犐犆犛犔中华人民共和国国家标准犌犅代替犜信息安全技术移动通信智能终端操作系统安全技术要求犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿狅狀狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾发布实施国家市场监督管理总局国家标准化管理委员会发布犌犅犜目次前言范围规范性引用文件术语定义和缩略语术语和定义缩略语概述移动终端操作系统描述移动终端操作系统安全特征安全问题定义资产安全威胁组织安全策略假设安全目的移动终端操作系统安全目的环境安全目的安全要求安全功能要求安全保障要求基本原理安全目的基本原理安全要求的基本原理组件依赖关系参考文献犌犅犜前言本标准按照给出的规则起草本标准代替移动通信智能终端操作系统安全技术要求级本标准与相比主要技术变化如下修改了标准名称为信息安全技术移动通信智能终端操作系统安全技术要求修改了范围中安全技术要求级别见第章修改了第章规范性引用文件见第章和年版的第章增加了术语可信信道可信路径和数据及其定义见修改了术语移动通信智能终端和用户数据的定义见删除了部分术语见年版的第章增加了部分缩略语见修改了移动通信智能终端操作系统描述见修改了安全问题定义中威胁组织安全策略和假设的规定见修改了安全目的的规定见第章将原标准第章安全功能要求和第章安全保障要求合并为安全要求见第章删除了安全审计类中的审计查阅和有限审计查阅见年版的和删除了密码支持类中的扩展组件密码支持基本要求和密码操作应用见年版的和删除了安全管理类中的安全属性撤销见年版的删除了访问类中会话建立和可选属性范围限定见年版的和增加了安全审计类中的防止审计数据丢失见增加了密码支持类见增加了用户数据保护类中的子集残余信息保护和基本回退见和增加了安全管理类中的数据限值的管理见增加了保护类中的失效即保持安全状态见增加了资源利用类见增加了级的安全保障要求见修改了安全目的和安全要求的基本原理的规定见和增加了组件依赖关系的规定见请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国信息安全测评中心兴唐通信科技有限公司国网思极网安科技北京有限公司北京元心科技有限公司中国科学院软件研究所北京邮电大学中国信息通信研究院展讯通信上海有限公司本标准主要起草人张宝峰贾炜杨永生石松李凤娟许源殷树刚宁华饶华一毕海英犌犅犜张骁熊琦邓辉高金萍张阳梁洪亮邹仕洪毛军捷王蓓蓓庞博朱瑞瑾刘昱函许勇刚陈佳哲李贺鑫李祉岐魏伟孙亚飞王宇航王亚楠李静朱克雷黄小莉骆扬王书毅王峰张罛斌郭颖本标准所代替标准的历次版本发布情况为犌犅犜信息安全技术移动通信智能终端操作系统安全技术要求范围本标准规定了移动通信智能终端以下简称移动终端操作系统的安全功能要求和达到和保障级的安全保障要求本标准适用于移动终端操作系统产品的设计开发测试和采购规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息技术安全评估准则第部分简介和一般模型信息技术安全技术信息技术安全评估准则第部分安全功能组件信息技术安全技术信息技术安全评估准则第部分安全保障组件信息安全技术术语术语定义和缩略语术语和定义及界定的以及下列术语和定义适用于本文件管理员犪犱犿犻狀犻狊狋狉犪狋狅狉一个授权用户拥有管理部分或全部移动终端操作系统安全功能的权限同时可拥有旁路部分移动终端操作系统安全策略的特权应用软件犪狆狆犾犻犮犪狋犻狅狀狊狅犳狋狑犪狉犲移动终端操作系统之外向用户提供服务功能的软件鉴别数据犪狌