T-EMCG 003—2014 企业移动智能终端应用开发、安装、运行管控机制(指南)

团体标准 T/EMCG 003-2014 企业移动智能终端应用开发、安装、运行管控机制(指南) APP developing ,installing and r unning management and control mechanism(guideline) for enter prise mobile smart device 2015-01-24 实施中关村网络安全与信息化产业联盟发布 2015-01-24 发布 ICS 35.020 I 6599 T/EMCG 003-2014 I 目次目次 ......................................................... ....................... I 前言 ............................................................ ...................... II 引言 ............................................................ ..................... III 1 范围 .......................................................... ....................... 1 2 规范性引用文件 ..................................................... .................. 1 3 基本要求 ........................................................ ..................... 1 3.1 通用 APP ............................................................... ......... 1 3.1.1 术语定义 .................................................... ............... 1 3.1.2 基本流程 .................................................... ............... 1 3.2 定制 A PP .............................................................. .......... 3 3.2.1 术语定义 .................................................... ............... 3 3.2.2 基本流程 .................................................... ............... 3 3.3 企业专用证书定制 A PP ............................................................ 4 3.3.1 术语定义 .................................................... ............... 4 3.3.2 基本流程 .................................................... ............... 4 附录 A :EMCG 应用软件审核指南 ........................................................ 5 附录 B :EMCG 应用软件开发（安全）指南 ............................................... 10 T/EMCG 003-2014 II 前言移动智能终端的发展为企业移动信息化提供了广阔的空间。由于Android系统开放性，应用软件（App）安全问题成为阻碍企业移动信息化发展的主要因素。现有的App市场App开发审核不规范，软件签名随意，各种不良目的的木马病毒程序传播难以控制。本《指南》为改善Android移动终端App生态安全环境，规范企业App生命周期管理而制定。本《指南》定义了通用App、定制App、企业专用证书定制App开发、发布的基本流程；定义了独立的“企业App服务中心”，建立安全可控的企业级Android系统应用软件开发、销售生态系统，保证企业应用软件安全运行。 2015年1月，本《指南》通过EMCG审议。参与本《指南》起草制定的单位：中关村网络安全与信息化产业联盟华为技术有限公司联想集团北京小米科技有限责任公司奇虎360科技有限公司北京元心科技有限公司安天实验室中国信息通信研究院北京中油瑞飞信息技术有限责任公司杭州安恒信息技术有限公司联信摩贝软件(北京)有限公司中兴通讯股份有限公司本《指南》起草人：王克中关村网络安全与信息化产业联盟企业移动计算工作组（EMCG）王梓华为技术有限公司刘长山中兴通讯股份有限公司石晓宏奇虎360科技有限公司张建国联信摩贝软件(北京)有限公司黄晟北京中油瑞飞信息技术有限责任公司潘宣辰安天实验室 T/EMCG 003-2014 III 引言随着 4G、5G 移动网络及智能移动终端技术快速发展，使用移动互联技术处理业务信息已成为政府提高办事效率，企业产业转型升级的重要手段。然而，移动应用软件安全问题始终影响着我国企业和政府移动信息系统的建设和使用。为保障企事业单位移动信息化建设顺利推进，摆脱移动应用软件安全性难以保证的困局，建立一个移动软件管控机制势在必行。 2014年，中关村网络安全与信息化产业联盟企业移动计算工作组（EMCG）联合华为、联想、中兴、小米、奇虎360、联信摩贝、安天实验室、e人e本、国信灵通等企业，开展本标准制定。《指南》编制原则 1.实用性。标准要结合国家有关政策法规以及行业发展实际，实施的可操作性强； 2.前瞻性。标准要能够反映产业技术发展的先进性，能够引领产业市场的技术进步； 3.滚动性。在保证标准严肃性和稳定性的同时要为标准升级留有余地。 T/EMCG 003-2014 1 企业移动智能终端应用开发、安装、运行管控机制(指南) 1 范围智能终端厂商、应用开发者、企业应用软件服务商，使用本《指南》规范企业移动应用软件（App）的生命期管理。包括软件开发准入、软件开发、软件签名及验证、软件审核、软件发布、软件安装及运行监管等。 2 规范性引用文件（略） 3 基本要求企业移动计算APP是指移动智能终端出厂后由用户下载安装使用的App，包括通用APP、定制App、企业专用证书定制App。 3.1 通用 APP 适用于企业使用的通用功能的App（如计算器、日历等）。 3.1.1 术语定义官方机构（Off icial Authority），社会公认的组织，可以是政府机构，也可以是社会团体、企业、联盟、协会等实体。 APP开发者（APP Developer），企业移动智能终端应用软件开发组织。 EMCG企业APP服务中心（Enterpris e Software Services ESS），遵照EMCG标准建立的为企业移动终端提供软件管理的服务平台。软件市场APP商店（Softwar e Market APP Shop），面向社会的移动终端软件商店。 EMCG终端（EMCG Smart Mobile Device），符合EMCG 《企业移动终端安全等级产品规范（T/EMCG 001-2014）》的移动智能终端。 EMCG-App，经官方机构颁发或授权数字证书签名的App。 App测试证书(Test Certificate)，官方机构颁发的，用于开发者进行APP开发调试的数字证书。 App发布证书（Publish Certificate），官方机构颁发的，用于开发者进行APP发布的数字证书。官方机构证书（Official Authority Certificate），官方机构数字证书，用于EMCG-App发布。 3.1.2 基本流程 T/EMCG 003-2014 2 1 2 3 4 开发申请 APP 开发者向官方机构提交软件开发申请。批准官方机构对开发者进行资质审核，通过审核后官方机构发给开发者 APP 测试证书和AP P发布证书。（开发者私钥自己保存，公钥发给官方机构。）开发开发者开发企业移动App软件。开发过程中开发者使用App 测试证书（对应的私钥）对开发的软件进行签名，以便开发调试。审核 ①开发者完成软件开发后向官方机构提交，提交的软件必须用发布证书（对应的私钥）签名。 ②官方机构将按照《EMCG 应用软件审核指南》对提交的软件进行审核。发布经官方机构签名的 EMCG-App 默认在EMCG