《信息安全技術 移動智能終端應用軟件安全技術要求和測試評價方法》編制說明

工作簡況

1.1任務來源

經中國國家標準化管理委員會批準，全國信息安全標準化技術

委員會（SAC/TC260）主任辦公會討論通過，研究制定移動智能終端

應用軟件安全技術要求和測試評價方法的國家標準。該項目由全國信

息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸

口，由公安部計算機信息系統安全產品質量監(jiān)督檢驗中心（公安部第

三研究所）負責主辦。

1.2協作單位

在接到《信息安全技術移動智能終端應用軟件安全技術要求和

測試評價方法》標準的任務后，公安部計算機信息系統安全產品質量

監(jiān)督檢驗中心立即與相關廠商進行溝通，并得到了多家業(yè)內知名廠商

的積極參與和反饋。經過層層篩選之后，最后確定由新能聚信(北京)

科技有限公司、北京奇虎科技有限公司作為標準編制協作單位。

1.3主要工作過程

1.3.1成立編制組

2012年12月接到標準編制任務，組建標準編制組，由本檢測中

心、新能聚信及北京奇虎聯合編制。檢測中心的編制組成員均具有資

深的產品檢測經驗、有足夠的標準編制經驗、熟悉CC；其他廠商的

編制成員均為移動智能終端應用軟件的研發(fā)負責人及主要研發(fā)人員。

1

檢測中心人員包括俞優(yōu)、顧健、陳妍、陸臻、張笑笑、沈亮等。

1.3.2制定工作計劃

編制組首先制定了編制工作計劃，并確定了編制組人員例會安排

以便及時溝通交流工作情況。

1.3.3參考資料

該標準編制過程中，主要參考了：

?GB17859-1999計算機信息系統安全保護劃分準則

?GB/T18336.3－2015信息技術安全技術信息技術安全性評

估準則第3部分：安全保障組件

?GB/T20271-2006信息安全技術信息系統通用安全技術要求

?GB/T25069－2010信息安全技術術語

1.3.4確定編制內容

移動智能終端應用有著自身的特點，在測試策略上不能完全照搬

傳統應用軟件的測試策略、方法和內容，需要分析其使用特點以及使

用過程中可能存在的一些安全性隱患，針對這些隱患提出針對性的安

全要求，可以有效提高移動智能終端應用軟件的安全性和可靠性，從

而保證終端用戶的軟件使用安全。

移動智能終端號稱永遠在線,可以隨時聯機公共網絡和專用網絡,

并基本具有了桌面計算機所具有的功能。終端應用軟件多數是通過無

線網絡下載到終端用戶的便攜式設備上的,包括通過E-mail、

Internet下載、多媒體通訊服務、WAP下載、紅外或藍牙傳輸、PC

2

同步及可移動存儲介質獲得并安裝各種最新的軟件（其典型應用見圖

1顯示）。

圖1移動智能終端J2M2程序的應用過程

然而,大部分智能終端用戶并不將它看作一臺計算機,并不認同

終端和計算機一樣存在巨大的安全風險,認為終端比PC機更加安全、

可靠,而是將其當作一部安全和沒有任何風險的通信設備,這給一些

黑客直接或間接（例如通過互聯網）的破壞用戶利益創(chuàng)造了可乘之機。

終端應用軟件在不同設備都可通過網絡進行下載和執(zhí)行。如果沒

有正確的防范機制,用戶將面臨程序被破壞，數據丟失和信息竊取等

安全威脅。目前威脅移動智能終端安全的主要形式包括通過藍牙、紅

外、彩信等方式傳遞的手機病毒,垃圾郵件/短信（包括詐騙短信）,

騷擾電話,惡意程序,黑客,木馬,手機后門,監(jiān)聽軟件/私密數據竊取

等。

移動智能終端應用軟件在使用過程中往往存在一些安全性隱患，

其面臨的常見安全風險如下所述：

1)故意行為

3

非受權訪問：即使設備不丟失,局外人會使用盜取的密碼進

人設備,導致數據被修改或數據丟失。

電子竊聽和修改數據：局外人可能會竊取網絡上傳輸或轉

換的數據，并導致數據的更改。

敏感信息泄露：軟件在未經用戶許可的情況下，泄露和破

壞用戶個人信息和敏感數據。

后門和陷門：主要是指用于調試用的人口,如直接存取硬編

碼的口令。

