TAF-WG4-AS0015-V1.0.0-2018 移動(dòng)智能終端安全能力技術(shù)要求

1、電 信 終 端 產(chǎn) 業(yè) 協(xié) 會(huì) 標(biāo) 準(zhǔn)TAF-WG4-AS0015-V1.0.0:2018移動(dòng)智能終端安全能力技術(shù)要求Technical requirements for security capability of smart mobile terminal2018 - 03- 01 發(fā)布2018 - 03- 01 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā) 布目次 HYPERLINK l _TOC_250002 前言II HYPERLINK l _TOC_250001 引言III范圍1規(guī)范性引用文件1術(shù)語(yǔ)、定義和縮略語(yǔ)1術(shù)語(yǔ)和定義1縮略語(yǔ)2移動(dòng)智能終端安全能力框架及目標(biāo)2移動(dòng)智能終端安全能力框架2移動(dòng)智能終端

2、安全目標(biāo)2移動(dòng)智能終端安全能力技術(shù)要求3基本要求3移動(dòng)智能終端硬件安全能力要求4移動(dòng)智能終端操作系統(tǒng)安全能力要求4移動(dòng)智能終端外圍接口安全能力要求6移動(dòng)智能終端應(yīng)用層安全要求7移動(dòng)智能終端用戶數(shù)據(jù)安全保護(hù)能力要求9移動(dòng)智能終端功能限制性要求10移動(dòng)智能終端安全能力分級(jí)107.1 概述107.2 安全能力分級(jí)11附錄 A（資料性附錄） 安全能力等級(jí)標(biāo)識(shí)13 HYPERLINK l _TOC_250000 參考文獻(xiàn)14前言本標(biāo)準(zhǔn)按照 GB/T 1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由電信終端產(chǎn)業(yè)協(xié)會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院、中國(guó)移動(dòng)通信集團(tuán)公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、

3、浙江螞蟻小微金融服務(wù)集團(tuán)有限公司、深圳酷派技術(shù)有限公司。本標(biāo)準(zhǔn)主要起草人： 姚一楠、潘娟、楊正軍、國(guó)煒、傅山、翟世俊、焦四輩、王宗岳、孫龍、汪薇薇、詹維驍、謝春霞、袁杰、邱勤、周晶、落紅衛(wèi)、葉瑞權(quán)。引言隨著移動(dòng)智能終端的廣泛應(yīng)用以及功能的不斷擴(kuò)展，其使用過(guò)程中的安全問(wèn)題被越來(lái)越多的用戶所關(guān)注。近年來(lái)，惡意吸費(fèi)、竊聽(tīng)、竊錄、位置信息泄露等安全事件頻發(fā)，使用戶對(duì)移動(dòng)智能終端的安全性產(chǎn)生顧慮，進(jìn)而影響到移動(dòng)智能終端和移動(dòng)互聯(lián)網(wǎng)應(yīng)用的發(fā)展。本標(biāo)準(zhǔn)的制定，旨在通過(guò)提高移動(dòng)智能終端的自身的安全防護(hù)能力，防范移動(dòng)智能終端上的各種安全威脅，避免用戶的利益受到損害，同時(shí)防止移動(dòng)智能終端對(duì)移動(dòng)通信網(wǎng)絡(luò)安全產(chǎn)生不利

4、影響。本標(biāo)準(zhǔn)的基本原則是：移動(dòng)智能終端上發(fā)生的行為和應(yīng)用要符合用戶的意愿。本標(biāo)準(zhǔn)并不規(guī)定具體的實(shí)現(xiàn)方法和措施，以利于創(chuàng)新和發(fā)展。本標(biāo)準(zhǔn)從硬件安全能力要求、操作系統(tǒng)安全能力要求、外圍接口安全能力要求、應(yīng)用軟件安全要求、用戶數(shù)據(jù)安全保護(hù)能力要求5個(gè)層面對(duì)移動(dòng)智能終端的安全能力提出了要求，并從基本的安全保障、實(shí)現(xiàn)難度、特殊安全能力等層面對(duì)安全能力進(jìn)行了分級(jí)，以便于產(chǎn)品具有特定品質(zhì)，便于消費(fèi)者選擇。通過(guò)本標(biāo)準(zhǔn)一方面能夠引導(dǎo)移動(dòng)智能終端中預(yù)置應(yīng)用軟件更加規(guī)范、安全；另一方面也能引導(dǎo)移動(dòng)智能終端提高自身的安全防護(hù)能力，可對(duì)后下載的第三方應(yīng)用進(jìn)行安全管控；同時(shí)也能防范移動(dòng)智能終端中預(yù)置惡意代碼對(duì)網(wǎng)絡(luò)造成安全

5、影響。移動(dòng)智能終端安全能力技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了移動(dòng)智能終端安全能力的技術(shù)要求，包括移動(dòng)智能終端的硬件安全能力、操作系統(tǒng)安全能力、外圍接口安全能力、應(yīng)用層安全要求和用戶數(shù)據(jù)保護(hù)安全能力等，并對(duì)安全能力進(jìn)行了分級(jí)。本標(biāo)準(zhǔn)適用于各種制式的移動(dòng)智能終端，個(gè)別條款不適用于特殊行業(yè)、專(zhuān)業(yè)應(yīng)用，其他終端也可參考使用。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T 1699-2007YD/T 1760-2012YD/T 3228-2017移動(dòng)終端信息安全技術(shù)要求數(shù)字移動(dòng)終端

