《移动通信智能终端操作系统安全技术要求》编制说明

1、移动通信智能终端操作系统安全技术要求编制说明一、 任务来源根据兴唐通信科技有限公司的申请，安标委于2011年2月向兴唐通信科技有限公司下达了移动通信智能终端操作系统安全技术要求标准任务。国家标准化管理委员会于2011年下达了国家标准制定计划，计划号为20111628-T-469，由兴唐通信科技有限公司牵头制定。目前移动通信终端正在向智能化方向发展，单一功能的终端所占份额逐步减少。3G时代网络上的丰富应用要求手持设备具备更多功能。操作系统是支持智能化应用的基础，采用开放平台的移动终端使得应用程序和服务可以更方便的根据用户需求安装、卸载和更新。典型的移动终端操作系统有微软的Windows Mobi

2、le、Windows Phone、诺基亚的Symbian、谷歌的Android、苹果公司的iPhone OS、RIM公司的BlackBerry OS以及开源Linux等。虽然各公司按照各自的安全架构设计操作系统，但我国没有对移动终端操作系统提出统一的安全技术要求，无法对用户数据、终端设备甚至网络做出明确的保护。建立统一的操作系统安全技术要求，有利于规范设备制造商对终端的开发，有利于保护移动终端用户的隐私和信息权益，并可作为抑制移动互联网非法内容传播的技术基础，对于加强我国移动通信领域的安全管理有重要意义。移动通信智能终端操作系统安全技术要求规定移动通信智能终端操作系统的安全技术要求，适用于商用

3、移动通信智能终端操作系统安全的设计、开发、测试和评估。商用移动通信智能终端包含：智能手机、PAD等个人手持移动通信设备，不包含个人电脑。专用终端的安全技术要求不在本标准覆盖范围内。本标准是全新编制的标准，不涉及旧版本的关联。二、 编制依据和原则2.1 编制依据 移动通信智能终端操作系统安全技术要求的编写主要依据如下有效的国家标准及国际标准：1. GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第一部分：简介和一般模型2. GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分：安全功能要求3. GB/T 18336.3-2008

4、 信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求4. GB/Z 20283-2006 信息安全技术 保护轮廓和安全目的的产生指南5. GB17859-1999 计算机信息系统安全保护等级划分准则6. ISO/IEC 15408-3:2008 Information technology Security techniquesEvaluation criteria for IT security Part 3:Security assurance components其中GB/T 18336. X -2008等效于ISO/IEC 15408.X-2005 信息技术安全性评估准

5、则，是国际上通用的信息技术安全性评估准则，通过此评估准则可获得同类信息产品的安全性以及保证级别评估，此结果在国际范围内具有可比性。2.2 编制原则标准编制组在编写过程中遵循如下原则：1. 遵循现行国家标准，采用和借鉴国内外先进标准参考国标GB/T 18336-2008信息技术安全性评估准则，借鉴GB17859-1999的内容,吸取国际标准化组织ISO/IEC及其他标准化组织有关信息技术安全性评估准则等最新文件，查阅美国国家标准技术机构（NIST）、美国信息保障部（IAD）等近年来做出的有关操作系统的安全技术要求，编写本标准。2. 贯彻国家有关政策与法规对安全功能支撑的密码技术可应用于移动操作系

6、统安全的多个方面，但密码技术的使用必须符合我国有关政策和法规。3. 提出的安全技术要求应具备准确性、完备性、指导性及可扩展性切实结合移动通信智能终端操作系统的特点，提出针对每一安全威胁的安全目的、安全功能要求，每一安全威胁有相应的抵御方法。另外标准保留了扩展、细化安全要求的结构。4. 认真听取、分析各方意见，做好意见的处理和反馈将文稿提交中国通信标准化协会（CCSA）网络与信息安全技术委员会（TC8）安全基础工作组(WG4)会议讨论，征求工信部相关主管单位及工信部研究院意见，接受“全国信息安全标准化技术委员会” 的项目检查工作，记录、分析每一次会议意见，针对意见进行修改，做好意见反馈工作。三、

