还剩3页未读,继续阅读
文本内容:
一、任务来源根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术移动智能终端安全技术要求及测试评价方法》由深圳信息通信研究院负责主办
二、编制原则本标准参考国标GB/T32927-2016《信息安全技术移动智能终端安全架构》确定终端安全需求,同时确立终端安全功能,最终形成安全技术要求及测试评价方法本标准同时依托《网络安全法》对第二十三条对网络产品的安全要求,意在加强移动智能终端自身安全防护能力,防范终端上的各种安全威胁,避免用户利益受到损害该标准的制定能够为移动智能终端用户、生产厂商、评估机构提供了一个多方认可的,通用的移动智能终端安全要求和评估准则,移动智能终端厂商可参考本标准进行移动终端的设计、开发,评估机构可依据本标准开展对移动智能终端的评估和检测,用户可以参考本标准的检测结果选择终端使用同时丁为使标准能够满足指导移动智能终端安全标准体系的建设,规范移动智能终端相关设计、开发、测试、评估等工作的科学开展,提高标准的可操作性,在标准制定过程中力求做到符合国家的有关政策法规要求、与已颁布实施的相关标准相协调、与移动智能终端相关的检测要求相适应;并适度考虑目前处于发展成熟过程中的技术,保持一定的前瞻性
三、主要工作过程
(一)标准制定的主要工作过程如下2017年6月,标准编制工作组开始启动,项目组调研、分析了国内外关于移动终端安全保护技术要求的编写方法,确定了标准的编制思路2017年7月,项目组研究了相关参考标准的文章组织结构、表达方法以及移动智能终端安全技术要求和测试评价的基本结构和特点,初拟了标准文稿的大纲2017年9月,召开项目组内部会议,与三星,华为,信通院单位的专家共同对草案多次进行商议,修改,形成《信息安全技术移动智能终端安全技术要求及测试评价方法》标准草案(初稿)2017年10月16日,提交草案到全国信息安全标准化技术委员会2016年第二次工作组“会议周”(WG6)讨论“会议周”(WG6组)对本文稿形成结论文稿按“会议周”(WG6)会议意见修改后可形成标准草案(第•稿)2017年12月13日,中国信息通信研究院组织专家对标准草案(第一稿)进行评审,会上项目组介绍了标准草案及意见的处理情况2017年12月,召开项目组内部工作会议,根据专家意见商讨,修改标准文稿,形成《信息安全技术移动智能终端安全技术要求及测试评价方法》标准草案(第二稿)2017年12月28日,提交WG6/CCSATC8WG2第52次会议讨论,会上项目组介绍了标准草案及意见的处理情况2018年1月〜3月,多次召开项目组内部工作会议,根据专家意见商讨,修改标准文稿,形成《信息安全技术移动智能终端安全技术要求及测试评价方法》标准草案(第三稿)2018年4月,全国信息安全标准化技术委员会2018年第一次会议周,在WG6组汇报标准项目进展情况,并根据会议意见,进行补充完善,形成征求意见稿
(二)标准征求意见的落实情况如下见《移动智能终端安全技术要求及测试评价方法》意见汇总处理表
四、标准的主要内容及确定内容的依据(―)本标准的主要内容《信息安全技术移动智能终端安全技术要求及测试评价方法》规定了通用的安全要求和测试方法,适用于移动智能终端涉及的设计、开发、测试和评估本标准规定了移动智能终端安全技术要求及测试评价方法,包括执行硬件安全、系统及软件安全、通信连接安全、用户数据安全,并对安全进行了分级本标准适用于各种制式的移动智能终端,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用本标准主要框架如下1范围性引用文件术语、定义和缩略语4移动智能终端安全架构智能终端安全技术要求5」概述一级安全技术要求二级安全技术要求三级安全技术要求6测试评价方法一级测试评价方法二级测试评价方法三级测试评价方法参考文献
