基于移动互联网的企业移动应用平台服务指标要求和评估方法

YD/TXXXXXXXX3基于移动互联网的企业移动应用平台服务指标要求和评估方法本文件规定了基于移动互联网的企业移动应用平台的系统构架，规定了功能、可靠性、可维护性和安全等方面的相关指标要求和评估方法。本文件适用于企业移动应用平台的评估、验收等。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T22239-2008信息安全技术信息系统安全等级保护基本要求3术语、定义和缩略语3.1术语和定义以下术语和定义适用于本文件。3.1.1企业移动应用平台mobileenterprisoapplicationplatform企业移动应用平台(OIEAP)是为企业提供一个用于移动应用开发与支撑的综合能力平台，它的功能可以覆盖移动应用的全生命周期，包括应用开发、数据与服务集成、应用部署分发和运维管理等阶段。以下缩略语适用于本文件。AES:高加密标准(AdvancedEncAPI:应用程序接口(ApplicationProCRM:客户关系管理(CustonerRelationshipManagement)EAS:企业应用商店(EnterpriseApplicationStore)EM:企业移动化管理(EnterpriseMobileManagenentHTML:超文本标记语言(HyperTextMark-upLanguage)IDE:集成开发环境(IntegratedDevelopmentEnvironmenM:即时通信，指在网络上建立的实时通信服务(InstantMessaging)MCM:移动内容管理(MobileContentManagement)MDM:移动设备管理(MobileDeviceManagement)MD5:信息摘要算法第五版(lessage-DigestAlgorithn5x)MEAP:企业移动应用平台OMobileEnterpriseApplicationPlatform)MUM:移动用户管理(MobileUserManagenent)0A:移动办公协同应用软件(OfficeAutomation)SDK:软件开发工具包(SoftwareDevelopmentKit)4企业移动应用平台技术架构企业移动应用平台的架构如图1所示，由于企业原有的业务系统和完全基于企业移动开发平台的移动应用共处一个平台，因此，MEAP平台从开发、部署、分发和运维等方面需要对企业移动应用平台施行统一标准。企业移动应用平台通常具备三个部分集成开发环境、后端服务组件、移动化管理系统。集成开发环境：具有跨平台开发能力，包括集成开发环境(IDE):模板、UI组件库、模拟器、调试测试，支持一次开发，多平台多终端运行；后端服务组件：具有后端集成能力，无缝的将企业各类业务服务组件集成：移动化管理系统：具有对设备、应用、内容、用户的移动化管理的能力：此外，MEAP平台还需要通过管理接口对接企业移动性管理平台(DNM),通过应用接口对接企业原有的应用层应用，如邮件、0A、CRM、IM等企业应用。企业移动应用平台(MEAP)企业移动化管理(EMM)集成开发环境企业移动应用平台(MEAP)企业移动化管理(EMM)集成开发环境m动后图1企业移动应用平台架构5企业移动应用平台功能5.1集成开发环境验证集成开发环境是否具备以下功能：a)集成开发环境支持跨平台开发语言(如HTM、CSS、JavaScript)开发移动应用；b)具有版本控制管理工具，对移动应用代码的集中管理，采用版本分支并提供插件统一资源，为所有移动应用进行集中服务，提供移动应用底层引擎管理和项目人员管c)具有统一的跨平台API编程接口，提供统一的跨平台标准API开发应用：提供加密传d)具有统一的开发环境，基于平台提供的开发环境，无需针对不同移动0S重新下载、安装相应的开发环境，无需重新学习不同开发环境的使用和操作e)具有代码框架和工具库，提供在多个移动操作系统环境下验证过的UI、工具库和模板，减少重复开发，缩短应用开发的时间；f)具备测试工具，支持应用跨平台的自动化测试，验证应用在各种类型终端上运行的功能完备性、界面适配性和可靠性：(可选)g)具有仿真环境，提供仿真的终端模拟环境，便于调试应用；h)具有跨平台的打包编译工具，可以本地或远程构建多种操作系统下的应用安装包：j)支持代码错误定位。5.2移动化管理系统验证移动化端管理系统是否具备以下功能：a)支持应用在各渠道的分发和管理，如各Android应用商店等：b)支持应用的版本升级：c)支持移动终端绑定和远程控制，如越狱、远程擦除数据、远程锁定、恢复出厂设置、终端轨迹追踪等；d)支持用户的权限管理，按照用户类别进行授权，如财务、人事等分类：)支持统计分析功能，如平台中设备、应用的数量统计：)支持Android应用的静默安装、卸载(可选)5.3后端服务组件验证后端服务组件是否具备以下功能：a)支持第三方服务提供商的后端服务组件扩展：b)可以提供其支持的主要后端服务组件信息，包括后端服务组件的名称、功能、使用说明等，例如移动消息推送、应用安全加固、融合通信、身份认证等。6企业移动应用平台可靠性企业移动应用平台的可靠性包括：a)支持系统自动备份；备份内容包括数据，配置信息b)系统备份机制：说明系统备份的方式有哪些，定期备份(时间),支持自定义备份。7企业移动应用平台安全性企业移动应用平台的安全性引用GB/T22239-2008第三级基本要求中的部分内容，并增加相关安全性指标，包括；a)身份鉴别：1)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别，如用户名与密码、手势认证、二维码认证、短信认证、消息推送认证等方式；2)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等3)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；1)保障移动应用本地缓存数据的安全，为缓存的数据提供加密支持，并控制本地2)移动应用的代码安全，提供移动应用代码加密打包的功能。提供移动应用证书认证方式，安装有企业颁发的证书的应用方可接入系统；3)应用接入安全，对移动应用接入管理，通过控制接口访问的方式控制移动应用的接入，有权限的应用能在指定的时间内接入系统；c)通信完整性，应采用密码技术保证通信过程中数据的完整性；d)通信保密性，支持应用证书进行HTTPS访问，保证客户端和服务器之间的通信数据是加密的，提供多种引擎内置对称加密库；e)主机安全，提供多种服务端部署策略，提供高安全性、高可靠性部署方案，提供防)用户信息保护机制：1)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计：2)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结3)无法删除、修改或覆盖审计记录。8企业移动应用平台可维护性企业移动应用平合的可维护性包括：a)支持在线更新，包括代理软件更新。客户端软件更新，在线应用更新等：b)支持运营监控，对移动应用、设备情况以及接口调用情况进行监控，并记录日志：c)支持数据分析，提供移动应用的报表统计分析，包含移况、应用下载使用情况等。9即时通信开放平台评估方法企业移动应用平台的评估采用信息披露的机制