7、 标准主要内容移动通信智能终端操作系统安全技术要求首先阐述移动通信智能终端操作系统的功能和特点，定位移动通信智能终端操作系统的安全问题，其次提出针对安全问题的解决方案，进而提出安全功能要求和安全保证要求，并逐一说明安全要求的原理，证明安全功能要求能够解决对应的安全问题。移动通信智能终端操作系统安全技术要求的主要大纲和内容为：1. 概述移动通信智能终端操作系统的功能是管理移动终端的硬件、软件资源。其硬件资源有：通信设备（蜂窝移动通信设备、无线局域网设备），终端信源传感器（麦克、摄像头、加速度计、定位导航系统），终端输入输出设备（红外线接口、蓝牙、USB接口、SDIO接口）等。软件包括存储用户信息

8、的文件（电话号码本、通信记录、短消息、电子邮件、记事本等）以及相关应用软件。移动通信智能终端操作系统的特点是开放应用软件可编程接口（API）或开放操作系统源文件。移动通信终端操作系统应具备的安全特征如下：n 给每个用户、应用、主体、进程分配唯一的标识；n 在允许授权人员用户或远程IT实体施行操作前，应对他们的身份进行鉴别；n 执行访问控制和网络信息流控制策略；n 执行应用软件限制策略；n 执行设备安全管理，即具有可配置的安全和管理策略，实现远程可信IT系统对移动终端的安全管理；n 执行访问授权管理，即持有者能够根据需要初始化、配置、修改应用软件的访问权限；n 对个体行为审计；n 提供密码支持。

9、2. 移动通信智能终端操作系统安全问题定义对移动通信智能终端操作系统使用环境、使用条件及组织安全策略要求进行梳理，分析当前移动通信智能终端操作系统面临的安全威胁，确定移动通信智能终端操作系统的安全问题。所确定的安全威胁有：n 用户数据丢失n 非授权人员访问n 用户配置错误n 危及系统安全功能的安全n 非授权网络流量n 授权人员用户的恶意行为n 恶意软件n 数据备份n 设备管理3. 移动通信智能终端操作系统安全目的根据此操作系统处理的信息资产价值和安全问题定义，提出相适应的安全目的，以保护与用户利益相关的信息及系统资源。主要安全目的有：n 设备访问n 管理员角色n 会话锁定n 安全管理n 用户数

10、据备份n 标识与鉴别n 应用软件控制n 网络信息流控制4. 移动通信智能终端操作系统安全功能要求本标准提出的满足上述安全目的安全功能要求主要分为如下类别：n 标识与鉴别类n 用户数据保护类n 操作系统访问类n 安全管理类n 系统安全功能保护类n 安全审计类n 密码支持类n 可信信道类5. 移动通信智能终端操作系统安全保证要求根据本标准的适用范围，考虑到安全投入的成本，选择安全保证级别EAL 2，以保证标准叙述的安全功能要求能够正确实施、运行、维护及持续使用，并使安全功能得到保护，免受非可信主体的干扰和破坏，安全功能不被旁路。保证要求组件详细描述。6. 原理威胁与安全目的原理表说明了每一安全威胁

11、均有安全目的对应，以抵御安全威胁。组织安全策略与安全目的原理表说明了每一组织安全策略均得到实施，以满足组织要求。安全功能原理表描述针对每一个安全目的所对应的安全功能要求或安全功能要求组，以论证安全目标的正确实施和使用。四、 编制过程说明1. 成立编制组2011年4月初，兴唐通信公司成立了国家标准移动通信智能终端操作系统安全技术要求编制工作组，由单位的相关专家和技术骨干组成。2. 制定工作计划按照项目目标要求，标准编制组专门制定了工作计划，并确定标准编制的工作思路，可大致分解为以下几部分：1) 调研标准需求。项目组集中采集各相关主管部门针对该标准的需求和建议，同时大量调研国内外对信息产品安全技术

