信息安全技术移动智能终端操作系统安全测试评价方法编制说明

《信息安全技术移动智能终端操作系统安全测试评价方法》编制说明1工作简况任务来源2012年，经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过，研究制定移动智能终端操作系统安全测试评价方法的国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心(公安部第三研究所)负责主办。协作单位在接到《信息安全技术移动智能终端操作系统安全测试评价方法》标准的任务后，公安部计算机信息系统安全产品质量监督检验中心立即与移动智能终端安全技术相关厂商、科研单位等进行沟通，并得到了多家业内知名厂商和研究机构的积极参与和反馈，最终选定由上海交通大学、北京元心科技有限公司、上海辰锐信息科技公司、阿里巴巴网络技术有限公司、中国信息通信研究院泰尔终端实验室作为标准编制协作单位。主要工作过程成立编制组2012年12月接到标准编制任务后随即组建标准编制组，编制组成员均具有丰富的移动智能终端安全测评经验、操作系统安全加固相关产品检测经验，以及标准编制经验；人员包括张艳、陆臻、俞优、陈妍、邹春明、赵婷、顾玮、胡亚兰、赵戈、李曦等；标准编制协作单位相关技术领域的研发负责人及主要研发人员参与标准的调研与内容研讨。制定工作计划编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。参考资料该标准编制过程中，主要参考了：GB17859-1999计算机信息系统安全保护划分准则GB/T18336.3—2015信息技术安全技术信息技术安全性评估准则第3部分：安全保障组件GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T25069—2010信息安全技术术语移动智能终端、操作系统安全加固相关产品及其技术资料确定编制内容经标准编制组研究决定，以发改委专项测试要求为理论基础，以现有移动智能终端操作系统的发展动向为研究目标，以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据，完成《信息安全技术移动智能终端操作系统安全测试评价方法》标准的编制工作。图1移动智能终端安全构成操作系统是移动智能终端的安全根基，通过对移动智能终端操作系统的安全风险分析，得到移动智能终端操作系统主要的安全机制应涵盖以下方面：1）应提供访问控制机制，限制对终端的非授权访问（如对系统资源如CPU指令、存储器、通信模块、设备驱动及系统内核等资源实现自主访问控制或强制访问控制，防止非法操作）；2）应对系统资源和各类数据进行安全域隔离，对存储空间进行划分，不同存储空间用于存储不同的数据，不同进程所使用的空间和资3源也应进行逻辑隔离（如采用沙盒和虚拟机技术）；3）应建立数据的分类原则，设计安全级别，针对不同级别采用不同的安全机制。结合访问控制、加密等手段，阻止未经授权的访问。4）应提供加密机制，以保护敏感的用户数据和通信；5）应支持对各项操作的细粒度的安全审计，包括识别、记录、存储和分析与安全相关活动有关的信息，从而进行责任追溯，降低安全风险。编制工作简要过程在申请信息安全技术移动智能终端操作系统安全测试评价方法国家标准制订任务之前，标准编制组就已经开始了前期调研工作。编制组人员首先对所参阅的产品、文档以及标准等资料进行查阅和理解，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。编制组在2013年1月前完成了对移动智能终端操作系统的相关技术文档和有关标准的前期基础调研。调研期间，主要对检测中心移动智能终端、操作系统加固相关安全产品的检测记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外相关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了分析理解。2013年3月，完成了标准草案初稿的编制工作。以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草稿（第一稿），并在检测中心内部邀请中心标准技术组对标准草稿（第一稿）进行了讨论和意见征求。