邏輯炸彈、木馬、病毒。

病毒和蠕蟲。

2)管理疏忽

如設備丟失,導致存儲在設備內、SIM卡和存儲卡內信息被別人

存取,以及通過設備接收的信息如email等相關信息。

3)用戶故障

比如刪除關鍵數據或輸人錯誤。

4)技術故障

導致數據中斷、刪除和不可存取。

5)其他

其他不可預期和預防的失效和事件。

移動智能終端應用軟件在設計、開發(fā)過程中如果存在導致上述安

全漏洞的缺陷和弱點，將影響用戶數據和信息的安全。此外，由于在

移動智能終端上運行的應用軟件更是由眾多獨立的軟件開發(fā)商或開

發(fā)組織甚至是個人所研發(fā)的，其開發(fā)過程缺乏行之有效的安全監(jiān)管。

綜上所述，移動智能終端應用軟件不應局限于功能的正常運行，

而應對移動智能終端應用軟件安全評估需求分析，確立應用軟件安全

4

性衡量指標，主要考慮軟件應用的安全性和應用程序的自身安全。研

究范疇主要包括：軟件授權、訪問控制等安全功能建模與測試研究；

形式化安全測試方法的研究、基于風險的安全測試及其在軟件工程實

踐中的應用、模糊測試、語法測試、基于屬性的安全測試方法研究。

1.3.5編制工作簡要過程

按照項目進度要求，編制組人員首先對所參閱的產品、文檔以及

標準進行反復閱讀與理解，查閱有關資料，編寫標準編制提綱，在完

成對提綱進行交流和修改的基礎上，開始具體的編制工作。

2013年1月，完成了對移動終端應用軟件安全相關技術文檔和前

期基礎調研。編制組充分調研了移動智能終端應用軟件在使用過程中

面臨的安全隱患，借鑒傳統PC平臺的安全防護思路，結合移動智能

終端的特點，提出了移動終端應用軟件安全防護要求。

2013年3月完成了標準草案的編制工作。以編制組人員收集的資

料為基礎，在不斷的討論和研究中，完善內容，最終形成了本標準草

案。

2013年5月，編制組在檢測中心內部對標準草案進行了討論，修

改完成后形成草稿（第一稿）。

2013年6月，編制組以郵件方式征求了新能聚信、奇虎360等參

與編制廠商的意見。編制組根據反饋意見，積極修改，形成了草稿（第

二稿）。

2013年12月，編制組以現場研討方式征求了信大捷安、上海辰

銳和上海交大等單位的意見。編制組根據反饋意見進行修改，形成了

5

草稿（第三稿）。

2014年3月，CCSA在成都召開了標準工作組會議，與會專家對文

本進行了認真審議，并提出了相關意見和建議。編制組根據專家意見

進行修改完善。

2014年10月，編制組在檢測中心廣泛征求意見，編制組根據意

見進行了修改，形成了征求意見稿（第一稿）。

2014年12月，CCSA在北京召開了標準工作組會議，與會專家對

文本進行了認真審議，并提出了相關意見和建議。編制組根據專家意

見進行修改完善，形成了征求意見稿（第二稿）。

2015年4月，編制組以郵件方式征求了金山軟件、華為等單位的

意見，編制組根據意見進行了修改，形成了征求意見稿（第三稿）。

2016年3月，CCSA在北京召開了標準工作組會議，與會專家對文

本進行了認真審議，并提出了相關意見和建議。編制組根據專家意見

進行修改完善，形成了送審稿。

2016年6月，WG6工作組在北京召開了標準工作組會議，與會專

家對文本進行了認真審議，并提出了相關意見和建議。編制組根據專

家意見進行修改完善。

1.3.6起草人及其工作

標準編制組具體由俞優(yōu)、顧健、陳妍、陸臻、張笑笑、沈亮等人

組成。俞優(yōu)全面負責標準編制工作，包括制定工作計劃、確定編制內

容和整體進度、人員的安排；陸臻和張笑笑主要負責標準的前期調研、

現狀分析、標準各版本的編制、意見匯總的討論處理、編制說明的編

6

寫等工作；沈亮負責標準校對審核等工作；顧健主要負責標準編制過

程中的各項技術支持和整體指導。

1標準主要內容

2.1編制原則

為使標準的內容從一開始就與國家標準保持一致，符合我國的實

際情況，遵從我國有關法律、法規(guī)的規(guī)定。編制過程中遵循下述幾個

原則:

