程桌面技

术的应用为移动办公提供了基本技术条件，政府政务办公、公共服务、公共管理

已成为移动办公的紧迫需求。政务部门办公人员更期待摆脱时间和空间束缚，在

任何时间、任何地点通过移动终端进行业务处理。电子政务移动办公作为一种灵

活的、电能消耗极少的低碳办公模式将成为构建高效服务型政府的必然趋势。IDC

预计随着智能手机的普及以及应用功能的增加，移动办公的应用会越来越广泛，

许多专业人才将其应用于工作中，IT分析师预计2015全球将有13亿雇员应用

移动办公，——占全球总劳动力的37.2%。但同时，由于移动办公的特性，也给

电子政务带来了信息外泄、网络瘫痪等安全风险。

美国移动办公的快速兴起是基于大公司主导和应用，从而带动整个美国都

向移动办公的模式进化。美国移动办公的前提是信任，大公司充分相信那些在分

公司只需要偶尔去办公室工作的人的工作态度和效率。美国公司使用的是专业的

办公软件平台——企业社交平台，大公司在总部之外只需要设置一个安装着全套

虚拟办公服务的地点，就可以最大限度地调动那个分部的人力作用。美国SOHO

的发展是对大生产、大服务、大消费经济模式的一种微调和深化。美国政府问责

局(GovernmentAccountabilityOffice，GAO)向美国国会提交了关于移动设备

安全状态的报告，美国国家标准技术研究院(NIST)2013年发布了NISTSP

800-124:2013企业移动设备安全管理指南：功能要求、NISTDraftSP800-164:

1

2013移动设备硬件层次安全指南、GAO-12-757更好地实施移动设备安全控制，

对移动设备的安全管理起到指导作用。

英国沃达丰公司的研究表明，截至2011年底，43%的企业接受了移动办公，

随着4G服务的推出，超快的网速使得许多公司、单位、企业乐于投资移动办公，

诸如手机、智能手机、移动设备等，尽享快速的数据传输、可靠的网络连接和更

多的应用功能。GoodTechnology公司的研究表明，93%的员工有在工作中至少

离开办公室一段时间的情况，如果他们拥有移动设备，能够连接上网，这样就可

以有效利用工作时间，比如他们可以在外出中，或在另一座城市完成当日的工作。

伦敦奥运会期间，移动办公极大地改善了业务连续性。据伦敦商会统计，奥运会

期间，500万工作人员中约有150万人在家工作，极大地缓解了交通压力，也使

他们免受通勤上班的辛劳，还提高了工作效率。

全球无线互联电子政务最发达的国家日本，专门制定了“无处不在”

（u-Japan）的国家信息化战略。u-Japan政策则不仅要保持有线网络的发展，

而且要发展无线网络，如移动网络和无线局域网（LAN），数字化广播系统和传输

网络。日本的3G、4G、NFC和二维码非常发达，1亿多人口有4000万人使用3G

服务，日本企业和政府部门纷纷在建立专门的手机网站。手机上网在日本已经成

为应用的主流。

据思杰公司提供的调查报告显示，预计到2020年，全球89%的企业都将采

用移动办公的工作方式，目前有24%的受访者表示已经全面部署了移动办公，另

有38%将扩大移动办公的部署规模；还有21%的受访者表示预计在未来两年内实

现移动办公。这也就意味着移动办公市场从2012年的24%迅猛上升到83%，年复

合增长率高达86%。据这份报告显示，北美地区的移动办公市场较为领先，90%

的企业表示已经部署或正在扩大部署移动办公解决方案，紧随其后的是中国

(85%)，之后则是巴西、印度、英国、法国和德国，其百分比都超过了70%。

但是根据2010年趋势科技针对美国、英国、德国与日本1,600位企业终端

使用者的调查显示，大部分员工对公司整体安全状况的态度既不够谨慎，也显得

矛盾。多数员工在上班时间流连社交网站，甚至有十分之一员工曾经躲避公司的

安全措施，以存取某些管制的网站。大约50%的受访者坦承曾经透过(不安全的)