2013年6月，编制组基于中心标准技术组的意见，并结合发改委信息安全专项移动智能终端测试的经验，对标准草稿（第一稿）进行了修改；2013年7月，编制组邀请崔书昆、卿斯汉、肖京华等专家对标准草案进行了研讨，编制组根据与会专家的意见和建议对标准进行了修改，形成了标准草稿（第二稿）。2013年12月，编制组以邮件方式征求了上海辰锐信息科技公司、北京亿赛通科技发展有限责任公司和上海交通大学等标准编制协作单位的意见，根据反馈意见进行了修改，形成草稿（第三稿）。2014年6月，编制组以内部研讨方式征求了标准编制协作单位北京网诺星云科技有限公司、上海交通大学的意见，根据现场讨论得出的修改意见对标准进行了完善，形成草稿（第四稿）。2015年1月，中国通信标准化协会在北京召开标准研讨会会上征求了高通、泰尔实验室等业内专家、机构及厂商代表的意见，根据现场讨论得出的修改意见对标准进行了完善，形成征求意见稿（第一稿）。2016年3月31日，中国通信标准化协会的有线网络安全工作组与无线网络安全工作组第二十二次联合会议在北京北邮科技大厦举行，会议讨论和审议了标准文稿，并征求了华为、中国信息通信研究院、阿里巴巴、中兴通讯、大唐电信、中国电信、北京邮电大学等业内专家、机构及厂商代表的意见，会后编制组根据现场讨论得出的修改意见对标准进行了完善，形成征求意见稿（第二稿）。2016年6月13日~14日，在全国信息安全标准委员会2016年第一次会议周活动中，WG6工作组在北京会议中心召开了工作组会议，会上讨论和审议了标准文稿和进度，并征求了中国通信标准化协会、中国信息通信研究院、阿里巴巴、中国移动、中国电信等业内专家、机构及厂商代表的意见，最后形成结论为“形成征求意见稿，提交TC260秘书处，并讨论决定本文稿不再需要与GB/T30284-2013及其修订保持一致，按原任务书内容继续执行"。会后编制组根据现场讨论得出的意见对标准进行了修改。起草人及其工作信息安全技术移动智能终端操作系统安全测试评价方法国家标准编制组以张艳为组长，具体组员由张艳、俞优、陈妍、陆臻、李曦、赵戈、胡亚兰、杨明强、顾健等人组成。其中，张艳全面负责标准编制工作，包括制定工作计划、确定编制内容提纲和整体进度、参编人员的任务安排；俞优、陈妍主要负责标准的前期调研、现状分析、标准校对审核，李曦、赵戈主要负责标准各版本的编制、意见汇总的讨论处理等工作；胡亚兰、杨明强负责向厂商征求意见与反馈、意见汇总、编制说明的编写等工作；陆臻、顾健主要负责标准编制过程中的各项技术支持和整体指导。2标准主要内容2.1编制原则为了使本标准的内容从一开始就与现有国家标准保持一致，符合我国的实际情况，遵从我国有关法律、法规的规定。编制过程中遵循的具体原则与要求如下：1）实用性标准必须是可用的，才有实际意义。本标准在编写过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关研发生产单位的交流，广泛了解了市场上主流移动智能终端操作系统的功能，进行提炼和扩展，使得标准更贴近产品实际情况，保证操作性。2）先进性标准是先进经验的总结，同时也是技术的发展趋势。目前，我国市场上移动智能终端操作系统种类繁多，要制定出先进的产品标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。2.3标准内容标准结构本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：.范围.规范性引用文件.术语和定义.移动智能终端操作系统描述.安全技术要求.测试评价方法2.3.2主要内容范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。在术语中明确了“移动智能终端操作系统”、“移动智能终端操作系统安全”等重要概念。移动智能终端操作系统描述移动智能终端操作系统的目的是向用户提供良好的操作界面，便于用户使用移动终端的功能。通过身份鉴别、访问控制、安全审计等安全功能策略，实现对移动智能终端软、硬件的管理，确保移动智能终端的安全运行。其中，硬件包括：通信设备（蜂窝移动通信设备、无线局域网设备），终端信源传感器（麦克、摄像头、定位导航系统），终端输入输出设备（红外接口、蓝牙、USB接口、SDIO接口）等；软件包括存储用户信息的文件（电话号码本、通信记录、短消息、电子邮件、记事本等）以及相关应用软件。移动智能终端操作系统保护的资产包括：-用户数据：包含位置信息、账户信息、通信记录、通信录等。-移动终端敏感资源：包含通信资源、外设接口，如摄像镜头、位置传感器等。