GB∕T 39720-2020 信息安全技術(shù) 移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法

ICS35.040CCSL80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法I2020-12-14發(fā)布2021-07-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB／T39720—2020前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 6安全技術(shù)要求 6.3應(yīng)用軟件安全 6.4通信連接安全 6.5用戶數(shù)據(jù)安全 7測(cè)試評(píng)價(jià)方法 7.3應(yīng)用軟件安全 7.4通信連接安全 7.5用戶數(shù)據(jù)安全 參考文獻(xiàn) ⅠGB／T39720—2020本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：深圳信息通信研究院、中國(guó)信息通信研究院、OPPO廣東移動(dòng)通信有限公司、中國(guó)科學(xué)院信息工程研究所、北京郵電大學(xué)、北京三星通信技術(shù)研究有限公司、維沃移動(dòng)通信有限公司、華為技術(shù)有限公司、北京奇虎科技有限公司、武漢安天信息技術(shù)有限責(zé)任公司、南昌黑鯊科技有限公司。1GB／T39720—2020信息安全技術(shù)移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法本文件規(guī)定了移動(dòng)智能終端安全技術(shù)要求及測(cè)試評(píng)價(jià)方法，包括硬件安全、系統(tǒng)安全、應(yīng)用軟件安全、通信連接安全、用戶數(shù)據(jù)安全。本文件適用于移動(dòng)智能終端的設(shè)計(jì)、開發(fā)、測(cè)試和評(píng)估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T信息安全技術(shù)術(shù)語GB/T信息安全技術(shù)移動(dòng)智能終端安全架構(gòu)GB/T信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語和定義GB/T25069、GB/T32927、GB/T35273界定的以及下列術(shù)語和定義適用于本文件。3.1移動(dòng)智能終端具有能夠提供應(yīng)用程序開發(fā)接口的開放系統(tǒng)，并能夠安裝和運(yùn)行第三方應(yīng)用軟件的移動(dòng)終端。［來源：GB/T32927—2016,3.1.9,有修改］3.2用戶使用移動(dòng)智能終端，與移動(dòng)智能終端進(jìn)行交互的對(duì)象。［來源：GB/T32927—2016,3.1.11]3.3用戶數(shù)據(jù)由用戶產(chǎn)生或?yàn)橛脩舴?wù)的數(shù)據(jù)，包括由用戶在本地生成的數(shù)據(jù)、為用戶在本地生成的數(shù)據(jù)、在用戶許可后由外部進(jìn)入用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等。［來源：GB/T32927—2016,3.1.12]3.4移動(dòng)應(yīng)用軟件移動(dòng)智能終端系統(tǒng)之上安裝的、向用戶提供服務(wù)功能的應(yīng)用軟件。3.5訪問控制一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。2GB／T39720—2020［來源：GB/T32927—2016,3.1.5]3.6授權(quán)根據(jù)預(yù)先認(rèn)可的安全策略，賦予主體可實(shí)施相應(yīng)行為權(quán)限的過程。［來源：GB/T32927—2016,3.1.7,有修改］3.7數(shù)字簽名附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以證明數(shù)據(jù)單元的來源和完整性，并保護(hù)數(shù)據(jù)單元的發(fā)送者和接收者以防止數(shù)據(jù)被第三方偽造，保護(hù)發(fā)送者以防止被接收者偽造。［來源：ISO/IEC11770-3:2015,3.7]4縮略語下列縮略語適用于本文件。應(yīng)用程序編程接口(近場(chǎng)通信(安全數(shù)字存儲(chǔ)卡(通用串行總線(無線局域網(wǎng)(5概述移動(dòng)智能終端安全架構(gòu)主要包括5個(gè)部分：硬件安全、系統(tǒng)安全、移動(dòng)應(yīng)用軟件（以下簡(jiǎn)稱“應(yīng)用軟件”）安全、通信連接安全和用戶數(shù)據(jù)安全。