(二)本标准在确定主要内容时主要基于如下几个方面1)移动智能终端安全架构移动智能终端安全架构主要包括5个部分硬件安全,系统安全,应用软件安全,通信连接安全,个人信息安全硬件主要包括基础硬件模块、硬件接口和外设;系统主要包括硬件驱动、软件系统内核、各种函数库、基础服务等;应用软件主要包括运行于系统之上的各种本地及Web应用,包括消费类应用,行业应用等各类应用软件;通信连接主要包括网络接入、通信过程、外围接口;个人信息主要包括用户数据、终端采集数据2)移动智能终端的安全目标根据移动终端的安全问题定义,提出相应安全目标硬件安全目标是保证终端内部芯片数据存储和运算的安全性,能够对抗密码分析,侧信道攻击等破坏数据保密性,完整性的安全威胁系统安全目标是保证符合终端使用场景的身份权限管理和访问控制,能够正确地响应授权操作和处理异常行为,保证系统数据的保密性和完整性,保证系统能按照正常预期运行软件安全B标是保证运行在操作系统上的应用软件具备来源标识和保密性完整性防护措施,可以对抗逆向分析,保证敏感行为可以得到控制通信连接安全目标是保证终端所采用的无线或有线传输数据时,采取必要的加密和完整性校验手段,防止认证,标识,口令等业务通信数据在传输过程中被获取甚至篡改个人信息安全目标是保证终端产生的个人信息在收集,使用,传输,删除过程中不被非法获取,不被非法篡改,保证数据在生命周期各环节的安全性3)安全技术要求根据安全目标,确定移动终端的安全功能要求,包括硬件安全,操作系统安全,应用软件安全,通信连接安全,个人信息数据安全等硬件安全包括芯片设计安全,安全运行区域,安全启动,防止物理攻击,安全属性,根密钥生成与保护操作系统安全包括完整性校验,认证签名机制,标识与鉴别,访问控制,API权限控制,安全域隔离,日志审计,系统安全性,升级更新,恶意代码防范应用软件安全包括应用软件来源,软件签名认证,通信功能调用安全,组件访问控制升级更新,应用软件漏洞,应用软件代码安全,最小化权限通信连接安全包括网络接入安全,外围接口安全,数据传输安全个人信息数据安全包括个人信息数据收集,个人信息数据存储,个人信息数据加工,个人信息数据转移,个人信息数据删除
五、与相关法律法规及国家有关规定、国内相关标准的关系1)与相关法律法规及国家有关规定的关系随着移动智能终端、新型终端的广泛应用以及功能的不断扩展,其使用过程中的安全问题被越来越多的用户所关注近年来,硬件破解、恶意吸费、隐私泄露、信息诈骗等安全事件频发,使用户对移动智能终端的安全性产生顾虑,进而影响到移动智能终端和移动互联网应用的发展有必要制定标准,通过提高移动智能终端的自身的安全防护能力,防范移动智能终端上的各种安全威胁,避免用户的利益受到损害,同时防止移动智能终端对移动通信网络安全产生不利影响《中华人民共和国网络安全法》于2016年11月颁布,将于2017年6月1日正式实施其中第二十三条要求“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测”,移动智能终端、物联网终端、车载终端等各类终端设备作为消费者使用网络服务的重要产品,有必要制定标准来规范其安全要求与测试评价方法国家网信办在2017年2月4日发布了《网络产品和服务安全审查办法(征求意见稿)》其中第九条要求“金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作”从国家从面对移动终端设备等网络安全产品或服务提出了评估审查要求,因此制定一部针对移动智能终端设备网络安全要求与测试评价方法的标准迫在眉睫2)与相关国际标准的关系无
六、有关问题的说明本标准规定了移动智能终端安全技术要求和测试评价方法,适用于移动智能终端涉及的设计、开发、测试和评估建议本标准以推荐性标准发布现阶段移动智能终端的评估、检测由国家批准的检测机构实施,建议相关机构及行业主管部门依据本标准制定相关行业标准并执行
七、有关专利的说明本标准不涉及专利《信息安全技术移动智能终端安全技术要求及测试评价方法》编制说明《信息安全技术移动智能终端安全技术要求及测试评价方法》编制说明《信息安全技术移动智能终端安全技术要求及测试评价方法》编制说明《信息安全技术移动智能终端安全技术要求及测试评价方法》编制说明。