-移动终端操作系统安全功能数据:包含鉴别数据、安全属性等。止匕外，移动智能终端操作系统自身的重要数据也是受保护的资产。安全技术要求标准将移动智能终端操作系统的技术要求分为安全功能、安全保证要求两个大类。其中，安全功能要求是对移动智能终端操作系统应具备的安全功能提出具体要求，包括身份鉴别、访问控制、安全审计、数据安全、存储介质管理、用户策略管理、运行安全保护等；安全保证要求针对移动智能终端操作系统的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试等。一、安全功能要求安全功能要求主要对移动智能终端操作系统实现的功能进行了要求。主要包括身份鉴别、访问控制、安全审计、数据安全、存储介质管理、用户策略管理、运行安全保护、升级能力、超时锁定和注销、运行监控、可用性等部分。其中身份鉴别包括：用户标识、鉴别技术手段、鉴别信息保护、鉴别失败处理、用户主体绑定；访问控制包括：访问控制属性、访问授权规则；安全审计包括：审计内容、审计保护、审计跟踪管理、用户数据安全包括：用户数据保护、用户数据完整性、用户数据保密性、剩余信息保护；可用性包括：稳定性、兼容性。二、安全保障要求该部分对产品的开发和使用文档的内容进行了要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定。测试评价方法测试评价方法部分针对移动智能终端操作系统技术要求中的每个要求，均给出了一个测试评价方法，为使用本标准的人员提供了一个测试评价移动智能终端操作系统的技术准则。编制的背景和意义在移动智能终端安全涉及的众多内容中，作为移动智能终端系统软件中最基础部分的操作系统，其安全问题的解决又是关键中之关键。若没有安全的操作系统的支持，数据库就不可能具有存取控制的安全可信性，就不可能有网络系统的安全性，也不可能有应用软件信息处理的安全性。因此，操作系统安全是整个移动智能终端系统安全的基础。目前，全球各大移动智能终端厂商的操作系统类别众多，且竞争激烈。长期以来，我国广泛应用的移动智能终端主流操作系统都是从国外引进直接使用的产品，不少国内厂商利用国外的技术或部分源代码，根据市场需要自己组合成的操作系统。在“十二五”期间，为促10进移动互联网产业健康快速发展，我国将抓住移动智能终端快速发展带来的机遇，加强终端自主操作系统的研发和推广，通过移动智能终端和应用平台等关键环节进行发展，以促进具有我国自主知识产权的移动智能终端操作系统的发展成熟，从而满足我国移动智能终端安全应用的迫切需要。因此国内外智能终端操作系统的研究都处在一个大力发展时期，然而市场上并没有针对移动智能终端操作系统的安全性测试评价标准，即缺乏相应的技术标准来予以规范其安全性检测和评价，且针对操作系统的开发过程缺乏行之有效的安全监管，给基于移动智能终端的移动互联网服务业务的健康稳定发展带来新的挑战。所以，急需制定测评标准来规范厂商对移动智能终端操作系统的研发、生产和销售，以保证该类产品的安全性和可靠性。编制的目的在标准制定过程中，坚持以国内外相关产品发展的动向为研究基础，对移动智能终端操作系统的安全技术要求和测评方法提出规范化的要求，制定切实可行的测评标准。标准可用于移动智能终端操作系统的研发、测试、评估，有利于规范化、统一化，从而有效地提高移动智能终端操作系统的安全性。3国内外标准对比情况我国发布实施的移动智能终端操作系统相关标准有通信行业标准YD/T1700-2007《移动终端信息安全测试方法》，该标准作为通信11行业移动终端通用安全测试标准，主要包括移动终端接入安全、自身安全、卡接口安全等方面的安全测试方法描述，虽然其自身安全部分涉及了部分操作系统安全测试，但内容较少，不够全面，要求较低，且更注重测试步骤，而不是评价方法，因此无法普遍适用于移动智能终端操作系统的安全性测试评价，因此急需制定移动智能终端操作系统相关测评标准。近期刚发布实施的GB/T30284—2013《移动通信智能终端操作系统安全技术要求》，主要依据GB/T18336-2008,以保护轮廓的形式给出移动通信智能终端操作系统安全技术要求。该标准针对的移动终端为通过蜂窝移动通信网络向用户提供语音、消息、电子邮件、Web浏览等服务，集成照相机、摄像机、音乐、视频播放器、电视机、定位导航等功能的个人手持通信设备，与本标准针对的移动智能终端范畴相比略窄；且GB/T30284—2013主要规定了移动通信智能终端操作系统的安全技