6、外圍接口數(shù)據(jù)交換技術(shù)要求移動(dòng)應(yīng)用軟件安全評(píng)估方法YD/T 3082-2016移動(dòng)智能終端上的個(gè)人信息保護(hù)技術(shù)要求術(shù)語(yǔ)、定義和縮略語(yǔ)術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1.1移動(dòng)智能終端 smart mobile terminal能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用程序開(kāi)發(fā)接口的開(kāi)放操作系統(tǒng)，并能夠安裝和運(yùn)行應(yīng)用軟件的移動(dòng)終端。3.1.2安全能力 security capability在移動(dòng)智能終端上可實(shí)現(xiàn)的，能夠防范安全威脅的技術(shù)手段。3.1.3用 戶 user使用移動(dòng)智能終端資源的對(duì)象，包括人或第三方應(yīng)用程序。3.1.4用戶數(shù)據(jù) user data移動(dòng)智能終端上存儲(chǔ)的用戶個(gè)人信息，包括

7、由用戶在本地生成的數(shù)據(jù)、為用戶在本地生成的數(shù)據(jù)、在用戶許可后由外部進(jìn)入用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等。3.1.5授 權(quán) authorization在用戶身份經(jīng)過(guò)認(rèn)證后，根據(jù)預(yù)先設(shè)置的安全策略，授予用戶相應(yīng)權(quán)限的過(guò)程。3.1.6數(shù)字簽名 digital signature附在數(shù)據(jù)單元后面的數(shù)據(jù)，或?qū)?shù)據(jù)單元進(jìn)行密碼變換得到的數(shù)據(jù)。允許數(shù)據(jù)的接收者驗(yàn)證數(shù)據(jù)的來(lái)源和完整性，保護(hù)數(shù)據(jù)不被篡改、偽造，并保證數(shù)據(jù)的不可否認(rèn)性。3.1.7代碼簽名 code signature利用數(shù)字簽名機(jī)制，由具有簽名權(quán)限的實(shí)體對(duì)代碼全部或部分功能進(jìn)行簽名的機(jī)制。3.1.8移動(dòng)智能終端操作系統(tǒng) operator system of s

8、mart mobile terminal移動(dòng)智能終端最基本的系統(tǒng)軟件，它控制和管理移動(dòng)智能終端各種硬件和軟件資源，并提供應(yīng)用程序開(kāi)發(fā)接口。3.1.9惡意吸費(fèi)malicious charge在用戶不知情或未授權(quán)的情況下由終端上應(yīng)用軟件造成的用戶經(jīng)濟(jì)損失?？s略語(yǔ)下列縮略語(yǔ)適用于本文件。CNNVD中國(guó)國(guó)家信息安全漏洞庫(kù)China National Vulnerability Database ofInformation SecurityCNVD國(guó)家信息安全漏洞共享平臺(tái)China National Vulnerability DatabaseLAWMO鎖定/擦除管理對(duì)象Lock and Wipe Ma

9、nagement ObjectNFC近場(chǎng)通信Near Field CommunicationWLAN無(wú)線局域網(wǎng)Wireless Local Area Network移動(dòng)智能終端安全能力框架及目標(biāo)移動(dòng)智能終端安全能力框架移動(dòng)智能終端安全能力主要由硬件安全能力、操作系統(tǒng)安全能力、應(yīng)用層安全要求、外圍接口安全能力和用戶數(shù)據(jù)保護(hù)安全能力五部分構(gòu)成，具體如圖1所示。外圍接口安全能力涉及操作系統(tǒng)和硬件，用戶數(shù)據(jù)保護(hù)安全能力涉及硬件、操作系統(tǒng)和應(yīng)用軟件3 個(gè)層面。應(yīng)用層安全要求用戶數(shù)據(jù)保護(hù)安全能力操作系統(tǒng)安全能力外圍接口安全能力硬件安全能力圖1 移動(dòng)智能終端安全能力框架移動(dòng)智能終端安全目標(biāo)硬件安全目標(biāo)移動(dòng)智

10、能終端硬件安全目標(biāo)是在芯片層保證移動(dòng)通信終端內(nèi)部閃存和基帶的安全，確保芯片內(nèi)系統(tǒng)程序、終端參數(shù)、安全數(shù)據(jù)、用戶數(shù)據(jù)不被篡改或非法獲取。操作系統(tǒng)安全目標(biāo)操作系統(tǒng)安全目標(biāo)是達(dá)到操作系統(tǒng)對(duì)系統(tǒng)資源調(diào)用的監(jiān)控、保護(hù)和提醒，確保涉及安全的系統(tǒng)行為總是在受控的狀態(tài)下，不會(huì)出現(xiàn)用戶在不知情情況下某種行為的執(zhí)行，或者用戶不可控行為的執(zhí)行。另外，操作系統(tǒng)還應(yīng)保證自身的升級(jí)是受控的。外圍接口安全目標(biāo)外圍接口包括無(wú)線外圍接口和有線外圍接口。外圍接口的安全目標(biāo)是確保用戶對(duì)外圍接口的連接及數(shù)據(jù)傳輸?shù)目芍涂煽?。?yīng)用層安全目標(biāo)應(yīng)用層安全目標(biāo)是要保證移動(dòng)智能終端對(duì)要安裝在其上的應(yīng)用軟件可進(jìn)行來(lái)源的識(shí)別，對(duì)已經(jīng)安裝在其上的應(yīng)