（1）符合國家的有關政策法規(guī)要求；

（2）與已頒布實施的相關標準相協調；

（3）充分考慮我國移動智能終端應用軟件的現狀；

（4）適度考慮目前處于發(fā)展成熟過程中的技術，保持一定的前

瞻性。

2.2編制思路

標準將從安裝與卸載、訪問權限控制、數據安全、運行安全等方

面規(guī)范移動智能終端應用軟件的開發(fā)、設計。

一、安裝與卸載的安全

為了防止移動智能終端應用軟件對原有系統內的應用造成不當

的影響或破壞,使其得到認可并被安裝，應用軟件應具備供應者或開

發(fā)者的數字簽名信息,其安裝過程只能運行在特定環(huán)境中且不能破

壞其運行環(huán)境，需要檢查相應的授權和數字簽名。卸載時應將其安裝

7

進去的文件全部卸載，自動運行權限需要得到用戶的明確授權等。

二、訪問權限控制

移動智能終端應用軟件的權限，包括網絡訪問、信息發(fā)送、自動

啟動、媒體錄制、讀取\寫入用戶數據等權限，關系到用戶個人信息

和隱私的保護，需要對應用軟件的權限和訪問安全機制進行要求。

三、數據安全

從密碼的顯示、存儲，敏感數據處理的預期行為，數據備份和恢

復、安全性提示等等方面進行要求，確保用戶數據的安全性。

四、運行安全

從程序的實現安全、穩(wěn)定性和容錯性等方面進行要求，保證程序

的正常工作。

2.3標準內容

2.3.1標準結構

本標準的編寫格式和方法依照GB/T1.1-2009標準化工作導則

第一部分：標準的結構和編寫規(guī)則。

本標準主要結構包括如下內容：

1.范圍2.規(guī)范性引用文件

3.術語和定義4.安全技術要求

5.測試評價方法

2.3.2主要內容

2.3.2.1范圍、規(guī)范性引用文件、術語和定義和縮略語

8

該部分定義了本標準適應的范圍，所引用的其它標準情況，及以

何種方式引用，術語和定義部分明確了該標準所涉及的一些術語。

2.3.2.3安全技術要求

一、安全要求

1)安裝與卸載的安全

安裝要求：應具備供應者或開發(fā)者的數字簽名信息，其安裝過程

只能運行在特定環(huán)境中且不能破壞其運行環(huán)境,需要檢查相應的授

權和數字簽名。

——應能正確安裝到相關終端上，并生成相應的圖標；

——應包含數字簽名信息、軟件屬性信息；

——應用軟件啟動前應得到用戶的許可；

——不應對系統軟件和其他應用軟件造成影響。

卸載要求：卸載時應將其安裝進去的文件全部卸載，自動運行權

限需要得到用戶的明確授權等。

——安裝的文件應能完全移除；

——修改的系統配置信息（如注冊表）應能復原；

——卸載用戶使用過程中產生的數據時應有提示；

——不應影響其他軟件的功能。

2)鑒別機制

身份鑒別：若終端應用軟件本身涉及敏感數據，則應對訪問用戶

提供有效的身份鑒別機制。

——在用戶訪問應用業(yè)務前，終端應用軟件對其身份進行鑒

別，并提供鑒別失敗處理措施；

9

——具備登錄超時后的鎖定或注銷功能。

口令安全機制：若終端應用軟件使用過程中涉及用戶口令，應提

供完善的口令保護機制。

——在使用過程中不應以明文形式顯示和存儲；

——不應默認保存用戶上次的賬號及口令信息；

——具備口令強度檢查機制；

——具備口令時效性檢查機制；

——修改或找回口令時，具備驗證機制。

3)訪問控制

基于用戶的控制：若終端應用軟件本身涉及敏感數據，則應對訪

問用戶提供有效的授權機制。

——授權用戶訪問的內容不能超出授權的范圍；

——限制應用用戶賬號的多重并發(fā)會話。

對應用軟件的限制：終端應用軟件訪問終端數據應得到終端操作

系統用戶明確的許可。

——未得到許可前不應訪問終端數據；

——未得到許可前不應修改、刪除終端數據。

4)數據安全

數據存儲安全：終端應用軟件不應以明文形式存儲敏感數據，防

止數據被未授權獲取。

數據刪除：終端應用軟件若具備數據刪除功能，在刪除數據前應

明確提示用戶，并由用戶再次確認是否刪除數據。

10

備份和恢復：終端應用軟件若具備備份和恢復功能，安全機制如

下：

——備份機制應完整有效，且備份數據應保密存儲；

——恢復數據在使用前應校驗其可用性、完整性。

5)運行安全

實現安全：應保證程序自身的安全性。

——不應設計有違反或繞過安全規(guī)則的任何類型的入口和

文檔中未說明的任何模式的入口；

——具備安全機制防止程序被反編譯、反調試。

穩(wěn)定性：應保證應用軟件的穩(wěn)定運行，避免出現功能失效等類似