12、要求的编写依据，从而确定该标准的写作思路、文章的框架结构和大致内容。2) 分工撰写标准相关内容。项目组依据文章框架进行分工，相关责任人分头撰写。项目组定期对新生成的内容进行讨论和评审，从而生成阶段性版本。3) 参加CCSA会议前的单位内部评审。项目组在每次参加CCSA会议之前，组织单位内部相关专家对文稿进行评审，并依据反馈意见进行修改，进一步生成参加CCSA会议的文稿。4) 参加CCSA会议的阶段性评审。项目组参加CCSA TC8WG4工作组的讨论，并参加该组所组织的联合会议。5) 依据CCSA会议的相关意见修改文稿。项目组根据每次参会代表们所提的反馈意见和建议修改文稿，并不断完善其框架和内容

13、。6) 依据全国信息安全标准化技术委员会收集的意见反馈进行修改。具体的进度安排依据CCSA会议和全国信息安全标准化技术委员会的时间而定。3. 确定编制内容经过标准编制组的充分调研和分析，决定参考GB 18336-2008定义的保护轮廓形式，借鉴GB 17859-1999的内容在GB 20283-2006信息安全技术 保护轮廓和安全目标的产生指南的指导下编写移动智能终端操作系统安全技术要求。4. 编制工作简要过程1) 2011年3月底，标准编制工作组开始启动，确定标准的编制思路，并依据该思路提出标准大纲。项目组调研、分析了国内外关于操作系统安全技术要求的编写方法。目前国外对信息技术产品的安全评估

14、采用了标准而统一的准则，即信息技术安全评估通用准则（Common Criteria for Information Technology Security Evaluation,以下简称CC）。该准则应用广泛并得到信息安全领域的认可。依据CC编写的安全技术要求逻辑结构严谨，语言表达准确，适用于表达信息技术产品的安全技术要求。国内与CC对等的标准是GB/T 18336-2008系列标准。调研过程中也重点研究了国内编写信息技术产品安全技术要求的另外一种方法，即GB17859-1999计算机信息系统安全保护等级划分准则。通过反复的对比和分析，最终确定参考GB/T 18336定义的保护轮廓形成本标准的

15、编制结构，并借鉴GB17859-1999的内容完成标准的编写。2) 2011年4月至2011年5月25日，项目组研究了GB/Z 20283-2006、ISO/IEC TR 15446:2009规定的文章组织结构、表达方法以及移动通信智能终端操作系统的基本结构和特点，初拟了标准文稿的大纲。3) 2011年5月-6月，项目组前往工信部电信研究院进行了两次交流，征求其意见。交流的目的是向电信研究院的相关专家介绍标准的写作思路和写作内容，回答专家疑问，听取专家的建议和意见，以便保证标准文稿的合理性、正确性和完备性。4) 2011年5月26日，项目组参加了CCSA TC8WG4的第17次会议。会上为参会

16、代表介绍了GB/T 18336-2008并阐述采用该形式描述安全技术要求的可行性、必要性和先进性。同时也介绍了文稿的初步提纲。参会代表对本标准的编制思路和文稿大纲进行评审并提出修改意见，同时建议联合无线通信技术委员会的3G网络安全与加密工作组（TC5-WG5）、移动互联网应用和终端技术委员会的终端工作组（TC11-WG3）等相关工作组对本项目进行共同评审。5) 2011年5月底至6月27日，项目组依据第17次会议的意见修改文稿，同时初步完成文稿前半部分的内容撰写。前半部分内容包括标准的术语、定义和缩略语、移动通信智能终端操作系统的安全环境分析，以及移动终端操作系统保护的资产、面临的安全威胁以及