11、用軟件可以進(jìn)行敏感行為的控制。另外，還要確保預(yù)置在移動(dòng)智能終端中的應(yīng)用軟件無(wú)損害用戶利益和危害網(wǎng)絡(luò)安全的行為，例如惡意吸費(fèi)、未經(jīng)授權(quán)的修改、刪除、向外傳送用戶數(shù)據(jù)等行為。用戶數(shù)據(jù)保護(hù)安全目標(biāo)用戶數(shù)據(jù)保護(hù)安全目標(biāo)是要保證用戶數(shù)據(jù)的安全存儲(chǔ)，確保用戶數(shù)據(jù)不被非法訪問(wèn)、獲取和篡改， 同時(shí)能夠通過(guò)備份方式保證用戶數(shù)據(jù)的可靠恢復(fù)。移動(dòng)智能終端安全能力技術(shù)要求基本要求移動(dòng)智能終端應(yīng)通過(guò)給用戶提示和讓用戶確認(rèn)的方式來(lái)防范安全威脅，當(dāng)?shù)谌綉?yīng)用調(diào)用相關(guān)功能時(shí)，操作系統(tǒng)應(yīng)具備給用戶提示和讓用戶確認(rèn)的能力；預(yù)置多操作系統(tǒng)的移動(dòng)智能終端，每一個(gè)操作系統(tǒng)在運(yùn)行過(guò)程中都應(yīng)具備給用戶提示和讓用戶確認(rèn)的能力。給用戶的提示可

12、以是圖標(biāo)、文字或其他明顯的提示方式。在操作執(zhí)行期間，提示應(yīng)足夠引起用戶的注意，且提示信息應(yīng)易于用戶理解。用戶確認(rèn)應(yīng)使用戶有選擇的權(quán)利，即用戶應(yīng)能確認(rèn)也能取消。用戶確認(rèn)如無(wú)特別說(shuō)明，則認(rèn)為以下三種確認(rèn)方式均可：應(yīng)用軟件每一次調(diào)用行為發(fā)生時(shí)進(jìn)行確認(rèn)；應(yīng)用軟件首次調(diào)用行為發(fā)生時(shí)確認(rèn)，本確認(rèn)在一定時(shí)間內(nèi)有效，確認(rèn)應(yīng)針對(duì)每一個(gè)調(diào)用行為單獨(dú)確認(rèn)；應(yīng)用軟件首次安裝或調(diào)用行為發(fā)生時(shí)確認(rèn)，本確認(rèn)對(duì)該軟件長(zhǎng)期有效，確認(rèn)應(yīng)針對(duì)每一個(gè)調(diào)用行為單獨(dú)確認(rèn)。本章所提及的給用戶提示和用戶確認(rèn)，均指由第三方應(yīng)用調(diào)用相關(guān)功能時(shí)，操作系統(tǒng)所應(yīng)具備的能力。對(duì)于第三方應(yīng)用通過(guò)調(diào)用操作系統(tǒng)提供的人機(jī)接口執(zhí)行的操作，認(rèn)為是在用戶知情的情況

13、下執(zhí)行的操作，已經(jīng)給用戶提示并得到用戶的確認(rèn)。對(duì)于應(yīng)用軟件安全配置中用戶設(shè)置為允許訪問(wèn)的操作，也認(rèn)為是在用戶知情的情況下執(zhí)行的操作， 已經(jīng)得到用戶的確認(rèn)。對(duì)于移動(dòng)通信網(wǎng)絡(luò)連接、無(wú)線局域網(wǎng)絡(luò)連接、無(wú)線外圍接口的開(kāi)啟操作在任何情況下都應(yīng)給用戶提示并經(jīng)用戶確認(rèn)。5.3 和 5.4 節(jié)所提及的安全能力要求，僅適用于當(dāng)?shù)谌綉?yīng)用調(diào)用操作系統(tǒng)提供的相應(yīng)功能的情況。5.5.1、5.5.2、5.5.3 和 5.5.4 所提及的應(yīng)用軟件是指非預(yù)置的應(yīng)用軟件。若操作系統(tǒng)可安裝的第三方應(yīng)用軟件均為單一來(lái)源，且此來(lái)源內(nèi)的應(yīng)用軟件符合標(biāo)準(zhǔn)YD/T 3228-2017移動(dòng)應(yīng)用軟件安全評(píng)估方法的3級(jí)要求，則操作系統(tǒng)認(rèn)為已經(jīng)

14、具備給用戶相關(guān)提示和確認(rèn)的能力。移動(dòng)智能終端操作系統(tǒng)不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端功能，造成用戶費(fèi)用損失，流量耗費(fèi)，信息泄漏的行為。移動(dòng)智能終端硬件安全能力要求安全運(yùn)行區(qū)域移動(dòng)智能終端硬件集成專(zhuān)用的安全運(yùn)行區(qū)域，不與非安全運(yùn)行區(qū)域共享存儲(chǔ)空間，通過(guò)物理隔離防止篡改或非法獲取。具備硬件實(shí)現(xiàn)的密碼模塊，實(shí)現(xiàn)密碼算法相關(guān)功能。安全啟動(dòng)移動(dòng)智能終端安全啟動(dòng)代碼應(yīng)進(jìn)行完整性驗(yàn)證，當(dāng)驗(yàn)證通過(guò)后執(zhí)行安全啟動(dòng)過(guò)程。防止物理攻擊移動(dòng)智能終端密碼模塊應(yīng)具有抵抗物理攻擊能力，防止敏感信息泄漏。攻擊手段包括但不限于旁路攻擊和故障注入攻擊。安全屬性移動(dòng)智能終端運(yùn)行在安全環(huán)境下，輸入輸出接口應(yīng)配置為安全屬

