信息安全技术移动终端安全保护技术要求编制说明

《信息安全技术挪动终端安全保护技术要求》编制说明一、任务根源依据国家标准化管理委员会2014年下达的国家标准制校订计划，国家标准《信息安全技术挪动终端安全保护技术要求》由工业和信息化部电信研究院负责主办。二、编制原则依据《GB/T18336-201X信息技术安全技术信息技术安全性评估准则》通用准则，使GB/T18336中规定的保护轮廓的构造形式，制定挪动终端安全保护技术要求。本标准的制定参照NIAP宣告的PP《ProtectionProfileofMobileFundamentals》2.0版本，联合我国目前挪动智能终端的发显现状，针对目前存在的问题，在进行宽泛调研、征采建议的基础上，达成国家标准《信息安全技术挪动终端安全保护技术要求》的研制。本标准旨在GB/T18336中规定的EAL1级安全要求组件的基础上，适合增添和增强了部分安全要求组件，有效保证挪动终端可以抵抗中等强度攻击。该标准的制定可以为挪动终端采买者、生产厂商、评估机构供给了一个多方认同的，通用的挪动终端设计开发安全要乞降评估准则，挪动终端厂商可参照本标准进行挪动终端的设计、开发，评估机构可依据本标准张开对挪动终端的评估，移动终端采买者可采信鉴于本标准的评估结果。同时，为使标准可以知足指导挪动终端安全标准系统的建设，规范挪动终端有关设计、开发、测试、评估等工作的科学张开，提升标准的可操作性，在标准制定过程中，力争做到符合国家的有关政策法例要求、与已宣告实行的有关标准相协调、与挪动智能终端有关的检测要求相适应；并适合考虑目前处于发展成熟过程中的技术，保持必定的前瞻性。三、主要工作过程(一)标准制定的主要工作过程以下：2014年12月，标准编制工作组开始启动，项目组调研、分析了国内外对于挪动终端安全保护技术要求的编写方法，确立了标准的编制思路。2015年1月，项目组研究了有关参照标准的文章组织构造、表达方法以及挪动终端安全保护技术要求的基本构造和特色，初拟了标准文稿的纲领。2015年2月，项目组前去北京邮电大学进行沟通，介绍标准的写作思路和写作内容，征采有关专家的建议，以便保证标准文稿的合理性、正确性和齐备性。2015年3月，召开项目组内部会议，北邮、中国挪动、华为等单位的专家共同对草案多次进行商讨，改正，形成《信息安全技术挪动终端安全保护技术要求》标准草案（稿本）。2015年3月18日，提交WG6/CCSATC8WG2第43次会议讨论，经过征采建议稿。项目组报告了标准制定思路，递交了标准草案。

