《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》编制说明

工作简况

1.1任务来源

经中国国家标准化管理委员会批准，全国信息安全标准化技术

委员会（SAC/TC260）主任办公会讨论通过，研究制定移动智能终端

应用软件安全技术要求和测试评价方法的国家标准。该项目由全国信

息安全标准化技术委员会提出，全国信息安全标准化技术委员会归

口，由公安部计算机信息系统安全产品质量监督检验中心（公安部第

三研究所）负责主办。

1.2协作单位

在接到《信息安全技术移动智能终端应用软件安全技术要求和

测试评价方法》标准的任务后，公安部计算机信息系统安全产品质量

监督检验中心立即与相关厂商进行沟通，并得到了多家业内知名厂商

的积极参与和反馈。经过层层筛选之后，最后确定由新能聚信(北京)

科技有限公司、北京奇虎科技有限公司作为标准编制协作单位。

1.3主要工作过程

1.3.1成立编制组

2012年12月接到标准编制任务，组建标准编制组，由本检测中

心、新能聚信及北京奇虎联合编制。检测中心的编制组成员均具有资

深的产品检测经验、有足够的标准编制经验、熟悉CC；其他厂商的

编制成员均为移动智能终端应用软件的研发负责人及主要研发人员。

1

检测中心人员包括俞优、顾健、陈妍、陆臻、张笑笑、沈亮等。

1.3.2制定工作计划

编制组首先制定了编制工作计划，并确定了编制组人员例会安排

以便及时沟通交流工作情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

•GB17859-1999计算机信息系统安全保护划分准则

•GB/T18336.3－2015信息技术安全技术信息技术安全性评

估准则第3部分：安全保障组件

•GB/T20271-2006信息安全技术信息系统通用安全技术要求

•GB/T25069－2010信息安全技术术语

1.3.4确定编制内容

移动智能终端应用有着自身的特点，在测试策略上不能完全照搬

传统应用软件的测试策略、方法和内容，需要分析其使用特点以及使

用过程中可能存在的一些安全性隐患，针对这些隐患提出针对性的安

全要求，可以有效提高移动智能终端应用软件的安全性和可靠性，从

而保证终端用户的软件使用安全。

移动智能终端号称永远在线,可以随时联机公共网络和专用网络,

并基本具有了桌面计算机所具有的功能。终端应用软件多数是通过无

线网络下载到终端用户的便携式设备上的,包括通过E-mail、

Internet下载、多媒体通讯服务、WAP下载、红外或蓝牙传输、PC

2

同步及可移动存储介质获得并安装各种最新的软件（其典型应用见图

1显示）。

图1移动智能终端J2M2程序的应用过程

然而,大部分智能终端用户并不将它看作一台计算机,并不认同

终端和计算机一样存在巨大的安全风险,认为终端比PC机更加安全、

可靠,而是将其当作一部安全和没有任何风险的通信设备,这给一些

黑客直接或间接（例如通过互联网）的破坏用户利益创造了可乘之机。

终端应用软件在不同设备都可通过网络进行下载和执行。如果没

有正确的防范机制,用户将面临程序被破坏，数据丢失和信息窃取等

安全威胁。目前威胁移动智能终端安全的主要形式包括通过蓝牙、红

外、彩信等方式传递的手机病毒,垃圾邮件/短信（包括诈骗短信）,

骚扰电话,恶意程序,黑客,木马,手机后门,监听软件/私密数据窃取

等。

移动智能终端应用软件在使用过程中往往存在一些安全性隐患，

其面临的常见安全风险如下所述：

1)故意行为

3

非受权访问：即使设备不丢失,局外人会使用盗取的密码进

人设备,导致数据被修改或数据丢失。

电子窃听和修改数据：局外人可能会窃取网络上传输或转

换的数据，并导致数据的更改。

敏感信息泄露：软件在未经用户许可的情况下，泄露和破

坏用户个人信息和敏感数据。

后门和陷门：主要是指用于调试用的人口,如直接存取硬编

码的口令。

逻辑炸弹、木马、病毒。

病毒和蠕虫。

2)管理疏忽

如设备丢失,导致存储在设备内、SIM卡和存储卡内信息被别人

存取,以及通过设备接收的信息如email等相关信息。