15、性，且配置不可更改。根密鑰生成與保護(hù)移動(dòng)智能終端安全區(qū)域根密鑰應(yīng)隨機(jī)生成，隨機(jī)數(shù)熵值應(yīng)滿足移動(dòng)智能終端安全要求，且不低于128 比特。根密鑰僅在移動(dòng)智能終端安全運(yùn)行區(qū)域使用，無(wú)法被外部獲取。移動(dòng)智能終端操作系統(tǒng)安全能力要求安全調(diào)用控制能力通信類(lèi)功能受控機(jī)制撥打電話應(yīng)用軟件調(diào)用執(zhí)行撥打電話操作時(shí)，應(yīng)在用戶確認(rèn)的情況下，撥打操作才能執(zhí)行。應(yīng)用軟件調(diào)用執(zhí)行撥打電話開(kāi)通呼叫轉(zhuǎn)移業(yè)務(wù)時(shí)，移動(dòng)智能終端應(yīng)明示用戶業(yè)務(wù)內(nèi)容，且在用戶確認(rèn)的情況下方可執(zhí)行操作。三方通話應(yīng)用軟件調(diào)用執(zhí)行三方通話操作時(shí)，應(yīng)在用戶確認(rèn)的情況下，三方通話操作才能執(zhí)行。發(fā)送短信應(yīng)用軟件調(diào)用執(zhí)行發(fā)送短信操作時(shí)，應(yīng)在用戶確認(rèn)的情況下，發(fā)送短信

16、操作才能執(zhí)行。發(fā)送彩信應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時(shí)，應(yīng)在用戶確認(rèn)的情況下，發(fā)送彩信操作才能執(zhí)行。發(fā)送郵件應(yīng)用軟件調(diào)用執(zhí)行發(fā)送郵件操作時(shí)，應(yīng)在用戶確認(rèn)的情況下，郵件發(fā)送操作才能執(zhí)行。移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接移動(dòng)智能終端通信網(wǎng)絡(luò)數(shù)據(jù)連接，應(yīng)滿足以下安全能力要求：移動(dòng)智能終端應(yīng)提供開(kāi)關(guān)，可開(kāi)啟/關(guān)閉移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接；應(yīng)用軟件調(diào)用開(kāi)啟移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時(shí)，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開(kāi)啟；移動(dòng)通信網(wǎng)絡(luò)當(dāng)移動(dòng)通信網(wǎng)絡(luò)的數(shù)據(jù)連接處于已連接狀態(tài)，移動(dòng)智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示；移動(dòng)智能終端應(yīng)提供數(shù)據(jù)傳輸控制能力，應(yīng)用軟件調(diào)用移動(dòng)通信網(wǎng)絡(luò)傳送數(shù)據(jù)應(yīng)在用戶確認(rèn)的情況下執(zhí)行；

17、當(dāng)移動(dòng)通信網(wǎng)絡(luò)正在傳送數(shù)據(jù)時(shí)，移動(dòng)智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。上述c）和e）的兩種狀態(tài)提示應(yīng)不同。WLAN 網(wǎng)絡(luò)連接移動(dòng)智能終端WLAN網(wǎng)絡(luò)連接應(yīng)滿足以下安全能力要求：移動(dòng)智能終端應(yīng)提供開(kāi)關(guān)，可開(kāi)啟/關(guān)閉WLAN網(wǎng)絡(luò)連接；應(yīng)用軟件調(diào)用開(kāi)啟WLAN網(wǎng)絡(luò)連接功能時(shí)，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開(kāi)啟； c）當(dāng)WLAN網(wǎng)絡(luò)連接處于已連接狀態(tài)，移動(dòng)智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示； d）當(dāng)WLAN網(wǎng)絡(luò)正在傳送數(shù)據(jù)時(shí)，移動(dòng)智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。上述c）和d）的兩種狀態(tài)提示應(yīng)不同。本地敏感功能受控機(jī)制定位功能應(yīng)用軟件調(diào)用定位功能時(shí)，移動(dòng)智能終

18、端應(yīng)在用戶確認(rèn)的情況下才能調(diào)用。調(diào)用后，移動(dòng)智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。通話錄音功能通話錄音是指在通話狀態(tài)下錄取線路上雙方的話音。當(dāng)應(yīng)用軟件調(diào)用啟動(dòng)通話錄音時(shí)，應(yīng)在用戶確認(rèn)的情況下才能開(kāi)啟。本地錄音功能應(yīng)用軟件調(diào)用啟動(dòng)本地錄音功能時(shí)，應(yīng)在用戶確認(rèn)的情況下才能啟動(dòng)錄音操作。后臺(tái)截屏功能后臺(tái)截屏是指應(yīng)用軟件后臺(tái)運(yùn)行時(shí)截取前臺(tái)屏幕內(nèi)容。當(dāng)應(yīng)用軟件調(diào)用執(zhí)行后臺(tái)截屏?xí)r，應(yīng)在用戶確認(rèn)的情況下才能啟動(dòng)截屏操作。拍照/攝像功能對(duì)于具備攝像頭的移動(dòng)智能終端，當(dāng)應(yīng)用軟件啟動(dòng)拍照或攝像功能時(shí)，移動(dòng)智能終端應(yīng)給用戶相應(yīng)的提示（圖像預(yù)覽、指示燈、聲音或圖標(biāo)等），在用戶確認(rèn)的情況下方可執(zhí)行拍照或攝像操作

19、。接收短信功能移動(dòng)智能終端應(yīng)提供接收短信控制能力，應(yīng)用軟件調(diào)用接收短信功能應(yīng)在用戶確認(rèn)的情況下執(zhí)行。對(duì)用戶數(shù)據(jù)的操作移動(dòng)智能終端操作系統(tǒng)應(yīng)提供對(duì)用戶數(shù)據(jù)保護(hù)的功能，具體要求如下：當(dāng)應(yīng)用軟件調(diào)用對(duì)電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、日程表數(shù)據(jù)進(jìn)行寫(xiě)操作時(shí)， 移動(dòng)智能終端應(yīng)在用戶確認(rèn)的情況下方可執(zhí)行；當(dāng)應(yīng)用軟件需要調(diào)用對(duì)電話本數(shù)據(jù)、通話記錄、上網(wǎng)記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、日程表數(shù)據(jù)的讀操作時(shí)，移動(dòng)智能終端應(yīng)提示用戶該應(yīng)用將讀取這些用戶數(shù)據(jù)，且在用戶確認(rèn)的情況下方可執(zhí)行。操作系統(tǒng)的更新移動(dòng)智能終端應(yīng)提供操作系統(tǒng)的更新保護(hù)功能，具體要求如下：當(dāng)移動(dòng)智能終端提供操作系統(tǒng)的更新機(jī)制時(shí)，應(yīng)保證執(zhí)行授權(quán)