WG6/CCSATC8WG2第

43次会议对本文稿形成结论：文稿按

WG6/CCSATC8WG2

第43次会议建议改正后连续在

TC8

征采建议。2015年4月~5月，多次召开项目组内部工作会议，依据专家建议商讨，改正标准文稿，形成《信息安全技术挪动终端安全保护技术要求》标准草案（第一稿）。2015年6月12日，参加了全国信息安全标准化技术委员会组织的要点项目评审会。参会代表对本标准的编制思路、文档构造、编制草案进行评审并提出改正建议。2015年6月，多次召开项目组内部工作会议，依据专家建议商讨，改正标准文稿，形成《信息安全技术挪动终端安全保护技术要求》标准草案（第二稿）。2015年6月25日，提交WG6/CCSATC8WG1&WG2第20次会议讨论，会上项目组介绍了WG6/CCSATC8WG2第43次会议建讲和项目专家评审会会议建议的办理状况。10)2015年7月~10月，多次召开项目组内部工作会议，依据专家建议商讨，改正标准文稿，形成《信息安全技术挪动终端安全保护技术要求》标准草案（第三稿）。11)2015年11月13日，提交WG6/CCSATC8WG2第45次会议讨论，会上项目组介绍了WG6/CCSATC8WG1&WG2第20次会议建议办理状况。WG6/CCSATC8WG2第45次会议对本文稿形成结论：文稿按WG6/CCSATC8WG2第45次会议建议改正后可提交TC260。12)2016年6月14号，提交文稿到全国信息安全标准化技术委员会2016年第一次工作组“会议周”(TC8/WG6)讨论。“会议周”(TC8/WG6)对本文稿形成结论：文稿按“会议周”(TC8/WG6)会议建议改正后可形成征采建议稿征采建议。(二)标准征采建议的落真相况以下：在标准的编制讨论过程中，参会专家一共提了13条建议，采用了10条，解说了3条。详细见建议汇总办理表。四、标准的主要内容及确立内容的依据(一)本标准的主要内容《信息安全技术挪动终端安全保护技术要求》规定了通用的设计开发安全要乞降评估准则，合用于挪动智能终端波及的设计、开发、测试和评估。标准定义挪动终端具备以下特色：由硬件平台和系统软件构成，供给无线连结，包含的应用软件可供给安全信息、Email、Web、VPN连结、VOIP等功能，接见受保护的网络、数据和应用，或许与其余挪动终端进行通讯等。挪动终端的种类包含：智好手机、PAD等具有近似特色的个人手持挪动通讯终端，个人电脑和专用终端不在本标准中所规定的“挪动终端”覆盖范围内。本标准主要框架以下：1范围2规范性引用文件3术语、定义和缩略语4挪动终端概括5安全问题定义6.1假定6.2威迫安全目的7.1.TOE安全目的7.2.环境安全目的安全功能要求安全保证要求基根源理参照文件(二)本标准在确立主要内容时主要鉴于以下几个方面：挪动终端自己的特色挪动终端由硬件平台和系统软件构成，供给无线连结，包含的应用软件可供给安全信息、Email、Web、VPN连结、VOIP等功能，接见受保护的网络、数据和应用，或许与其余挪动终端进行通讯等。挪动终端的安全目标；依据挪动终端的安全问题定义，提出相适应的安全目的，以保护与挪动终端有关的信息及系统资源。安全目的主要有：终端接见、管理员角色、会话锁定、安全管理、用户数据备份、表记与鉴识、应用软件控制、网络信息流控制等。安全功能要求依据安全目标，确立挪动终端的安全功能要求，包含表记与鉴识类、用户数据保护类、操作系统接见类、安全管理类、系统安全功能保护类、安全审计类、密码支持类、可信信道类等。安全保证要求依据本标准的合用范围，考虑到安全投入的成本，保证标准表达的安全功能要求可以正的确施、运转、保护及连续使用，并使安全功能获得保护，免受非可信主体的搅乱和损坏，安全功能不被旁路等。五、与有关法律法例及国家有关规定、国内有关标准的关系与有关法律法例及国家有关规定的关系挪动终端智能化让挪动终端的办理能力不停增强，储蓄的信息愈来愈多，供给的应用越来越丰富，与此同时挪动智能终端面对的安全风险愈来愈多，每一个安全事件造成的危害越来越大。与此同时，挪动终端愈来愈多地波及商业神秘和个人隐私等敏感信息。跟着挪动智能终端的大面积普及，其安全问题不单会影响个人用户的安全，并且会影响挪动互联网家产的发展，还可能会致使企事业国家安全面对巨大威迫，所以，挪动智能终端的安全问题已经成为用户、公司、国家关怀的重要问题。2012年12月第十一届全国人民代表大会常务委员会第三十次会议经过《对于增强网络信息保护的决定》，《决定》从公民个人电子信息保护出发，对治理垃圾电子信息、网络身份管理以及网络服务供给者和网络用户的义务与责任、政府有关部门的看守职责等作出了明确规定。2013年4月，工业和信息化部鉴于《电信条例》、《电信设施进网管理方法》有关规定，宣告了《对于增强挪动智能终端管理的通知》,提出挪动智能终端应该符合《挪动智能终端安全能力技术要求》通讯行业标准的一级安全能力要求，并要求生产公司不得在挪动智能终端中预置拥有以下性质的应用软件：一是未向用户明示并经用户同意，私自采集、改正用户个人信息的；二是未向用户明示并经用户同意，私自调用终端通讯功能，造成流量耗费、开销损失、信息泄漏等不良结果的；三是影响挪动智能终正直常功能或通讯网络安全运转的；四是含有《中华人民共和国电信条例》严禁宣告、流传的信息内容的；五是其余损害用户个人信息安全和合法权益以及危害网络与信息安全的。该《通知》要求生产公司应该依据有关标准对产品进行改良圆满，以提升挪动智能终端安全能力。在大批挪动终端接入政府、公司网络的状况下，挪动终端的安全问题在威迫个人用户安全的同时，进一步影响了企事业单位、致使国家的安全。怎样有效评估挪动终端的安全，已经成为目前用户、机构、国家关怀的热门。本标准经过研究制定挪动终端安全保护技术要求，为挪动终端采买者、生产厂商、评估机构供给一个多方认同的、通用的挪动终端设计开发安全要乞降评估准则规范，挪动终端厂商可参照本标准进行挪动终端的设计、开发，评估机构可依据本标准张开对挪动终端的评估，挪动终端采买者可采信鉴于本标准的评估结果。与有关国际标准的关系目前国内外对于鉴于计算机系统的信息安全研究好多，可是对于挪动智能终端安全的研究都处于起步阶段，而挪动智能终端的安全问题与计算机系统的信息安全问题还有很大的差异，所以需要对挪动智能终端安全技术进行崭新的分析，形成针对挪动智能终端所面对的特有的安全风险的评估准则规范。本标准制定将参照

NIAP

宣告的

PP《Protection

ProfileofMobileFundamentals

》，为挪动设施采买者、

生产厂商、评估机构供给一个多方认同的，通用的挪动设施设计