狋犺犲狀狋犻犮犪狋犻狅狀犱犪狋犪用于验证用户所声称身份的信息授权用户犪狌狋犺狅狉犻狕犲犱狌狊犲狉依据安全策略可执行某项操作的用户犌犅犜资源狉犲狊狅狌狉犮犲一组有限的逻辑或物理实体注操作系统为用户主体和客体分配或管理资源如存储空间电源无线通信设备等会话狊犲狊狊犻狅狀用户与的一段交互注会话建立受控于多种因素如用户鉴别对访问的时间和方法及允许建立会话的最大数等移动通信智能终端狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾能接入移动通信网提供应用软件开发接口并能安装和运行第三方应用软件的移动终端设备犜犗犈安全功能犜犗犈狊犲犮狌狉犻狋狔犳狌狀犮狋犻狅狀犪犾犻狋狔正确执行应依赖的的所有硬件软件和固件的组合功能可信信道狋狉狌狊狋犲犱犮犺犪狀狀犲犾同远程可信产品能在必要的信任基础上进行通信的一种通信手段可信路径狋狉狌狊狋犲犱狆犪狋犺用户和能在必要的信任基础上进行通信的一种通信手段犜犛犉数据犜犛犉犱犪狋犪实施移动终端操作系统安全功能所依赖的数据用户数据狌狊犲狉犱犪狋犪由用户产生或为用户服务的数据缩略语下列缩略语适用于本文件应用编程接口配置管理评估保障级互联网协议信息技术保护轮廓安全功能策略安全功能要求安全目标评估对象安全功能接口犌犅犜概述移动终端操作系统描述移动终端操作系统是运行在智能移动终端上的系统软件是智能移动终端的组成部分用于控制管理移动终端上的硬件软件和固件提供用户操作界面和应用软件编程接口移动终端操作系统应具备下述特征运行在智能移动终端上支持多个用户角色支持应用软件安装应用软件通过操作系统访问数据传感器及无线通信资源支持基于互联网协议的网络通信可与远程信息系统协同工作移动终端操作系统安全特征移动终端操作系统需要抵御的威胁主要来自非授权用户的访问授权用户的恶意访问恶意应用软件的访问和互联网非授权实体的访问等移动终端失去物理保护时可能受到非授权用户的恶意访问因此移动终端操作系统应利用会话建立会话锁定会话解锁数据备份备份数据保护防丢失等功能应对此类威胁防范用户数据的泄露和丢失移动终端操作系统应通过安全角色划分把对用户数据通信资源的访问授权管理职能赋予移动终端授权用户移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术用户以实现远程可信信息系统对移动终端的管理移动终端授权用户可能有旁路或部分旁路移动终端操作系统安全机制的特权应通过划分角色对授权用户的权限加以限制并通过审计对授权用户的操作行为进行记录和跟踪移动终端操作系统应具备数据传输保护完整性校验等安全特性维系与应用软件责任担保者之间的信任传递链条抵御恶意软件的安装同时移动终端操作系统应通过实施访问控制策略限制应用软件的访问权限使应用软件对用户数据通信资源传感器的访问均被访问控制策略覆盖移动终端操作系统应对网络信息实施信息流控制策略过滤无法鉴别未经授权的网络数据包保护移动终端的带宽资源话费和电源能量移动终端操作系统及其安全功能自身也应得到保护移动终端安全架构应保证移动终端操作系统不受不可信用户不可信主体的干扰和破坏移动终端操作系统部分安全功能的实现还应得到密码服务的支持这些安全功能包括标识与鉴别可信信道等移动终端操作系统应具备的安全功能如下对用户应用进程等进行唯一标识对用户和远程实体进行鉴别执行访问控制和网络信息流控制策略执行应用软件限制策略执行设备安全管理即具有可配置的安全和管理策略实现远程可信信息系统对移动终端的安全管理执行访问授权管理即管理员能根据需要初始化配置修改应用软件的访问权限犌犅犜对用户行为