20、的操作系統(tǒng)更新；當(dāng)移動(dòng)智能終端不能保證操作系統(tǒng)安全的更新時(shí)，應(yīng)在說(shuō)明書(shū)中明示用戶可能帶來(lái)的安全風(fēng)險(xiǎn)；操作系統(tǒng)隔離要求預(yù)置多操作系統(tǒng)的移動(dòng)智能終端，應(yīng)采取隔離機(jī)制對(duì)多系統(tǒng)之間的接口和數(shù)據(jù)進(jìn)行保護(hù)，防止操作系統(tǒng)間進(jìn)行非授權(quán)通信。操作系統(tǒng)漏洞要求移動(dòng)智能終端操作系統(tǒng)應(yīng)保證不含有CNVD與CNNVD6個(gè)月前公布的高危漏洞。移動(dòng)智能終端外圍接口安全能力要求無(wú)線外圍接口安全能力要求無(wú)線外圍接口開(kāi)啟/關(guān)閉受控機(jī)制對(duì)于具備藍(lán)牙、NFC功能的移動(dòng)智能終端應(yīng)具備開(kāi)關(guān)，可開(kāi)啟/關(guān)閉藍(lán)牙、NFC等終端所支持的無(wú)線連接方式。當(dāng)應(yīng)用軟件調(diào)用開(kāi)啟無(wú)線外圍接口時(shí)，移動(dòng)智能終端應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開(kāi)啟。無(wú)線

21、外圍接口連接建立的確認(rèn)機(jī)制當(dāng)通過(guò)無(wú)線外圍接口（僅適用于藍(lán)牙）與不同設(shè)備進(jìn)行第一次連接時(shí)，移動(dòng)智能終端能夠發(fā)現(xiàn)該連接并給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)建立連接時(shí)，連接才可建立。示例：藍(lán)牙配對(duì)機(jī)制。無(wú)線外圍接口連接狀態(tài)提示當(dāng)移動(dòng)智能終端的無(wú)線外圍接口藍(lán)牙已開(kāi)啟，移動(dòng)終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。當(dāng)移動(dòng)智能終端通過(guò)無(wú)線外圍接口藍(lán)牙建立數(shù)據(jù)連接，移動(dòng)智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。當(dāng)移動(dòng)智能終端的無(wú)線外圍接口NFC已開(kāi)啟，移動(dòng)終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。當(dāng)移動(dòng)智能終端通過(guò)無(wú)線外圍接口NFC建立數(shù)據(jù)連接，移動(dòng)智能終端應(yīng)給用戶相應(yīng)的提示（圖標(biāo)、聲音或振動(dòng)等）。如果移動(dòng)智

22、能終端提供了無(wú)線外圍接口的開(kāi)啟狀態(tài)提示和數(shù)據(jù)連接狀態(tài)提示，該兩種狀態(tài)提示應(yīng)不同。無(wú)線外圍接口數(shù)據(jù)傳輸?shù)氖芸貦C(jī)制當(dāng)移動(dòng)智能終端與其他設(shè)備已經(jīng)通過(guò)無(wú)線外圍接口（藍(lán)牙或NFC）實(shí)現(xiàn)連接，此時(shí)通過(guò)無(wú)線外圍接口進(jìn)行文件數(shù)據(jù)傳輸時(shí)，移動(dòng)智能終端應(yīng)給用戶相應(yīng)的提示。有線外圍接口安全能力要求有線外圍接口連接建立的確認(rèn)機(jī)制對(duì)于僅用于充電或僅用于數(shù)據(jù)連接的有線外圍接口，當(dāng)通過(guò)該接口建立連接時(shí)，移動(dòng)智能終端應(yīng)給用戶相應(yīng)的提示。對(duì)于既可進(jìn)行充電，又可進(jìn)行數(shù)據(jù)連接的有線外圍接口，當(dāng)連接充電器時(shí)應(yīng)給用戶相應(yīng)的提示，當(dāng)連接于既可進(jìn)行充電又可進(jìn)行數(shù)據(jù)連接的設(shè)備時(shí)，用戶應(yīng)能夠選擇是否建立數(shù)據(jù)連接模式或者能夠保證數(shù)據(jù)傳輸授權(quán)可控

23、。USB 存儲(chǔ)模式的安全機(jī)制如果移動(dòng)智能終端支持內(nèi)置式USB存儲(chǔ)模式（U盤(pán)模式），則應(yīng)提供訪問(wèn)控制方式。移動(dòng)智能終端應(yīng)用層安全要求應(yīng)用軟件安全配置能力要求移動(dòng)智能終端可提供機(jī)制對(duì)所安裝的第三方應(yīng)用軟件的調(diào)用行為進(jìn)行配置，包括對(duì)撥打電話、發(fā)起三方通話、發(fā)送短信、接收短信、發(fā)送彩信、調(diào)用移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接、調(diào)用定位功能、進(jìn)行通話錄音、本地錄音、后臺(tái)截屏、拍照/攝像、訪問(wèn)電話本、訪問(wèn)通話記錄、訪問(wèn)日程表、訪問(wèn)上網(wǎng)記錄、訪問(wèn)短信和訪問(wèn)彩信的控制。對(duì)以上調(diào)用行為進(jìn)行控制至少有允許調(diào)用和禁止調(diào)用兩種狀態(tài)。推薦允許調(diào)用、每次調(diào)用時(shí)詢(xún)問(wèn)用戶和禁止調(diào)用3種狀態(tài)。移動(dòng)智能終端應(yīng)支持對(duì)以上調(diào)用行為中的3種或3種以