硬件主要包括基礎(chǔ)硬件模塊、硬件接口和外設(shè)；系統(tǒng)主要包括硬件驅(qū)動(dòng)、軟件系統(tǒng)內(nèi)核、各種函數(shù)庫、基礎(chǔ)服務(wù)等；應(yīng)用軟件主要包括運(yùn)行在移動(dòng)智能終端系統(tǒng)上的各種本地及應(yīng)用，包括消費(fèi)類應(yīng)用、行業(yè)應(yīng)用等各類別應(yīng)用軟件；通信連接主要包括網(wǎng)絡(luò)接入、通信過程、外圍接口；用戶數(shù)據(jù)包括移動(dòng)智能終端上的用戶數(shù)據(jù)及應(yīng)用軟件產(chǎn)生的用戶數(shù)據(jù)。如圖1所示。圖1移動(dòng)智能終端安全架構(gòu)本文件凡涉及采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的，應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。3GB／T39720—20206安全技術(shù)要求在用戶不知情的情況下，芯片不應(yīng)存在可訪問芯片內(nèi)存或更改芯片功能的隱藏接口，包括在芯片設(shè)計(jì)驗(yàn)證階段使用的調(diào)試接口。系統(tǒng)應(yīng)具備數(shù)字簽名（以下簡(jiǎn)稱“簽名”）的校驗(yàn)機(jī)制，未經(jīng)簽名的應(yīng)用軟件嘗試安裝時(shí)，系統(tǒng)應(yīng)拒絕安裝；當(dāng)未經(jīng)簽名認(rèn)證的應(yīng)用軟件嘗試安裝時(shí)，系統(tǒng)應(yīng)給用戶安全風(fēng)險(xiǎn)提示。系統(tǒng)應(yīng)支持用戶和應(yīng)用軟件的標(biāo)識(shí)與鑒別，具體技術(shù)要求如下：a)系統(tǒng)用戶應(yīng)具有唯一標(biāo)識(shí)，僅允許具有標(biāo)識(shí)的用戶訪問系統(tǒng)安全功能和敏感數(shù)據(jù)；b)安裝后的應(yīng)用軟件應(yīng)具有唯一標(biāo)識(shí)，僅允許具有標(biāo)識(shí)的應(yīng)用軟件訪問系統(tǒng)安全功能和敏感數(shù)據(jù)；c)在用戶執(zhí)行任何與系統(tǒng)安全功能相關(guān)操作之前應(yīng)對(duì)用戶進(jìn)行鑒別，鑒別手段應(yīng)至少支持口令、圖案、生物識(shí)別等機(jī)制中的一種；d)系統(tǒng)應(yīng)提供受保護(hù)的鑒別反饋；e)當(dāng)用戶對(duì)鑒別信息進(jìn)行修改操作前，應(yīng)確認(rèn)用戶具備對(duì)鑒別信息的修改權(quán)限。系統(tǒng)應(yīng)對(duì)用戶和應(yīng)用軟件實(shí)施訪問控制，具體技術(shù)要求如下：a)系統(tǒng)應(yīng)預(yù)置訪問控制策略，并可由授權(quán)用戶更改，更改前應(yīng)進(jìn)行身份鑒別；b)允許授權(quán)用戶及應(yīng)用軟件以訪問控制策略規(guī)定方式訪問應(yīng)用軟件、系統(tǒng)數(shù)據(jù)等資源，阻止非授權(quán)用戶及應(yīng)用軟件訪問。主體的訪問控制屬性應(yīng)至少包括讀、寫、執(zhí)行、刪除等；客體的訪問控制屬性應(yīng)包含可分配給主體的讀、寫、執(zhí)行、刪除等。系統(tǒng)應(yīng)具備權(quán)限管控機(jī)制，授權(quán)用戶可管控應(yīng)用軟件訪問與電話、短信、通訊錄、通話記錄、日歷、定位、麥克風(fēng)、拍照、攝像、傳感器、設(shè)備信息、應(yīng)用軟件列表、媒體影音數(shù)據(jù)、蜂窩網(wǎng)絡(luò)、WLAN、藍(lán)牙等相關(guān)的敏感API,管控策略應(yīng)至少包括允許、拒絕，且用戶可更改。系統(tǒng)應(yīng)對(duì)資源及數(shù)據(jù)按照敏感程度和對(duì)移動(dòng)智能終端影響程度進(jìn)行安全域劃分，不同安全域之間應(yīng)有相應(yīng)的隔離策略，安全域之間的安全策略應(yīng)通過對(duì)應(yīng)的訪問控制實(shí)現(xiàn)，具體技術(shù)要求如下：a)應(yīng)對(duì)應(yīng)用軟件采用隔離機(jī)制，未獲得相應(yīng)訪問授權(quán)的應(yīng)用軟件不應(yīng)訪問超出其訪問控制范圍內(nèi)的應(yīng)用軟件資源及系統(tǒng)資源；b)支持多用戶機(jī)制的移動(dòng)智能終端，應(yīng)提供多用戶之間的安全隔離機(jī)制；c)預(yù)置多系統(tǒng)的移動(dòng)智能終端，應(yīng)提供多系統(tǒng)之間的安全隔離機(jī)制。4GB／T39720—2020系統(tǒng)應(yīng)具備審計(jì)日志生成能力，具體技術(shù)要求如下：a)應(yīng)對(duì)系統(tǒng)運(yùn)行記錄、報(bào)警記錄、操作日志、應(yīng)用軟件運(yùn)行日志、配置信息等安全事件生成審計(jì)b)審計(jì)日志內(nèi)容應(yīng)包括事件發(fā)生的時(shí)間、主體、對(duì)象、事件描述和結(jié)果等。系統(tǒng)應(yīng)支持升級(jí)更新，具體技術(shù)要求如下：a)應(yīng)能對(duì)更新來源進(jìn)行鑒別，當(dāng)移動(dòng)智能終端不能保證安全更新時(shí)，應(yīng)在更新前或使用說明中明示安全風(fēng)險(xiǎn)；b)應(yīng)具有原始數(shù)據(jù)備份能力，升級(jí)后安全屬性（安全防護(hù)機(jī)制）應(yīng)與升級(jí)前保持一致；c)應(yīng)避免更新失敗導(dǎo)致系統(tǒng)失效。