审计提供密码支持安全问题定义资产应保护的评估对象资产数据如鉴别数据安全属性访问控制列表安全配置数据等信息用户数据如用户身份标识位置信息账户信息通信记录通讯录等信息敏感资源包含通信资源外设资源如摄像头位置传感器等注作者宜根据具体的应用情况细化对资产的描述安全威胁数据传输窃听犜犈犃犞犈犛犇犚犗犘恶意用户或进程可能监听或修改移动终端操作系统之间或者移动终端操作系统与远程可信产品间传递的用户数据或数据安全功能失效犜犜犛犉犆犗犕犘犚犗犕犐犛犈恶意用户或进程通过攻击手段非法地浏览修改或删除数据或可执行代码这可能让恶意用户或进程获得移动终端操作系统的配置信息或可能导致移动终端操作系统的安全功能对于数据资产保护的安全机制不再正常工作授权用户恶意行为犜犃犆犆犈犛犛犕犃犔犐犆犐犗犝犛授权用户因安全意识薄弱或误操作对移动终端操作系统进行不正确地配置或授权用户恶意利用权限进行非法操作使移动终端安全受到威胁非授权网络流量犜犝犖犃犝犜犎犗犚犐犣犈犇犖犈犜犉犔犗犠未授权外部实体向移动终端操作系统发送网络数据或接收经由移动终端操作系统传输的网络数据残余信息利用犜犚犈犛犐犇犝犃犔犇犃犜犃恶意用户或进程可能利用移动终端操作系统残留信息的处理缺陷在执行过程中对未删除的残留信息进行利用以获取敏感信息或滥用移动终端操作系统的安全功能恶意软件犜犕犃犔犐犆犐犗犝犛犃犘犘恶意软件可能通过伪装成授权应用或进程访问用户数据和系统敏感资源非授权访问犜犝犖犃犝犜犎犗犚犐犣犈犇犃犆犆犈犛犛非授权用户或进程访问移动终端操作系统的安全功能数据和用户数据并对安全功能数据和用户数据进行恶意操作重放攻击犜犚犈犘犔犃犢非授权用户利用所截获的授权用户信息重新提交给移动终端操作系统以假冒授权用户访问移动犌犅犜终端操作系统的功能和数据会话冒用犜犝犖犃犜犜犈犖犇犈犇犛犈犛犛犐犗犖非授权用户可以利用不被使用的会话假冒授权用户对移动终端操作系统的功能和数据产生威胁设备丢失犜犔犗犛犜移动终端操作系统所运行的物理设备在被出售交换遗失的情况下非授权用户可通过攻击方式获取授权用户数据组织安全策略组织应为移动终端操作系统提供敏感数据加密存储和通讯功能的密码策略假设物理安全犃犘犎犢犛犐犆犃犔假设移动终端操作系统所依赖的运行环境能提供移动终端操作系统安全运行所需的物理安全保护人员犃犘犈犚犛犗犖犖犈犔假设移动终端操作系统的合法用户能按照管理员指南来管理移动终端操作系统的安全功能对移动终端操作系统不存在恶意的破坏企图远程设备安全犃犚犈犕犗犜犈假定用于管理移动终端操作系统的远程设备应用设备是安全的安全目的移动终端操作系统安全目的事件审计犗犃犝犇犐犜移动终端操作系统应记录安全相关的事件应对记录的事件进行保护并且只允许授权用户查看移动终端操作系统应保证审计迹已满的情况下不影响审计功能和其他安全功能的执行身份认证犗犃犝犜犎移动终端操作系统应提供鉴别用户身份的机制并且在用户使用移动终端操作系统功能前对用户身份进行鉴别和标识移动终端操作系统应只提供有限的鉴权反馈信息并且在鉴权失败达到一定次数时限制用户的鉴权行为数据加密犗犈犖犆犚犢犘犜移动终端操作系统应提供加解密机制保证移动终端操作系统能对其保护的数据采取加密措施残留信息清除犗犚犈犛犐犇犝犃犔犐犖犉犗移动终端操作系统应保证重要的数据在使用完成后会被删除或被安全处理不会留下可被攻击者利用的残留数据信息犌犅犜可信信道犗犜犚犝犛犜犈犇犆犎犃犖犖犈犔移动终端操作系统应提供通过受保护的通道向远程可信产品提交数据的能力同时也提供受保护的网络通道供应用使用网络数据流控制犗犖犈犜犠犗犚犓犉犔犗犠移动终端操作系统应提供基本的网络防护能力阻