24、上進(jìn)行配置。對(duì)于第三方應(yīng)用軟件升級(jí)前后共有的調(diào)用行為，移動(dòng)智能終端應(yīng)保證其安全配置狀態(tài)在升級(jí)前后一致。應(yīng)用軟件調(diào)用行為記錄能力要求移動(dòng)智能終端應(yīng)提供機(jī)制在一定時(shí)間內(nèi)記錄并統(tǒng)計(jì)第三方應(yīng)用軟件及預(yù)置應(yīng)用軟件調(diào)用行為情況， 且用戶可查看記錄結(jié)果。移動(dòng)智能終端應(yīng)支持記錄應(yīng)用軟件調(diào)用移動(dòng)通信網(wǎng)絡(luò)產(chǎn)生的流量數(shù)據(jù)，應(yīng)用軟件運(yùn)行過(guò)程中最近一次調(diào)用定位功能的時(shí)間。其余應(yīng)用軟件調(diào)用行為記錄數(shù)據(jù)應(yīng)至少包括應(yīng)用軟件每次調(diào)用行為的起始時(shí)間，應(yīng)支持記錄3種或3種以上調(diào)用行為，調(diào)用行為包括撥打電話、發(fā)起三方通話、發(fā)送短信、接收短信、發(fā)送彩信、進(jìn)行通話錄音、本地錄音、后臺(tái)截屏、拍照/攝像、訪問(wèn)電話本、訪問(wèn)通話記錄、訪問(wèn)日程表

25、、訪問(wèn)上網(wǎng)記錄、訪問(wèn)短信和訪問(wèn)彩信。應(yīng)用軟件安全認(rèn)證機(jī)制要求非認(rèn)證簽名要求如果移動(dòng)智能終端支持對(duì)未經(jīng)認(rèn)證簽名的軟件下載和應(yīng)用，在進(jìn)行應(yīng)用軟件安裝時(shí)移動(dòng)智能終端應(yīng)能夠識(shí)別應(yīng)用軟件的簽名狀態(tài)，并能夠根據(jù)簽名狀態(tài)給用戶相應(yīng)的提示。認(rèn)證簽名要求如果移動(dòng)智能終端采用認(rèn)證簽名機(jī)制，在此情況下，未經(jīng)過(guò)認(rèn)證簽名的應(yīng)用軟件僅當(dāng)用戶進(jìn)行確認(rèn)后才能執(zhí)行下一步操作。應(yīng)用軟件自啟動(dòng)監(jiān)控能力如果移動(dòng)智能終端具備第三方應(yīng)用自啟動(dòng)程序的能力，應(yīng)可以瀏覽和配置應(yīng)用程序是否自啟動(dòng)。預(yù)置應(yīng)用軟件安全要求收集用戶數(shù)據(jù)移動(dòng)智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自收集用戶數(shù)據(jù)的行為， 包括以下行為：在用戶無(wú)確認(rèn)情況

26、下開(kāi)啟通話錄音、本地錄音、后臺(tái)截屏、拍照/攝像、接收短信和定位，讀取用戶本機(jī)號(hào)碼、電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息的行為。在用戶無(wú)確認(rèn)情況下讀取圖片、音頻和視頻的行為。修改用戶數(shù)據(jù)移動(dòng)智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為， 包括在用戶無(wú)確認(rèn)情況下刪除或修改用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、日程表數(shù)據(jù)的行為。數(shù)據(jù)錄入保護(hù)移動(dòng)智能終端中預(yù)置的支付應(yīng)用軟件輸入認(rèn)證/支付密碼等敏感信息時(shí)，需采取技術(shù)措施防止密碼被截獲，并不得在移動(dòng)智能終端界面上顯示明文。數(shù)據(jù)加密傳輸移動(dòng)智能終端中預(yù)置的應(yīng)用軟件通過(guò)公共網(wǎng)絡(luò)傳輸終端上的個(gè)人信息時(shí)

27、，應(yīng)滿足以下安全能力要求：a）預(yù)置應(yīng)用軟件應(yīng)采用密文方式傳輸金融支付類(lèi)，信息通信類(lèi)，賬戶設(shè)置類(lèi)，傳感采集類(lèi)信息； b）預(yù)置應(yīng)用軟件應(yīng)采用密文方式傳輸媒體影音類(lèi)信息。個(gè)人信息類(lèi)型定義見(jiàn)YD/T 3082-2016移動(dòng)智能終端上的個(gè)人信息保護(hù)技術(shù)要求。組件訪問(wèn)控制軟件組件是指軟件自包含的、可編程的、通過(guò)接口實(shí)現(xiàn)復(fù)用的軟件單元。移動(dòng)智能終端中預(yù)置的應(yīng)用軟件應(yīng)對(duì)其內(nèi)部包含敏感個(gè)人信息的組件及對(duì)外接口進(jìn)行保護(hù)，任何未經(jīng)授權(quán)的第三方應(yīng)用軟件不可訪問(wèn)或調(diào)用。軟件認(rèn)證簽名如果移動(dòng)智能終端采用認(rèn)證簽名機(jī)制，在此情況下，移動(dòng)智能終端預(yù)置的應(yīng)用軟件應(yīng)包含簽名信息，且簽名信息真實(shí)可信。升級(jí)更新要求移動(dòng)智能終端預(yù)置的應(yīng)