17、相关组织安全策略等。项目组还在此基础上提出了移动终端操作系统的安全目的，并初步完成安全需求与安全目的相对应的原理表。6) 2011年6月28日，项目组参加了CCSA TC8WG4的第18次会议。会上项目组首先介绍对第17次会议评审意见的处理情况，其次为与会代表讲解了文稿新增内容。参会代表对已完成的征求意见稿的内容进行评审并提出相关修改意见。此外，向TC5-WG5和TC11-WG3发联络函并附文稿，广泛征求对本标准文稿的意见。7) 2011年7月初到2011年9月21日，项目组依据第18次会议意见及联络函的反馈修改文稿，此外继续补充文稿未完内容。此阶段利用TCS工具规范了标准的格式，新增了如下文

18、稿内容：安全功能要求部分的标识与鉴别类的描述。8) 2011年8月18日，项目组参加了由安标委组织的标准进展情况检查工作会议。会上项目组汇报了标准文稿的进展情况。与会专家对标准写作思路、文档结构以及已完成的内容进行了评审和讨论，提出了相关修改建议和意见。此次会议结论为，基本同意项目组撰写思路，并对项目组的研究成果给予肯定。9) 2011年9月22日，项目组参加了CCSA TC8WG4的第19次会议。本次会议邀请了TC5-WG5、TC11-WG3的代表参加，共同讨论文稿内容。会上，项目组首先介绍对第18次会议评审意见的处理情况，其次为参会代表讲解文稿的新增内容。对TC5-WG5和TC11-WG3

19、回复的联络函进行讨论，并形成对这两个工作组的回函。会议决定就该标准的写法和技术思路召开专题会议，邀请所有关注该项目的专家代表参加。专题会议之后不再就CC本身的术语进行讨论学习交流。10) 2011年9月底至11月21日，项目组依据第19次会议反馈修改文稿相关内容，继续撰写未完成的文稿。新增内容包括安全功能要求部分的用户数据保护类的描述。此外，单位内部组织相关专家对文稿进行评审，项目组依据评审意见进行修改，输出参加第20次会议的版本。11) 2011年11月22日、23日，项目组参加TC8-WG4第20次会议。会上项目组首先介绍第19次会议反馈的处理情况，同时针对该标准的写法和技术思路与与会代表

20、展开专题讨论。12) 2011年11月底至12月26日，项目组依据第20次会议要求修改和补充文稿。新增内容包括安全功能要求部分的TSF数据保护类、TOE访问类和密码支持类，输出参加第21次会议的版本。13) 2011年12月27日、28日，项目组参加TC8WG4第21次会议。会上项目组首先介绍第20次会议意见反馈。然后向与会代表讲解文稿新增部分内容。与会代表对文稿新增内容展开了讨论，提出了文稿修改建议和意见，下次会议继续征求意见。14) 2011年12月底至2012年4月10日，项目组依据第21次会议意见修改文稿相关内容，同时继续撰写未完成的文稿。新增内容包括安全功能要求部分的安全管理类、安全

21、审计类和可信路径/信道类的描述，安全保证要求全部内容的撰写。至此，征求意见稿的文档结构确定和内容完整。会前公司再次组织相关专家对文稿进行评审，项目组依据评审意见进行修改，输出参加第22次会议的版本。15) 2012年4月11日、12日，项目组参加TC8WG4第22次会议。会上项目组介绍了第21次会议意见的处理情况及文稿新增内容。TC8WG4第22次会议对本文稿形成结论：文稿按TC8WG4第22次会议意见修改后可进入送审稿阶段。16) 项目组按第22次会议意见完成了文稿的修改。历次CCSA工作组会议代表涵盖了工信部电信研究院、国内三大移动通信运营商、国内外终端设备制造厂商、终端芯片制造商、信息安全领域科研生产单位及高等院校，具有广泛的代表性。参会单位名称详见意见汇总表。17) 通过CCSA向全国信息安全标准化技术委员会提交文稿，征求意见2012年5月向全国信息安全标准化技术委员会提交文稿、意见汇总表及编制说明，2012年9月收到全国信息安全标准化技术委员会收集的反馈意见，并针对反馈意见进行修改。18) 2012年9月14日参加信安标委组织的标准修改意见处理协调会2012年9月14日编制组参加全国信息安全标准化技术委员组织的标准修改意见