系統(tǒng)應(yīng)提供安全保護(hù)機(jī)制防范惡意代碼攻擊。系統(tǒng)應(yīng)能檢測(cè)識(shí)別非授權(quán)訪問、權(quán)限異常變化、惡意軟件安裝等惡意行為，給予用戶警告，并采取相應(yīng)安全措施（如拒絕訪問、數(shù)據(jù)隔離等）防止惡意攻擊發(fā)生。6.3應(yīng)用軟件安全應(yīng)用軟件應(yīng)采用簽名認(rèn)證機(jī)制，具體技術(shù)要求如下：a)應(yīng)用軟件應(yīng)使用數(shù)字證書對(duì)其進(jìn)行簽名，保證應(yīng)用軟件開發(fā)者或提供者所使用的數(shù)字證書信b)應(yīng)用軟件中應(yīng)包含簽名信息，且簽名信息真實(shí)可信。應(yīng)用軟件調(diào)用通信功能時(shí)，應(yīng)滿足的具體技術(shù)要求如下：a)應(yīng)用軟件應(yīng)在用戶同意后調(diào)用移動(dòng)智能終端通信功能，防止出現(xiàn)應(yīng)用在未向用戶明示且未經(jīng)用戶同意，調(diào)用移動(dòng)智能終端通信功能的行為；b)應(yīng)用軟件應(yīng)在用戶同意后通過移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接、無線外圍接口傳送數(shù)據(jù)；c)應(yīng)用軟件應(yīng)在用戶同意后撥打電話、發(fā)送短信、發(fā)送彩信、開啟移動(dòng)通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)。6.3.3應(yīng)用軟件代碼安全應(yīng)用軟件應(yīng)具備必要的安全機(jī)制以保障代碼安全，具體技術(shù)要求如下：a)應(yīng)用軟件應(yīng)防止軟件被逆向分析；b)應(yīng)用軟件宜采取代碼混淆等機(jī)制實(shí)現(xiàn)反編譯保護(hù)。應(yīng)用軟件應(yīng)基于最小化原則申請(qǐng)與電話、短信、通訊錄、通話記錄、日歷、定位、麥克風(fēng)、拍照、攝像、傳感器、設(shè)備信息、應(yīng)用軟件列表、媒體影音數(shù)據(jù)、蜂窩網(wǎng)絡(luò)、WLAN、藍(lán)牙等相關(guān)的權(quán)限，所申請(qǐng)權(quán)限、5GB／T39720—2020申請(qǐng)時(shí)機(jī)、訪問資源應(yīng)與當(dāng)前服務(wù)場(chǎng)景密切相關(guān)。無正當(dāng)理由，不應(yīng)因用戶未授權(quán)而拒絕提供相關(guān)服務(wù)或功能。6.4通信連接安全移動(dòng)智能終端應(yīng)支持安全協(xié)議在移動(dòng)智能終端側(cè)的實(shí)現(xiàn)。支持接入網(wǎng)絡(luò)中的認(rèn)證和鑒權(quán)、完整性校驗(yàn)、加密傳輸?shù)劝踩珨U(kuò)展功能，協(xié)議安全性應(yīng)符合相應(yīng)國(guó)家及行業(yè)標(biāo)準(zhǔn)要求。外圍接口分為有線外圍接口和無線外圍接口。有線外圍接口包括USB接口、SD接口等，無線外圍接口包括藍(lán)牙接口、WLAN接口和NFC接口等。移動(dòng)智能終端具備外圍接口時(shí)，應(yīng)滿足的具體技術(shù)要求如下：a)具備外圍接口（包括但不限于WLAN、藍(lán)牙、NFC、USB、SD)的移動(dòng)智能終端應(yīng)具備開關(guān)，可開啟／關(guān)閉相應(yīng)的外圍接口；b)當(dāng)應(yīng)用軟件調(diào)用開啟外圍接口時(shí)，移動(dòng)智能終端應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開啟；c)當(dāng)通過藍(lán)牙與不同設(shè)備進(jìn)行第一次連接時(shí)，移動(dòng)智能終端能發(fā)現(xiàn)該連接并給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)建立連接時(shí)，連接才可建立；d)當(dāng)移動(dòng)智能終端的藍(lán)牙或NFC已開啟或建立數(shù)據(jù)連接，移動(dòng)智能終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。移動(dòng)智能終端通信數(shù)據(jù)應(yīng)采用完整性檢驗(yàn)機(jī)制，保證數(shù)據(jù)傳輸完整性，且具有通信時(shí)延和中斷處理機(jī)制。