28、用軟件更新，應(yīng)在用戶授權(quán)的情況下進(jìn)行，當(dāng)升級(jí)行為不能保證終端系統(tǒng)、其他應(yīng)用軟件、軟件本身的安全時(shí)，應(yīng)在說(shuō)明中明示用戶可能帶來(lái)的安全風(fēng)險(xiǎn)。當(dāng)應(yīng)用軟件升級(jí)失敗時(shí)，應(yīng)保證應(yīng)用軟件能回到更新前的版本且能正常使用。調(diào)用終端通信功能流量耗費(fèi)移動(dòng)智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶流量消耗的行為，包括在用戶無(wú)確認(rèn)情況下通過(guò)移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接、無(wú)線外圍接口傳送數(shù)據(jù)的行為。費(fèi)用損失移動(dòng)智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶費(fèi)用損失的行為，包括在用戶無(wú)確認(rèn)情況下?lián)艽螂娫挕l(fā)送短信、發(fā)送彩信、開(kāi)

29、啟移動(dòng)通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)的行為。信息泄露移動(dòng)智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶數(shù)據(jù)泄露的行為，包括以下行為：在用戶無(wú)確認(rèn)情況下讀取并傳送用戶本機(jī)號(hào)碼、電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息的行為；在用戶無(wú)確認(rèn)情況下讀取并傳送圖片、音頻和視頻的行為。應(yīng)用軟件漏洞要求移動(dòng)智能終端預(yù)置應(yīng)用軟件應(yīng)保證不含有CNVD與CNNVD6個(gè)月前公布的高危漏洞。移動(dòng)智能終端用戶數(shù)據(jù)安全保護(hù)能力要求移動(dòng)智能終端的密碼保護(hù)移動(dòng)智能終端密碼保護(hù)功能，應(yīng)滿足以下安全能力要求：移動(dòng)智能終端應(yīng)支持開(kāi)機(jī)時(shí)的密碼保護(hù)和開(kāi)機(jī)后鎖定狀態(tài)下的密碼保護(hù)，例

30、如口令、圖案、生物特征識(shí)別等多種形態(tài)的密碼。其中，口令密碼為必選的保護(hù)形式，其他形式為可選?？诹钫J(rèn)證的要求見(jiàn)YD/T 1699-2007 中5.5.2.1，生物特征認(rèn)證的要求見(jiàn)YD/T 1699-2007 中5.5.2.3。移動(dòng)智能終端在鎖定狀態(tài)下，用戶應(yīng)不可訪問(wèn)系統(tǒng)內(nèi)已存儲(chǔ)的用戶數(shù)據(jù)（至少包括電話本、短信、圖片）。文件類(lèi)用戶數(shù)據(jù)的授權(quán)訪問(wèn)移動(dòng)智能終端提供文件類(lèi)用戶數(shù)據(jù)的授權(quán)訪問(wèn)能力，當(dāng)?shù)谌綉?yīng)用訪問(wèn)被保護(hù)的用戶數(shù)據(jù)時(shí)，應(yīng)在用戶確認(rèn)的情況下才能訪問(wèn)。文件類(lèi)用戶數(shù)據(jù)包括圖片、視頻、音頻和文檔等。用戶數(shù)據(jù)的加密存儲(chǔ)未經(jīng)授權(quán)的任何實(shí)體應(yīng)不能從移動(dòng)智能終端的加密存儲(chǔ)區(qū)域的數(shù)據(jù)中還原出用戶私密數(shù)據(jù)的真實(shí)

31、內(nèi)容。用戶數(shù)據(jù)的徹底刪除移動(dòng)智能終端提供數(shù)據(jù)徹底刪除功能，以保證被刪除的用戶數(shù)據(jù)不可再恢復(fù)出來(lái)。一般的刪除功能僅會(huì)刪除數(shù)據(jù)在存儲(chǔ)器件中放置位置的索引，而該區(qū)域內(nèi)實(shí)際存儲(chǔ)的數(shù)據(jù)沒(méi)有完全清空，在數(shù)據(jù)被刪除之后，非法程序通過(guò)讀取該區(qū)域的內(nèi)容，仍有可能從讀取到的數(shù)據(jù)中恢復(fù)被刪除的私密數(shù)據(jù)。徹底刪除功能應(yīng)把該區(qū)域內(nèi)實(shí)際存儲(chǔ)的數(shù)據(jù)徹底消除。例如，當(dāng)終端用戶數(shù)據(jù)被刪除時(shí)，在該數(shù)據(jù)對(duì)應(yīng)的存儲(chǔ)區(qū)域使用全“0”或全“1”進(jìn)行多次填充。用戶數(shù)據(jù)的遠(yuǎn)程保護(hù)移動(dòng)智能終端應(yīng)提供用戶數(shù)據(jù)的遠(yuǎn)程保護(hù)能力，以便用戶在手機(jī)遺失或其他情況下，終端中的用戶數(shù)據(jù)不被泄露。遠(yuǎn)程保護(hù)能力包括遠(yuǎn)程鎖定移動(dòng)智能終端和遠(yuǎn)程銷(xiāo)毀用戶數(shù)據(jù)。移動(dòng)智能