网页式邮件帐号传送公司内部信息。美国与英国的使用者比日本的使用者容易承

2

认自己曾泄漏公司机密信息，他们也承认知悉何种类型的公司信息属于机密。

中国的移动办公经历了离线式移动办公、VPN有线移动办公、无线移动办公

三个阶段，CDMA和GPRS移动通讯技术的出现为移动办公带来了质的飞跃，移动

办公才正式进入了无线时代。近年来，随着各种移动厂商产品的出现，电子政务

领域也面临强烈的移动办公需求，我国逐步认识到移动办公安全规范对于加强政

务领域信息安全保障工作的重要作用。我国急需在分析我国现有移动厂商产品、

移动办公实际需求和应用的基础上，结合我国电子政务领域的信息安全要求，研

究制定符合我国国情的国家推荐性标准，提出我国电子政务移动办公系统的整体

安全框架，切实落实对于移动终端、网络传输、移动接入、服务端安全的相关技

术要求，为移动政务系统及其安全体系的运行管理和评估提供标准支撑，实现我

国电子政务移动办公系统建设的标准化。

三、编制原则

基于调研事实：标准的编制以对国内外移动办公标准或规定的文献资料查

阅为基础，以对国内外相关移动办公产品的功能与性能调研情况为基础。

准确理解分析：为了保证对基础材料的准确理解，标准编制组对国内不同

行业尤其是政府移动办公应用情况和技术实施方案进行了研究，尤其对其安全

架构进行了深入分析探讨。

具备远瞻指导：在标准的编制过程中，标准编制组从最易理解的工程角度

将移动政务系统进行分解，结合安全风险描述其安全框架，力求每部分内容可行

可落地，对于不同业务的移动政务系统具有统一的指导性。

搭建原型验证：为了验证标准文本的准确、可行与可落地，标准编制组以

标准中的安全框架为基础，选择文本中增强要求采用移动终端+VPN认证+虚拟化

前置+服务端组合搭建了移动政务系统原型，切实进行移动办公的体验，并结合

体验效果迭代调整标准内容。

四、主要工作过程

1、2013年10月，《电子政务移动办公安全技术规范》国家标准编制任务正

式下达，我单位在原标准草案V1.0版本的基础上，进一步研究电子政务移动办

公的方法和安全技术。对国际国内移动办公相关标准、国内移动办公相关产品、

国内相关移动办公方案进行调研，完成了《电子政务移动办公安全技术规范》

3

草案V2.0版本。

2、2014年5月16日下午，我单位组织了该标准的启动及工作研讨会。公

安部第三研究所任卫红研究员、中国移动通信研究院杨光华研究员、北京工业

大学赵勇副教授、中国信息安全测评中心张宝峰、联想集团陈重、中国电信集

团杨光、华为技术有限公司黄敏、山东乾云启创信息科技有限公司张辉、北京

瑞星信息技术有限公司刘文杰等出席了本次会议，并对《电子政务移动办公安

全技术规范》草案V2.0版本进行了充分讨论。会后形成了《电子政务移动办公

系统安全技术规范》草案V3.0版本。

3、2014年7月25日，我单位组织召开了“《电子政务移动办公系统安全技

术规范》专家研讨会”。会上，专家组对《电子政务移动办公系统安全技术规范》

草案V3.0版本进行了讨论，提出需进一步明晰移动终端、安全框架等概念、范

围，以及标准内容结构。会后编制组进行认真修改，完成了《电子政务移动办

公系统安全技术规范》草案V4.0版本。

4、2014年8月开始，我单位开展研发移动政务办公系统原型的工作，对照

标准增强要求完成由移动终端、VPN隧道、虚拟化平台、服务端共同组成的原

型实践工作，实现了移动应用和数据仅在移动终端显示而不落地，通过VPN加

密隧道传输，并通过虚拟化平台的应用前置访问服务端应用。

5、2014年10月，结合移动政务系统原型修改的《电子政务移动办公系统

安全技术规范》V4.0.1版本完成。标准编制组多次邀请了国家信息中心内部精

通信息安全VPN、CA认证、虚拟化领域的相关博士进行文本内容的探讨与分析，

同时也邀请并听取了部分移动厂商的意见，形成了《电子政务移动办公系统安

全技术规范》V4.0.2版本。

6、2015年1月8日，我单位再一次组织召开《电子政务移动办公系统安全