6.5用戶數(shù)據(jù)安全移動(dòng)智能終端收集用戶數(shù)據(jù)應(yīng)滿足的具體技術(shù)要求如下：a)移動(dòng)智能終端若出于業(yè)務(wù)需要收集用戶數(shù)據(jù)，應(yīng)在收集前明示收集的目的、范圍、頻次、發(fā)生時(shí)機(jī)及對(duì)應(yīng)業(yè)務(wù)使用場(chǎng)景，并且只有在用戶同意的情況下方可繼續(xù)，且應(yīng)為用戶提供可關(guān)閉數(shù)據(jù)收集功能的選項(xiàng)；b)移動(dòng)智能終端應(yīng)在用戶同意后開啟通話錄音、本地錄音、后臺(tái)截屏、拍照、攝像、收發(fā)短信和定位等功能；c)移動(dòng)智能終端應(yīng)在用戶同意后讀取用戶本機(jī)號(hào)碼、通訊錄、通話記錄、短信數(shù)據(jù)、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等。當(dāng)用戶數(shù)據(jù)存儲(chǔ)在移動(dòng)智能終端內(nèi)部時(shí)，應(yīng)為用戶數(shù)據(jù)文件提供訪問控制機(jī)制，防止未授權(quán)訪問，用戶敏感數(shù)據(jù)應(yīng)在授權(quán)訪問的基礎(chǔ)上加密或脫敏后存儲(chǔ)。移動(dòng)智能終端加工用戶數(shù)據(jù)應(yīng)滿足的具體技術(shù)要求如下：6GB／T39720—2020a)移動(dòng)智能終端加工用戶數(shù)據(jù)前，應(yīng)明示加工數(shù)據(jù)的目的、方式和范圍，不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為，包括在用戶無確認(rèn)情況下刪除或修改用戶通訊錄、通話記錄、短信數(shù)據(jù)、日程表數(shù)據(jù)等的行為；b)移動(dòng)智能終端及應(yīng)用軟件應(yīng)提供訪問控制機(jī)制，對(duì)數(shù)據(jù)設(shè)置適當(dāng)操作權(quán)限，防止未經(jīng)授權(quán)的訪問和操作；c)移動(dòng)智能終端及應(yīng)用軟件應(yīng)對(duì)用戶敏感數(shù)據(jù)采取適當(dāng)?shù)拿撁舸胧┘庸?，避免存?chǔ)其明文原始數(shù)據(jù)。移動(dòng)智能終端轉(zhuǎn)移用戶數(shù)據(jù)應(yīng)滿足的具體技術(shù)要求如下：a)移動(dòng)智能終端進(jìn)行用戶數(shù)據(jù)轉(zhuǎn)移應(yīng)按照約定目的和用途進(jìn)行，傳輸數(shù)據(jù)之前應(yīng)對(duì)雙方進(jìn)行身份認(rèn)證和授權(quán)，應(yīng)在用戶同意后讀取并傳輸用戶數(shù)據(jù)，防止出現(xiàn)未向用戶明示且未經(jīng)用戶同意，傳輸用戶數(shù)據(jù)的行為；b)移動(dòng)智能終端應(yīng)在用戶同意后讀取并傳送用戶本機(jī)號(hào)碼、通訊錄、通話記錄、短信數(shù)據(jù)、上網(wǎng)記c)移動(dòng)智能終端轉(zhuǎn)移的用戶敏感數(shù)據(jù)應(yīng)加密后轉(zhuǎn)移。移動(dòng)智能終端對(duì)收集、加工、轉(zhuǎn)移階段所產(chǎn)生的用戶數(shù)據(jù)及其緩存數(shù)據(jù)，應(yīng)提供自動(dòng)刪除或者授權(quán)用戶手動(dòng)刪除的功能，數(shù)據(jù)刪除后不影響移動(dòng)智能終端正常使用。7測(cè)試評(píng)價(jià)方法硬件安全的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查廠商提交的文檔，查看被測(cè)移動(dòng)智能終端硬件芯片接口設(shè)計(jì)；2)驗(yàn)證被測(cè)移動(dòng)智能終端是否可以通過調(diào)試接口發(fā)送、接收調(diào)試命令；3)驗(yàn)證被測(cè)移動(dòng)智能終端是否可以通過接口讀取或改寫內(nèi)存。預(yù)期結(jié)果1)移動(dòng)智能終端不存在隱蔽調(diào)用接口，且訪問接口需要經(jīng)過用戶授權(quán)；2)無法通過接口讀取或改寫內(nèi)存。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。簽名校驗(yàn)機(jī)制的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查廠商提交的文檔，檢查簽名校驗(yàn)機(jī)制；2)審閱簽名機(jī)制所用相關(guān)加密算法、密鑰管理等策略；3)將未經(jīng)簽名的應(yīng)用軟件安裝到移動(dòng)智能終端上，檢查是否拒絕安裝；7GB／T39720—20204)將使用合法簽名應(yīng)用軟件安裝到移動(dòng)智能終端上，檢查是否可以安裝；5)將使用非簽名認(rèn)證應(yīng)用軟件安裝到移動(dòng)智能終端上，檢查是否提示風(fēng)險(xiǎn)。預(yù)期結(jié)果未經(jīng)簽名的應(yīng)用軟件安裝到移動(dòng)智能終端上時(shí)，移動(dòng)智能終端拒絕應(yīng)用安裝；經(jīng)過簽名校驗(yàn)的應(yīng)用軟件可以安裝到被測(cè)移動(dòng)智能終端上，未經(jīng)簽名認(rèn)證的應(yīng)用軟件安裝時(shí)，移動(dòng)智能終端可識(shí)別軟件狀態(tài)，向用戶提示安全風(fēng)險(xiǎn)。