32、終端提供的遠(yuǎn)程保護(hù)功能也應(yīng)具備安全設(shè)置，確保遠(yuǎn)程保護(hù)功能僅在達(dá)到了用戶預(yù)設(shè)條件的情況下才會(huì)啟動(dòng)。該功能可參考開(kāi)放移動(dòng)聯(lián)盟（OMA）組織發(fā)布的標(biāo)準(zhǔn)OMA-TS-LAWMO鎖定和徹底刪除管理對(duì)象。用戶數(shù)據(jù)的轉(zhuǎn)移備份移動(dòng)智能終端應(yīng)具備用戶數(shù)據(jù)（至少包括電話本、短信、多媒體數(shù)據(jù)）的轉(zhuǎn)移及備份能力。用戶數(shù)據(jù)的轉(zhuǎn)移備份包括本地備份和遠(yuǎn)程備份兩種：本地備份是通過(guò)移動(dòng)智能終端的外圍接口實(shí)現(xiàn)的數(shù)據(jù)備份；遠(yuǎn)程備份是通過(guò)無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)的用戶數(shù)據(jù)在服務(wù)器側(cè)的備份。本地備份適用于支持外圍接口的移動(dòng)智能終端。移動(dòng)智能終端應(yīng)至少支持一種備份方式。用戶數(shù)據(jù)的轉(zhuǎn)移和備份應(yīng)符合YD/T 1760-2012的相關(guān)要求。移動(dòng)智能終端功

33、能限制性要求移動(dòng)智能終端應(yīng)真實(shí)傳送信息，不得通過(guò)對(duì)傳送信息的處理或傳送虛假信息使信息接收者錯(cuò)誤識(shí)別特定通信主體等，不得預(yù)置可改變通信系統(tǒng)提示信號(hào)的應(yīng)用軟件。移動(dòng)智能終端不得預(yù)置國(guó)家法律法規(guī)禁止的信息內(nèi)容（包括但不限于預(yù)置圖片、文字、菜單、音視頻、應(yīng)用等），也不得預(yù)置為傳播發(fā)布國(guó)家法律法規(guī)禁止信息內(nèi)容提供服務(wù)的應(yīng)用軟件。移動(dòng)智能終端安全能力分級(jí)概述移動(dòng)智能終端所支持的安全能力劃分為五個(gè)等級(jí)，第五級(jí)是最高等級(jí)。移動(dòng)智能終端可選支持到不同的等級(jí)。達(dá)到相應(yīng)等級(jí)的移動(dòng)智能終端可在說(shuō)明書(shū)上進(jìn)行明確的標(biāo)識(shí)，預(yù)置多操作系統(tǒng)的移動(dòng)智能終端，每一操作系統(tǒng)所支持的安全能力等級(jí)可分別進(jìn)行標(biāo)識(shí)，參見(jiàn)附錄A的內(nèi)容。安全能

34、力分級(jí)根據(jù)移動(dòng)智能終端所支持的安全能力的程度，將移動(dòng)智能終端安全能力自低到高劃分為五個(gè)等級(jí)。在每一等級(jí)定義了移動(dòng)智能終端在相應(yīng)等級(jí)對(duì)應(yīng)的安全能力的最小集合，也就是移動(dòng)智能終端必須支持該集合中的所有安全能力才能標(biāo)識(shí)為該級(jí)別，例如：達(dá)到第五級(jí)的移動(dòng)智能終端應(yīng)支持本標(biāo)準(zhǔn)第5章和第6章所定義的所有安全能力及功能限制性要求。具體的等級(jí)劃分詳見(jiàn)表1。表 1 移動(dòng)智能終端安全能力分級(jí)安全能力安全能力等級(jí)一級(jí)二級(jí)三級(jí)四級(jí)五級(jí)1.5.2.1 安全運(yùn)行區(qū)域2.5.2.2 安全啟動(dòng)3.5.2.3 防止物理攻擊4.5.2.4 安全屬性5.5.2.5 根密鑰生成與保護(hù)6.5.3.1.1.1 撥打電話7.5.3.1.1.

35、2 三方通話8.5.3.1.1.3 發(fā)送短信9.5.3.1.1.4 發(fā)送彩信10.5.3.1.1.5 發(fā)送郵件11.5.3.1.1.6a）移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接開(kāi)關(guān)12.5.3.1.1.6b）移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接應(yīng)用調(diào)用時(shí)的確認(rèn)13.5.3.1.1.6c）移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接連接狀態(tài)提示14.5.3.1.1.6d）移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接數(shù)據(jù)傳送時(shí)的確認(rèn)15.5.3.1.1.6e）移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接數(shù)據(jù)傳送狀態(tài)提示16.5.3.1.1.7a）WLAN 網(wǎng)絡(luò)連接開(kāi)關(guān)17.5.3.1.1.7b）WLAN 網(wǎng)絡(luò)連接應(yīng)用調(diào)用時(shí)的確認(rèn)18.5.3.1.1.7c）WLAN 網(wǎng)絡(luò)連接連接狀態(tài)提示19.5.3.1

36、.1.7d）WLAN 網(wǎng)絡(luò)連接數(shù)據(jù)傳送狀態(tài)提示20.5.3.1.2.1 定位功能21.5.3.1.2.2 通話錄音功能22.5.3.1.2.3 本地錄音功能23.5.3.1.2.4 后臺(tái)截屏功能24.5.3.1.2.5 拍照/攝像功能25.5.3.1.2.6 接收短信功能26.5.3.1.2.7a）對(duì)用戶數(shù)據(jù)的操作修改/刪除27.5.3.1.2.7b）對(duì)用戶數(shù)據(jù)的操作讀28.5.3.2a）操作系統(tǒng)的更新授權(quán)更新29.5.3.2b）操作系統(tǒng)的更新風(fēng)險(xiǎn)提示30.5.3.3 操作系統(tǒng)隔離要求31.5.3.4 操作系統(tǒng)漏洞要求32.5.4.1.1 無(wú)線外圍接口開(kāi)啟/關(guān)閉受控機(jī)制33.5.4.1.2 無(wú)線外圍接口連接建立的確認(rèn)機(jī)制34.5.