信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法_第1頁
信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法_第2頁
信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法_第3頁
信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法_第4頁
信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》編制說明一、任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)2017年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃,國家標(biāo)準(zhǔn)《信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》由深圳信息通信研究院負(fù)責(zé)主辦。二、編制原則本標(biāo)準(zhǔn)參考國標(biāo)GB/T32927-2016《信息安全技術(shù)移動(dòng)智能終端安全架構(gòu)》確定終端安全需求,同時(shí)確立終端安全功能,最終形成安全技術(shù)要求及測(cè)試評(píng)價(jià)方法。本標(biāo)準(zhǔn)同時(shí)依托《網(wǎng)絡(luò)安全法》對(duì)第二十三條對(duì)網(wǎng)絡(luò)產(chǎn)品的安全要求,意在加強(qiáng)移動(dòng)智能終端自身安全防護(hù)能力,防范終端上的各種安全威脅,避免用戶利益受到損害。該標(biāo)準(zhǔn)的制定能夠?yàn)橐苿?dòng)智能終端用戶、生產(chǎn)廠商、評(píng)估機(jī)構(gòu)提供了一個(gè)多方認(rèn)可的,通用的移動(dòng)智能終端安全要求和評(píng)估準(zhǔn)則,移動(dòng)智能終端廠商可參考本標(biāo)準(zhǔn)進(jìn)行移動(dòng)終端的設(shè)計(jì)、開發(fā),評(píng)估機(jī)構(gòu)可依據(jù)本標(biāo)準(zhǔn)開展對(duì)移動(dòng)智能終端的評(píng)估和檢測(cè),用戶可以參考本標(biāo)準(zhǔn)的檢測(cè)結(jié)果選擇終端使用。同時(shí),為使標(biāo)準(zhǔn)能夠滿足指導(dǎo)移動(dòng)智能終端安全標(biāo)準(zhǔn)體系的建設(shè),規(guī)范移動(dòng)智能終端相關(guān)設(shè)計(jì)、開發(fā)、測(cè)試、評(píng)估等工作的科學(xué)開展,提高標(biāo)準(zhǔn)的可操作性,在標(biāo)準(zhǔn)制定過程中,力求做到符合國家的有關(guān)政策法規(guī)要求、與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)、與移動(dòng)智能終端相關(guān)的檢測(cè)要求相適應(yīng);并適度考慮目前處于發(fā)展成熟過程中的技術(shù),保持一定的前瞻性。三、主要工作過程(一)標(biāo)準(zhǔn)制定的主要工作過程如下:1)2017年6月,標(biāo)準(zhǔn)編制工作組開始啟動(dòng),項(xiàng)目組調(diào)研、分析了國內(nèi)外關(guān)于移動(dòng)終端安全保護(hù)技術(shù)要求的編寫方法,確定了標(biāo)準(zhǔn)的編制思路。2)2017年7月,項(xiàng)目組研究了相關(guān)參考標(biāo)準(zhǔn)的文章組織結(jié)構(gòu)、表達(dá)方法以及移動(dòng)智能終端安全技術(shù)要求和測(cè)試評(píng)價(jià)的基本結(jié)構(gòu)和特點(diǎn),初擬了標(biāo)準(zhǔn)文稿的大綱。3)2017年9月,召開項(xiàng)目組內(nèi)部會(huì)議,與三星,華為,信通院?jiǎn)挝坏膶<夜餐瑢?duì)草案多次進(jìn)行商議,修改,形成《信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》標(biāo)準(zhǔn)草案(初稿)。4)2017年10月16日,提交草案到全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第二次工作組“會(huì)議周”(WG6)討論?!皶?huì)議周”(WG6組)對(duì)本文稿形成結(jié)論:文稿按“會(huì)議周”(WG6)會(huì)議意見修改后可形成標(biāo)準(zhǔn)草案(第一稿)。5)2017年12月13日,中國信息通信研究院組織專家對(duì)標(biāo)準(zhǔn)草案(第一稿)進(jìn)行評(píng)審,會(huì)上項(xiàng)目組介紹了標(biāo)準(zhǔn)草案及意見的處理情況。