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。標(biāo)識(shí)與鑒別的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)查看移動(dòng)智能終端系統(tǒng)是否有用戶標(biāo)識(shí)機(jī)制。2)進(jìn)行用戶注冊(cè)和登錄操作，檢查標(biāo)識(shí)是否唯一。3)在移動(dòng)智能終端上安裝多個(gè)應(yīng)用軟件，查看系統(tǒng)是否為每個(gè)應(yīng)用軟件設(shè)置唯一的標(biāo)識(shí)符。4)審查系統(tǒng)方案，查看是否在用戶或應(yīng)用軟件訪問系統(tǒng)安全功能和敏感數(shù)據(jù)時(shí)檢測(cè)其標(biāo)識(shí)，并拒絕沒有標(biāo)識(shí)的用戶或應(yīng)用軟件的訪問請(qǐng)求。5)使用系統(tǒng)中某個(gè)用戶的身份執(zhí)行與系統(tǒng)安全功能或訪問敏感數(shù)據(jù)的相關(guān)的操作，查看系統(tǒng)是否采用下述方式中至少一種方式對(duì)用戶進(jìn)行鑒別：—彈出界面請(qǐng)求用戶輸入口令，審查是否顯示口令原始數(shù)據(jù)；—彈出界面請(qǐng)求用戶輸入圖案密碼，審查是否顯示輸入的圖案；—請(qǐng)求驗(yàn)證用戶的指紋、虹膜、人臉等生物特征信息，審查是否顯示獲取的生物特征信息；—若使用其他可以鑒別用戶身份的方式，審查鑒別過程是否對(duì)用戶數(shù)據(jù)進(jìn)行受保護(hù)的鑒別反饋。6)修改用戶鑒別信息，查看系統(tǒng)是否在修改操作前對(duì)用戶修改鑒別信息的權(quán)限重新確認(rèn)。預(yù)期結(jié)果1)系統(tǒng)為其上安裝的每個(gè)應(yīng)用軟件和每個(gè)用戶設(shè)置了唯一的標(biāo)識(shí)符；2)系統(tǒng)在用戶或應(yīng)用軟件訪問系統(tǒng)安全功能等敏感數(shù)據(jù)時(shí)會(huì)檢測(cè)其標(biāo)識(shí)，并拒絕沒有標(biāo)識(shí)的用戶或應(yīng)用軟件的訪問請(qǐng)求；3)系統(tǒng)在用戶執(zhí)行任何與系統(tǒng)安全功能相關(guān)操作之前，至少采用口令、圖案、生物識(shí)別等機(jī)制中的一種對(duì)用戶進(jìn)行身份鑒別，且提供受到保護(hù)的鑒別反饋，即在進(jìn)行鑒別信息反饋時(shí)不泄露信息內(nèi)容；4)當(dāng)用戶對(duì)鑒別信息進(jìn)行修改前，系統(tǒng)會(huì)對(duì)用戶修改鑒別信息的權(quán)限重新確認(rèn)。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。訪問控制的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查廠商提交的文檔，檢查訪問控制策略、訪問控制屬性設(shè)置；2)嘗試使用非授權(quán)用戶修改訪問控制策略；3)根據(jù)訪問控制策略內(nèi)容，使用授權(quán)用戶和應(yīng)用軟件以策略規(guī)定方式訪問策略所允許訪問8GB／T39720—2020的資源，查看是否可被訪問；4)根據(jù)訪問控制策略內(nèi)容，使用用戶和應(yīng)用軟件訪問策略所不允許訪問的資源，查看系統(tǒng)是否拒絕非授權(quán)訪問。預(yù)期結(jié)果1)移動(dòng)智能終端系統(tǒng)預(yù)置有訪問控制策略；2)訪問控制策略中，主體的訪問屬性至少包括讀、寫、執(zhí)行、刪除等，客體的訪問控制屬性包含可分配給主體的讀、寫、執(zhí)行、刪除等權(quán)限；3)系統(tǒng)允許授權(quán)用戶及應(yīng)用軟件以訪問控制策略規(guī)定方式訪問移動(dòng)智能終端應(yīng)用軟件、系統(tǒng)數(shù)據(jù)等資源，阻止非授權(quán)的訪問。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。權(quán)限管控的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查廠商提交的文檔，檢查是否可安裝第三方應(yīng)用軟件，敏感API是否可以被正常調(diào)用；2)開發(fā)一款軟件安裝至被測(cè)移動(dòng)智能終端，嘗試調(diào)用與電話、短信、通訊錄、通話記錄、日歷、定位、麥克風(fēng)、拍照、攝像、傳感器、設(shè)備信息、應(yīng)用軟件列表、媒體影音數(shù)據(jù)、蜂窩網(wǎng)絡(luò)、WLAN、藍(lán)牙等相關(guān)的敏感API（包括但不限于撥打電話、發(fā)送短信、讀取或刪除通訊錄、3)授權(quán)用戶嘗試依次更改管控策略。預(yù)期結(jié)果無授權(quán)情況下，移動(dòng)智能終端無法安裝第三方應(yīng)用軟件；或移動(dòng)智能終端可安裝第三方應(yīng)用軟件，且提供權(quán)限管控策略，管控策略包括允許和拒絕，用戶可正常更改管控策略。