技术规范》草案V4.0.2版本的研讨会，同时为专家组演示了移动办公系统原型。

会上专家组结合原型针对该4.0.2版本提出“电子政务移动办公系统”的提法

应替换为“移动政务系统”，并且应加入说明安全模型的特定条件。会后编制组

认真按照专家意见进行了调整，将标准名称改为《移动政务系统安全技术规范》，

并在文本中加入了移动政务系统安全风险因素的分析，以提高标准的落地性。

7、2015年3月27日，我单位组织召开《移动政务系统安全技术规范》草

4

案V5.0版本的研讨会。会上专家组讨论了“移动政务系统”与“电子政务移动

办公系统”的区别，以及标准文本的前置条件--移动办公系统的安全风险表达

方式。专家组认为，标准名称为“电子政务移动办公系统安全技术规范”更符

合本标准的目的和实际内容，并且安全风险的表达应更简洁明确。会后编制组

按照专家意见进行了名称调整，并重新调整了系统安全风险的描述方式，形成

《电子政务移动办公系统安全技术规范》6.0版本。

8、2015年5月份至6月份，安标委工作组单位包括上海三零卫士信息安全

有限公司、绿盟科技公司、北京江南天安科技有限公司、解放军信息安全测评

认证中心等对《电子政务移动办公系统安全技术规范》6.0版本进行了投票工

作，四家单位均赞成6.0版本内容，同意该版本提出的电子政务移动办公系统

安全框架和安全要求，没有提出大的修改意见，具体意见包括运行环境隔离时

的防截屏、身份认证的生物识别特征、移动应用支撑与固定办公系统的前后逻

辑有误、个别语句的描述或编号不正确等。编制组在认真梳理后，采纳了67%

的工作组反馈意见，对6.0版本进行了调整，形成《电子政务移动办公系统安

全技术规范》（征求意见稿）。

五、主要内容

本标准基于电子政务移动办公系统的安全风险，提出电子政务移动办公系

统的安全框架，规定了移动终端安全、信道安全、移动接入安全、服务端安全

应满足的基本技术要求，其中，增强要求可根据政务系统安全要求选择使用。

本标准适用于电子政务移动办公系统的安全设计、产品研发、工程实施和

运行管理，也可作为对电子政务移动办公系统进行安全测评的依据。非涉密电

子政务系统自身的安全防护按照国家等级保护相关规定执行，涉密电子政务系

统的移动办公按照国家保密局的规定执行。

基于对电子政务移动办公系统的安全风险分析，电子政务移动办公系统的

安全技术框架应包括移动终端安全、信道安全、接入安全和服务端安全四部分，

涵盖了对移动终端、信道、接入和服务端的具体安全技术要求，如下图所示。

5

（1）移动终端安全：移动终端在基本配置上应根据政务办公系统的安全级

别支持如下安全客户端的安装和运行，包括VPN客户端、MDM客户端、MAM客户

端和MCM客户端等，支持软硬件形式的数字证书的安装与使用，具备身份认证、

数据加密存储、安全防护、运行环境隔离等安全功能。

（2）信道安全：通过构建VPN隧道满足移动终端从公共无线网接入政务办

公网络的传输安全技术要求。

（3）接入安全：在政务办公网络边界侧构建接入区，以满足移动终端安全

接入要求，以及与政务办公网核心服务区的安全隔离。接入区在基本安全配置

上包括接入认证网关、MDM平台和应用前置，以支持移动设备的接入认证、安

全管理、以及后台政务办公系统的安全隔离和前置功能，如虚拟化前置、页面

适配、接入区与核心区的数据交换等。

（4）服务端安全：在政务办公网的核心服务区加强对移动应用和移动数据

的安全控制管理，基本安全配置包括对移动应用进行控制管理的MAM平台、对

移动内容进行控制管理的MCM平台。

标准针对上述安全框架的四个组成部分，分别做了细化的安全技术要求。

六、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

该标准是一种规范要求，用于指导组织的电子政务移动办公系统及其安全

体系的设计、研发、实施和运行管理，也可作为对移动政务系统进行安全测评的

依据，旨在通过该规范，保障移动办公的安全，使得组织移动办公的安全目标和

业务目标一致