6)2017年12月,召開項(xiàng)目組內(nèi)部工作會(huì)議,根據(jù)專家意見商討,修改標(biāo)準(zhǔn)文稿,形成《信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》標(biāo)準(zhǔn)草案(第二稿)。7)2017年12月28日,提交WG6/CCSATC8WG2第52次會(huì)議討論,會(huì)上項(xiàng)目組介紹了標(biāo)準(zhǔn)草案及意見的處理情況。8)2018年1月~3月,多次召開項(xiàng)目組內(nèi)部工作會(huì)議,根據(jù)專家意見商討,修改標(biāo)準(zhǔn)文稿,形成《信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》標(biāo)準(zhǔn)草案(第三稿)。9)2018年4月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2018年第一次會(huì)議周,在WG6組匯報(bào)標(biāo)準(zhǔn)項(xiàng)目進(jìn)展情況,并根據(jù)會(huì)議意見,進(jìn)行補(bǔ)充完善,形成征求意見稿。(二)標(biāo)準(zhǔn)征求意見的落實(shí)情況如下:見《移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》意見匯總處理表。四、標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)(一)本標(biāo)準(zhǔn)的主要內(nèi)容《信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》規(guī)定了通用的安全要求和測(cè)試方法,適用于移動(dòng)智能終端涉及的設(shè)計(jì)、開發(fā)、測(cè)試和評(píng)估。本標(biāo)準(zhǔn)規(guī)定了移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法,包括執(zhí)行硬件安全、系統(tǒng)及軟件安全、通信連接安全、用戶數(shù)據(jù)安全,并對(duì)安全進(jìn)行了分級(jí)。本標(biāo)準(zhǔn)適用于各種制式的移動(dòng)智能終端,個(gè)別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用,其他終端也可參考使用。本標(biāo)準(zhǔn)主要框架如下:1范圍規(guī)范性引用文件術(shù)語、定義和縮略語移動(dòng)智能終端安全架構(gòu)移動(dòng)智能終端安全技術(shù)要求概述一級(jí)安全技術(shù)要求二級(jí)安全技術(shù)要求三級(jí)安全技術(shù)要求測(cè)試評(píng)價(jià)方法一級(jí)測(cè)試評(píng)價(jià)方法二級(jí)測(cè)試評(píng)價(jià)方法三級(jí)測(cè)試評(píng)價(jià)方法參考文獻(xiàn)(二)本標(biāo)準(zhǔn)在確定主要內(nèi)容時(shí)主要基于如下幾個(gè)方面:移動(dòng)智能終端安全架構(gòu)移動(dòng)智能終端安全架構(gòu)主要包括5個(gè)部分:硬件安全,系統(tǒng)安全,應(yīng)用軟件安全,通信連接安全,個(gè)人信息安全。硬件主要包括基礎(chǔ)硬件模塊、硬件接口和外設(shè);系統(tǒng)主要包括硬件驅(qū)動(dòng)、軟件系統(tǒng)內(nèi)核、各種函數(shù)庫、基礎(chǔ)服務(wù)等;應(yīng)用軟件主要包括運(yùn)行于系統(tǒng)之上的各種本地及Web應(yīng)用,包括消費(fèi)類應(yīng)用,行業(yè)應(yīng)用等各類應(yīng)用軟件;通信連接主要包括網(wǎng)絡(luò)接入、通信過程、外圍接口;個(gè)人信息主要包括用戶數(shù)據(jù)、終端采集數(shù)據(jù)。移動(dòng)智能終端的安全目標(biāo)根據(jù)移動(dòng)終端的安全問題定義,提出相應(yīng)安全目標(biāo)。硬件安全目標(biāo)是保證終端內(nèi)部芯片數(shù)據(jù)存儲(chǔ)和運(yùn)算的安全性,能夠?qū)姑艽a分析,側(cè)信道攻擊等破壞數(shù)據(jù)保密性,完整性的安全威脅。系統(tǒng)安全目標(biāo)是保證符合終端使用場(chǎng)景的身份權(quán)限管理和訪問控制,能夠正確地響應(yīng)授權(quán)操作和處理異常行為,保證系統(tǒng)數(shù)據(jù)的保密性和完整性,保證系統(tǒng)能按照正常預(yù)期運(yùn)行。