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。安全隔離的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查廠商提交的文檔，查看移動(dòng)智能終端是否對(duì)進(jìn)程、線程、應(yīng)用軟件等系統(tǒng)資源及數(shù)據(jù)按照敏感程度以及對(duì)移動(dòng)智能終端的影響程度進(jìn)行安全域劃分，不同安全域之間是否設(shè)置隔離策略，安全域之間的訪問是否設(shè)置安全策略進(jìn)行訪問控制；2)根據(jù)系統(tǒng)為應(yīng)用軟件設(shè)置的權(quán)限機(jī)制，嘗試使用未獲得相應(yīng)授權(quán)的應(yīng)用訪問超出其訪問權(quán)限的其他應(yīng)用軟件資源及系統(tǒng)資源，測(cè)試訪問請(qǐng)求是否被拒絕；3)若移動(dòng)智能終端支持多用戶機(jī)制，嘗試通過一個(gè)用戶訪問另一個(gè)用戶的資源，測(cè)試移動(dòng)智能終端是否在不同用戶之間設(shè)置安全隔離機(jī)制；4)若移動(dòng)智能終端預(yù)置多個(gè)系統(tǒng)，將應(yīng)用軟件在移動(dòng)智能終端任意系統(tǒng)下運(yùn)行，并嘗試調(diào)用另一系統(tǒng)接口或獲取數(shù)據(jù)，測(cè)試移動(dòng)智能終端是否在多系統(tǒng)之間設(shè)置安全隔離機(jī)制。預(yù)期結(jié)果1)移動(dòng)智能終端對(duì)系統(tǒng)資源及數(shù)據(jù)按照敏感程度、對(duì)移動(dòng)智能終端影響程度進(jìn)行安全域劃分；2)不同安全域之間有相應(yīng)的隔離策略，安全域之間的安全策略通過對(duì)應(yīng)的訪問控制實(shí)現(xiàn)；9GB／T39720—20203)移動(dòng)智能終端對(duì)應(yīng)用軟件采用隔離機(jī)制，拒絕未獲得相應(yīng)權(quán)限的應(yīng)用軟件訪問其他應(yīng)用軟件資源及系統(tǒng)資源；4)支持多用戶機(jī)制的移動(dòng)智能終端，提供多用戶之間的安全隔離機(jī)制，拒絕一個(gè)用戶訪問另一個(gè)用戶的資源；5)預(yù)置多個(gè)系統(tǒng)的移動(dòng)智能終端，提供多系統(tǒng)之間的安全隔離機(jī)制。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。審計(jì)日志的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)模擬用戶對(duì)移動(dòng)智能終端進(jìn)行連續(xù)鑒別、存儲(chǔ)耗盡、參數(shù)設(shè)置、網(wǎng)絡(luò)訪問等操作，查看是否生成審計(jì)日志；2)審查移動(dòng)智能終端生成的日志，查看其中是否記錄系統(tǒng)運(yùn)行記錄、報(bào)警記錄、操作日志、應(yīng)用軟件運(yùn)行日志、配置信息等安全事件；3)查看日志內(nèi)容是否包含事件發(fā)生時(shí)間、主體、對(duì)象、事件描述和結(jié)果等。預(yù)期結(jié)果1)移動(dòng)智能終端對(duì)系統(tǒng)運(yùn)行記錄、報(bào)警記錄、操作日志、應(yīng)用軟件運(yùn)行日志、配置信息等安全事件生成了審計(jì)日志；2)審計(jì)日志內(nèi)容包括事件發(fā)生的時(shí)間、主體、對(duì)象、事件描述和結(jié)果等。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。升級(jí)更新的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)查看使用說明和終端功能選項(xiàng)，檢查系統(tǒng)是否具有升級(jí)更新功能，檢查是否明示安全風(fēng)險(xiǎn)；2)若具有升級(jí)更新功能，使用非授權(quán)的系統(tǒng)進(jìn)行更新，并檢查移動(dòng)智能終端狀態(tài)；3)若具有升級(jí)更新功能，使用授權(quán)系統(tǒng)進(jìn)行更新，檢查是否明示安全風(fēng)險(xiǎn)，檢查移動(dòng)智能終端狀態(tài)及更新后安全屬性狀態(tài)。預(yù)期結(jié)果1)終端具備升級(jí)更新功能，且明示安全風(fēng)險(xiǎn)；2)移動(dòng)智能終端可鑒別系統(tǒng)更新來源，使用非授權(quán)系統(tǒng)無法正常更新，系統(tǒng)不會(huì)出現(xiàn)異常現(xiàn)象；3)使用授權(quán)系統(tǒng)可正常進(jìn)行更新，且系統(tǒng)更新后數(shù)據(jù)不會(huì)丟失，安全屬性與升級(jí)前一致。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。