現象。

——不應造成終端崩潰或異常的情況；

——避免出現失去響應、閃退等現象；

——應允許隨時停止、退出。

容錯性：應能處理不可預知的錯誤操作，不應影響程序的正常工

作。

升級能力：支持應用軟件的更新；且至少采取一種安全機制，保

證升級的時效性，例如自動升級，更新通知等手段。

二、安全保障要求

該部分對產品的開發(fā)和使用文檔的內容進行了要求，包括開發(fā)、

指導性文檔、生命周期支持、測試和脆弱性評定。

2.4編制的背景和意義

根據中國互聯網信息中心（CNNIC）對于手機應用使用率的統計，

11

可顯示出當前移動智能終端應用發(fā)展的趨勢。

圖2手機網絡應用使用率

1)即時通信應用

即時通信是使用率最高的應用，當前即時通訊工具發(fā)展特點：其

一，眾多互聯網企業(yè)布局智能終端即時通訊工具；其二，智能終端即

時通訊工具功能不斷增強，能實現集聲音、文字、圖像、視頻的低成

本高效率的通訊服務，并與社交應用不斷融合，比如郵箱、微博等產

品，幫助用戶整合和管理關系鏈，來滿足用戶移動社交的新需求；最

后，智能終端即時通訊工具平臺化，將其他應用不斷引入平臺，提供

12

更多附加服務，尋找新的盈利點。

2)網絡搜索應用

隨著智能終端的不斷普及，各大搜索引擎網站不斷推出、優(yōu)化智

能終端搜索客戶端，提升了用戶移動端的搜索體驗，促使更多用戶使

用。另一方面，與傳統的互聯網搜索相比，智能終端搜索有較好的便

利性。用戶隨時隨地查找信息的需求越來越強烈，智能終端的搜索迎

合這種需求。隨著終端智能化的趨勢，未來的搜索應用呈現語音化、

個性化和基于地理位置服務等發(fā)展趨勢。

3)微博應用

微博是使用率增幅最大的智能終端應用，智能終端的微博體現了

微博內容的即時性和發(fā)揮微博應用的自媒體優(yōu)勢，用戶體驗較好，流

失率較低；另一方面，智能終端微博客戶端功能不斷增強，例如增加

LBS交友、社會化閱讀、興趣社區(qū)和通過客戶端直接購物等，提升了

智能終端用戶使用微博的黏性和使用體驗。

4)網絡視頻應用

網絡視頻是智能終端娛樂類應用的增長亮點。在三網融合的大背

景下，三屏合一為大勢所趨，網絡視頻是最主要應用之一。視頻應用

快速發(fā)展的原因包括：其一，目前智能手機價格持續(xù)下降、操作系統

高度智能化，同時越來越多的家庭搭建起WiFi環(huán)境，這些因素為視

頻應用發(fā)展提供了用戶基礎和硬件支持。其二，國內視頻網站紛紛推

出移動客戶端，搶占無線市場，同時部分視頻網站加強與電信運營商

的合作，手機視頻內容不斷豐富。在視頻網站、運營商等多方積極推

動下，用戶使用手機終端在線看視頻的習慣正在逐步養(yǎng)成。

對于移動互聯網來說，移動智能終端正逐漸發(fā)展成為一個巨大的

新興市場，也逐步改變著人類的生活習慣和傳統觀念，為個人和企業(yè)

13

帶來了便利和效率。隨著智能終端的普及，其問題也日益凸顯。一方

面，互聯網上原有的惡意程序傳播、遠程控制、網絡攻擊等傳統網絡

安全威脅向移動互聯網快速蔓延，導致智能終端面臨著安全威脅。另

一方面，智能終端和用戶個人利益關系更加密切，惡意吸費、用戶信

息竊取、誘騙欺詐也隨之出現。

因此，對移動智能終端應用軟件產品的標準和測評方法進行研

究，對其安全級別進行等級保護劃分，并在此基礎上為相關企業(yè)和部

門提供安全性測評服務，是國家信息化發(fā)展戰(zhàn)略的重要組成部分，是

提升企業(yè)競爭力的堅實基礎，是發(fā)展節(jié)約型服務機構的迫切需要，是

用戶放心體驗新技術的技術技術保障，具有非常重要的現實意義。

根據移動智能終端應用軟件面臨的風險特點，從標準要求的安裝

與卸載的安全性、手機應用程序權限管理、數據安全性、通訊安全性

和人機接口安全性等方面進行測試和驗證,具體測試策略可包括：

1)驗證被測試收集應用軟件是否滿足預定的安全準則和要求，檢

查軟件的防止災難故障能力；

2)硬件和軟件在各種故障模式下的測試,對硬件和軟件在降級配

置時的處理和保護能力測試；

3)各種保護能力測試,包括容錯操作能力測試、操作數據安全性

保護測試、通訊數據安全性保護測試、對重要數據抗非法訪問能力測

試、權限管理保護測試；

4)多系統、多平臺上運行的軟件人機接口的安全性測試；

5)測試過程中嚴格執(zhí)行JAVA安全域的劃分,并進行相應的簽