軟件安全目標(biāo)是保證運(yùn)行在操作系統(tǒng)上的應(yīng)用軟件具備來源標(biāo)識(shí)和保密性,完整性防護(hù)措施,可以對(duì)抗逆向分析,保證敏感行為可以得到控制。通信連接安全目標(biāo)是保證終端所采用的無線或有線傳輸數(shù)據(jù)時(shí),采取必要的加密和完整性校驗(yàn)手段,防止認(rèn)證,標(biāo)識(shí),口令等業(yè)務(wù)通信數(shù)據(jù)在傳輸過程中被獲取甚至篡改。個(gè)人信息安全目標(biāo)是保證終端產(chǎn)生的個(gè)人信息在收集,使用,傳輸,刪除過程中不被非法獲取,不被非法篡改,保證數(shù)據(jù)在生命周期各環(huán)節(jié)的安全性。安全技術(shù)要求根據(jù)安全目標(biāo),確定移動(dòng)終端的安全功能要求,包括硬件安全,操作系統(tǒng)安全,應(yīng)用軟件安全,通信連接安全,個(gè)人信息數(shù)據(jù)安全等。硬件安全包括芯片設(shè)計(jì)安全,安全運(yùn)行區(qū)域,安全啟動(dòng),防止物理攻擊,安全屬性,根密鑰生成與保護(hù)。操作系統(tǒng)安全包括完整性校驗(yàn),認(rèn)證簽名機(jī)制,標(biāo)識(shí)與鑒別,訪問控制,API權(quán)限控制,安全域隔離,日志審計(jì),系統(tǒng)安全性,升級(jí)更新,惡意代碼防范。應(yīng)用軟件安全包括應(yīng)用軟件來源,軟件簽名認(rèn)證,通信功能調(diào)用安全,組件訪問控制,升級(jí)更新,應(yīng)用軟件漏洞,應(yīng)用軟件代碼安全,最小化權(quán)限。通信連接安全包括網(wǎng)絡(luò)接入安全,外圍接口安全,數(shù)據(jù)傳輸安全個(gè)人信息數(shù)據(jù)安全包括個(gè)人信息數(shù)據(jù)收集,個(gè)人信息數(shù)據(jù)存儲(chǔ),個(gè)人信息數(shù)據(jù)加工,個(gè)人信息數(shù)據(jù)轉(zhuǎn)移,個(gè)人信息數(shù)據(jù)刪除。五、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系1)與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定的關(guān)系隨著移動(dòng)智能終端、新型終端的廣泛應(yīng)用以及功能的不斷擴(kuò)展,其使用過程中的安全問題被越來越多的用戶所關(guān)注。近年來,硬件破解、惡意吸費(fèi)、隱私泄露、信息詐騙等安全事件頻發(fā),使用戶對(duì)移動(dòng)智能終端的安全性產(chǎn)生顧慮,進(jìn)而影響到移動(dòng)智能終端和移動(dòng)互聯(lián)網(wǎng)應(yīng)用的發(fā)展。有必要制定標(biāo)準(zhǔn),通過提高移動(dòng)智能終端的自身的安全防護(hù)能力,防范移動(dòng)智能終端上的各種安全威脅,避免用戶的利益受到損害,同時(shí)防止移動(dòng)智能終端對(duì)移動(dòng)通信網(wǎng)絡(luò)安全產(chǎn)生不利影響。《中華人民共和國網(wǎng)絡(luò)安全法》于2016年11月頒布,將于2017年6月1日正式實(shí)施。其中第二十三條要求“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)”,移動(dòng)智能終端、物聯(lián)網(wǎng)終端、車載終端等各類終端設(shè)備作為消費(fèi)者使用網(wǎng)絡(luò)服務(wù)的重要產(chǎn)品,有必要制定標(biāo)準(zhǔn)來規(guī)范其安全要求與測(cè)試評(píng)價(jià)方法。國家網(wǎng)信辦在2017年2月4日發(fā)布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》。其中第九條要求“金融、電信、能源等重點(diǎn)行業(yè)主管部門,根據(jù)國家網(wǎng)絡(luò)安全審查工作要求,組織開展本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查工作”。從國家從面對(duì)移動(dòng)終端設(shè)備等網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)提出了評(píng)估審查要求,因此制定一部針對(duì)移動(dòng)智能終端設(shè)備網(wǎng)絡(luò)安全要求與測(cè)試評(píng)價(jià)方法的標(biāo)準(zhǔn)迫在眉睫。2)與相關(guān)國際標(biāo)準(zhǔn)的關(guān)系無六、有關(guān)問題的說明本標(biāo)準(zhǔn)規(guī)定了移動(dòng)智能終端

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論