惡意代碼防范的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)對(duì)移動(dòng)智能終端實(shí)施不限于以下惡意行為：GB／T39720—2020—對(duì)移動(dòng)智能終端進(jìn)行非授權(quán)訪問；—在移動(dòng)智能終端上安裝具有惡意行為的應(yīng)用軟件；—嘗試修改測(cè)試軟件的權(quán)限。2)查看移動(dòng)智能終端是否給予用戶警告，并采取拒絕訪問、數(shù)據(jù)隔離等安全措施。預(yù)期結(jié)果移動(dòng)智能終端可檢測(cè)識(shí)別非授權(quán)訪問、權(quán)限異常變化、惡意軟件安裝等惡意行為，給予用戶警告，并采取拒絕訪問、數(shù)據(jù)隔離等安全措施。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3應(yīng)用軟件安全軟件簽名認(rèn)證的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)檢查應(yīng)用軟件是否包含開發(fā)者或提供者的簽名信息和軟件屬性信息；2)評(píng)估應(yīng)用軟件簽名信息的真實(shí)性、唯一性和規(guī)范性。預(yù)期結(jié)果應(yīng)用軟件包含簽名信息和軟件屬性信息，且簽名真實(shí)可信。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。2通信功能調(diào)用通信功能調(diào)用的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)檢查應(yīng)用軟件是否具備調(diào)用移動(dòng)智能終端通信功能的功能；2)如果應(yīng)用軟件具有通過移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接、無線外圍接口傳送數(shù)據(jù)的功能，運(yùn)行應(yīng)用軟件，檢查軟件是否明示并經(jīng)用戶同意后傳送數(shù)據(jù)；3)如果應(yīng)用軟件具有撥打電話、發(fā)送短信、發(fā)送彩信、開啟移動(dòng)通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)，運(yùn)行應(yīng)用軟件，檢查軟件是否明示并經(jīng)用戶同意后調(diào)用以上移動(dòng)智能終端通信功能。預(yù)期結(jié)果應(yīng)用軟件若調(diào)用移動(dòng)智能終端通信功能，在明示用戶且在用戶同意后可調(diào)用功能，收發(fā)或傳送數(shù)據(jù)。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.3.3應(yīng)用軟件代碼安全應(yīng)用軟件代碼安全的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)逆向分析應(yīng)用軟件，審查代碼邏輯，嘗試進(jìn)行反編譯等行為；2)反編譯應(yīng)用軟件后，查看其代碼是否混淆。預(yù)期結(jié)果無法逆向分析應(yīng)用軟件，或應(yīng)用軟件支持代碼混淆等安全機(jī)制。GB／T39720—2020結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。最小化權(quán)限的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查應(yīng)用軟件申請(qǐng)的權(quán)限，或可訪問的系統(tǒng)資源，包括但不限于用戶數(shù)據(jù)、多媒體數(shù)據(jù)、系統(tǒng)數(shù)據(jù)等；2)運(yùn)行應(yīng)用軟件遍歷軟件功能，檢查應(yīng)用軟件在實(shí)際使用過程中申請(qǐng)權(quán)限和訪問系統(tǒng)資源的時(shí)機(jī)和場(chǎng)景；3)審查應(yīng)用軟件業(yè)務(wù)設(shè)計(jì)方案，遍歷應(yīng)用軟件業(yè)務(wù)功能，查看是否存在申請(qǐng)權(quán)限和訪問系統(tǒng)資源的時(shí)機(jī)和場(chǎng)景與當(dāng)前服務(wù)場(chǎng)景及業(yè)務(wù)設(shè)計(jì)無關(guān)，是否存在拒絕權(quán)限申請(qǐng)和訪問系統(tǒng)資源而導(dǎo)致應(yīng)用無法使用其他無關(guān)功能。預(yù)期結(jié)果應(yīng)用軟件所申請(qǐng)權(quán)限及訪問系統(tǒng)資源的時(shí)機(jī)和場(chǎng)景與當(dāng)前服務(wù)場(chǎng)景密切相關(guān)，均在軟件合理業(yè)務(wù)范圍內(nèi)，不存在濫用行為；不存在因拒絕權(quán)限申請(qǐng)及訪問系統(tǒng)資源而導(dǎo)致無法使用其他無關(guān)功能。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.4通信連接安全網(wǎng)絡(luò)接入安全的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法審查廠商提供的文檔，查看被測(cè)移動(dòng)智能終端中是否支持安全協(xié)議在移動(dòng)智能終端側(cè)的實(shí)現(xiàn)，協(xié)議中是否支持接入網(wǎng)絡(luò)中的認(rèn)證和鑒權(quán)、完整性校驗(yàn)、加密傳輸?shù)劝踩珨U(kuò)展功能，查看協(xié)議安全性是否符合相應(yīng)國(guó)家及行業(yè)標(biāo)準(zhǔn)要求。預(yù)期結(jié)果移動(dòng)智能終端中支持安全協(xié)議在移動(dòng)智能終端側(cè)的實(shí)現(xiàn)，協(xié)議中支持接入網(wǎng)絡(luò)中的認(rèn)證和鑒權(quán)、完整性校驗(yàn)、加密傳輸?shù)劝踩珨U(kuò)展功能，協(xié)議安全性符合相應(yīng)國(guó)家及行業(yè)標(biāo)準(zhǔn)要求。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。外圍接口安全的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)檢查移動(dòng)智能終端是否支持WLAN、藍(lán)牙、NFC、USB、SD等外圍接口，若支持查看是否具備開啟／關(guān)閉的功能選項(xiàng)；2)將應(yīng)用軟件安裝到移動(dòng)智能終端上，遍歷各個(gè)外圍接口和物理端口，嘗試建立數(shù)據(jù)連接，查看是否具有提示，是否經(jīng)用戶確認(rèn)后建立連接；3)嘗試接入自啟動(dòng)移動(dòng)智能終端外接存儲(chǔ)設(shè)備，查看是否具有提示和用戶確認(rèn)功能。預(yù)期結(jié)果GB／T39720—20201)WLAN、藍(lán)牙、NFC、USB、SD等外圍接口具備開關(guān)選項(xiàng)；2)應(yīng)用軟件開啟外圍接口時(shí)，給予相應(yīng)的提示，用戶確認(rèn)后開啟連接；3)藍(lán)牙與不同設(shè)備的第一次連接，在向用戶提示并經(jīng)用戶確認(rèn)后建立；4)NFC和藍(lán)牙在開啟或數(shù)據(jù)連接的狀態(tài)下，在主界面具有狀態(tài)提示；5)移動(dòng)智能終端能夠提示用戶連接狀態(tài)，建立數(shù)據(jù)連接和數(shù)據(jù)傳輸前需要用戶確認(rèn)才進(jìn)行，外接存儲(chǔ)設(shè)備無法自啟動(dòng)。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。數(shù)據(jù)傳輸安全的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查廠商提交的文檔，檢查數(shù)據(jù)通信過程是否采用完整性保護(hù)，移動(dòng)智能終端采用的異常處理方法；2)被測(cè)移動(dòng)智能終端連接測(cè)試平臺(tái)，模擬傳輸信息數(shù)據(jù)，通信中斷等過程。預(yù)期結(jié)果1)移動(dòng)智能終端采用完整性校驗(yàn)機(jī)制，信息無法篡改或經(jīng)過篡改的信息無法傳輸；2)移動(dòng)智能終端具有中斷、時(shí)延處理機(jī)制。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。7.5用戶數(shù)據(jù)安全用戶數(shù)據(jù)收集的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查移動(dòng)智能終端業(yè)務(wù)是否存在收集用戶數(shù)據(jù)的行為；2)若存在收集用戶數(shù)據(jù)的行為，則判斷其是否向用戶明示收集的目的、范圍、頻次、發(fā)生時(shí)機(jī)及對(duì)應(yīng)業(yè)務(wù)使用場(chǎng)景，且征得了用戶同意；3)檢查移動(dòng)智能終端是否提供用戶數(shù)據(jù)收集的關(guān)閉功能。預(yù)期結(jié)果1)移動(dòng)智能終端不存在收集用戶數(shù)據(jù)的行為；或移動(dòng)智能終端存在收集用戶數(shù)據(jù)的行為，但收集前向用戶明示了收集的目的、范圍、頻次、發(fā)生時(shí)機(jī)及對(duì)應(yīng)業(yè)務(wù)使用場(chǎng)景，并在收集前經(jīng)過了用戶同意；2)移動(dòng)智能終端提供用戶數(shù)據(jù)收集關(guān)閉功能。結(jié)果判定上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。用戶數(shù)據(jù)存儲(chǔ)的測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定如下。測(cè)試方法1)審查移動(dòng)智能終端是否存在本地存儲(chǔ)用戶數(shù)據(jù)的行為；2)若移動(dòng)智能終端存儲(chǔ)用戶數(shù)據(jù)，則嘗試讀取移動(dòng)智能終端用戶數(shù)據(jù)，查看是否有訪問控制GB／T39720—2020機(jī)制；3)采用授權(quán)的方式提取本地存儲(chǔ)的用