3)用户故障

比如删除关键数据或输人错误。

4)技术故障

导致数据中断、删除和不可存取。

5)其他

其他不可预期和预防的失效和事件。

移动智能终端应用软件在设计、开发过程中如果存在导致上述安

全漏洞的缺陷和弱点，将影响用户数据和信息的安全。此外，由于在

移动智能终端上运行的应用软件更是由众多独立的软件开发商或开

发组织甚至是个人所研发的，其开发过程缺乏行之有效的安全监管。

综上所述，移动智能终端应用软件不应局限于功能的正常运行，

而应对移动智能终端应用软件安全评估需求分析，确立应用软件安全

4

性衡量指标，主要考虑软件应用的安全性和应用程序的自身安全。研

究范畴主要包括：软件授权、访问控制等安全功能建模与测试研究；

形式化安全测试方法的研究、基于风险的安全测试及其在软件工程实

践中的应用、模糊测试、语法测试、基于属性的安全测试方法研究。

1.3.5编制工作简要过程

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及

标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完

成对提纲进行交流和修改的基础上，开始具体的编制工作。

2013年1月，完成了对移动终端应用软件安全相关技术文档和前

期基础调研。编制组充分调研了移动智能终端应用软件在使用过程中

面临的安全隐患，借鉴传统PC平台的安全防护思路，结合移动智能

终端的特点，提出了移动终端应用软件安全防护要求。

2013年3月完成了标准草案的编制工作。以编制组人员收集的资

料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草

案。

2013年5月，编制组在检测中心内部对标准草案进行了讨论，修

改完成后形成草稿（第一稿）。

2013年6月，编制组以邮件方式征求了新能聚信、奇虎360等参

与编制厂商的意见。编制组根据反馈意见，积极修改，形成了草稿（第

二稿）。

2013年12月，编制组以现场研讨方式征求了信大捷安、上海辰

锐和上海交大等单位的意见。编制组根据反馈意见进行修改，形成了

5

草稿（第三稿）。

2014年3月，CCSA在成都召开了标准工作组会议，与会专家对文

本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见

进行修改完善。

2014年10月，编制组在检测中心广泛征求意见，编制组根据意

见进行了修改，形成了征求意见稿（第一稿）。

2014年12月，CCSA在北京召开了标准工作组会议，与会专家对

文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意

见进行修改完善，形成了征求意见稿（第二稿）。

2015年4月，编制组以邮件方式征求了金山软件、华为等单位的

意见，编制组根据意见进行了修改，形成了征求意见稿（第三稿）。

2016年3月，CCSA在北京召开了标准工作组会议，与会专家对文

本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见

进行修改完善，形成了送审稿。

2016年6月，WG6工作组在北京召开了标准工作组会议，与会专

家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专

家意见进行修改完善。

1.3.6起草人及其工作

标准编制组具体由俞优、顾健、陈妍、陆臻、张笑笑、沈亮等人

组成。俞优全面负责标准编制工作，包括制定工作计划、确定编制内

容和整体进度、人员的安排；陆臻和张笑笑主要负责标准的前期调研、

现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编

6

写等工作；沈亮负责标准校对审核等工作；顾健主要负责标准编制过

程中的各项技术支持和整体指导。

1标准主要内容

2.1编制原则

为使标准的内容从一开始就与国家标准保持一致，符合我国的实

际情况，遵从我国有关法律、法规的规定。编制过程中遵循下述几个

原则:

（1）符合国家的有关政策法规要求；

（2）与已颁布实施的相关标准相协调；

（3）充分考虑我国移动智能终端应用软件的现状；

（4）适度考虑目前处于发展成熟过程中的技术，保持一定的前

瞻性。

2.2编制思路

标准将从安装与卸载、访问权限控制、数据安全、运行安全等方

面规范移动智能终端应用软件的开发、设计。

一、安装与卸载的安全

为了防止移动智能终端应用软件对原有系统内的应用造成不当

的影响或破坏,使其得到认可并被安装，应用软件应具备供应者或开

发者的数字签名信息,其安装过程只能运行在特定环境中且不能破

坏其运行环境，需要检查相应的授权和数字签名。卸载时应将其安装

7

进去的文件全部卸载，自动运行权限需要得到用户的明确授权等。

二、访问权限控制

移动智能终端应用软件的权限，包括网络访问、信息发送、自动

启动、媒体录制、读取\写入用户数据等权限，关系到用户个人信息

和隐私的保护，需要对应用软件的权限和访问安全机制进行要求。

三、数据安全

从密码的显示、存储，敏感数据处理的预期行为，数据备份和恢

复、安全性提示等等方面进行要求，确保用户数据的安全性。

四、运行安全

从程序的实现安全、稳定性和容错性等方面进行要求，保证程序

的正常工作。

2.3标准内容

2.3.1标准结构

本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则

第一部分：标准的结构和编写规则。

本标准主要结构包括如下内容：

1.范围2.规范性引用文件

3.术语和定义4.安全技术要求

5.测试评价方法

2.3.2主要内容

2.3.2.1范围、规范性引用文件、术语和定义和缩略语

8

该部分定义了本标准适应的范围，所引用的其它标准情况，及以

何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。

2.3.2.3安全技术要求

一、安全要求

1)安装与卸载的安全

安装要求：应具备供应者或开发者的数字签名信息，其安装过程

只能运行在特定环境中且不能破坏其运行环境,需要检查相应的授

权和数字签名。

——应能正确安装到相关终端上，并生成相应的图标；

——应包含数字签名信息、软件属性信息；

——应用软件启动前应得到用户的许可；

——不应对系统软件和其他应用软件造成影响。

卸载要求：卸载时应将其安装进去的文件全部卸载，自动运行权

限需要得到用户的明确授权等。

——安装的文件应能完全移除；

——修改的系统配置信息（如注册表）应能复原；

——卸载用户使用过程中产生的数据时应有提示；

——不应影响其他软件的功能。

2)鉴别机制

身份鉴别：若终端应用软件本身涉及敏感数据，则应对访问用户

提供有效的身份鉴别机制。

——在用户访问应用业务前，终端应用软件对其身份进行鉴

别，并提供鉴别失败处理措施；

9

——具备登录超时后的锁定或注销功能。

口令安全机制：若终端应用软件使用过程中涉及用户口令，应提

供完善的口令保护机制。

——在使用过程中不应以明文形式显示和存储；

——不应默认保存用户上次的账号及口令信息；

——具备口令强度检查机制；

——具备口令时效性检查机制；

——修改或找回口令时，具备验证机制。

3)访问控制

基于用户的控制：若终端应用软件本身涉及敏感数据，则应对访

问用户提供有效的授权机制。

——授权用户访问的内容不能超出授权的范围；

——限制应用用户账号的多重并发会话。

对应用软件的限制：终端应用软件访问终端数据应得到终端操作

系统用户明确的许可。

——未得到许可前不应访问终端数据；

——未得到许可前不应修改、删除终端数据。

4)数据安全

数据存储安全：终端应用软件不应以明文形式存储敏感数据，防

止数据被未授权获取。

数据删除：终端应用软件若具备数据删除功能，在删除数据前应

明确提示用户，并由用户再次确认是否删除数据。

10

备份和恢复：终端应用软件若具备备份和恢复功能，安全机制如

下：

——备份机制应完整有效，且备份数据应保密存储；

——恢复数据在使用前应校验其可用性、完整性。

5)运行安全

实现安全：应保证程序自身的安全性。

——不应设计有违反或绕过安全规则的任何类型的入口和

文档中未说明的任何模式的入口；

——具备安全机制防止程序被反编译、反调试。

稳定性：应保证应用软件的稳定运行，避免出现功能失效等类似

现象。

——不应造成终端崩溃或异常的情况；

——避免出现失去响应、闪退等现象；

——应允许随时停止、退出。

容错性：应能处理不可预知的错误操作，不应影响程序的正常工

作。

升级能力：支持应用软件的更新；且至少采取一种安全机制，保

证升级的时效性，例如自动升级，更新通知等手段。

二、安全保障要求

该部分对产品的开发和使用文档的内容进行了要求，包括开发、

指导性文档、生命周期支持、测试和脆弱性评定。

2.4编制的背景和意义

根据中国互联网信息中心（CNNIC）对于手机应用使用率的统计，

11

可显示出当前移动智能终端应用发展的趋势。

图2手机网络应用使用率

1)即时通信应用

即时通信是使用率最高的应用，当前即时通讯工具发展特点：其

一，众多互联网企业布局智能终端即时通讯工具；其二，智能终端即

时通讯工具功能不断增强，能实现集声音、文字、图像、视频的低成

本高效率的通讯服务，并与社交应用不断融合，比如邮箱、微博等产

品，帮助用户整合和管理关系链，来满足用户移动社交的新需求；最

后，智能终端即时通讯工具平台化，将其他应用不断引入平台，提供

12

更多附加服务，寻找新的盈利点。

2)网络搜索应用

随着智能终端的不断普及，各大搜索引擎网站不断推出、优化智

能终端搜索客户端，提升了用户移动端的搜索体验，促使更多用户使

用。另一方面，与传统的互联网搜索相比，智能终端搜索有较好的便

利性。用户随时随地查找信息的需求越来越强烈，智能终端的搜索迎

合这种需求。随着终端智能化的趋势，未来的搜索应用呈现语音化、

个性化和基于地理位置服务等发展趋势。

3)微博应用

微博是使用率增幅最大的智能终端应用，智能终端的微博体现了

微博内容的即时性和发挥微博应用的自媒体优势，用户体验较好，流

失率较低；另一方面，智能终端微博客户端功能不断增强，例如增加

LBS交友、社会化阅读、兴趣社区和通过客户端直接购物等，提升了

智能终端用户使用微博的黏性和使用体验。

4)网络视频应用

网络视频是智能终端娱乐类应用的增长亮点。在三网融合的大背

景下，三屏合一为大势所趋，网络视频是最主要应用之一。视频应用

快速发展的原因包括：其一，目前智能手机价格持续下降、操作系统

高度智能化，同时越来越多的家庭搭建起WiFi环境，这些因素为视

频应用发展提供了用户基础和硬件支持。其二，国内视频网站纷纷推

出移动客户端，抢占无线市场，同时部分视频网站加强与电信运营商

的合作，手机视频内容不断丰富。在视频网站、运营商等多方积极推

动下，用户使用手机终端在线看视频的习惯正在逐步养成。

对于移动互联网来说，移动智能终端正逐渐发展成为一个巨大的

新兴市场，也逐步改变着人类的生活习惯和传统观念，为个人和企业

13

带来了便利和效率。随着智能终端的普及，其问题也日益凸显。一方

面，互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络

安全威胁向移动互联网快速蔓延，导致智能终端面临着安全威胁。另

一方面，智能终端和用户个人利益关系更加密切，恶意吸费、用户信

息窃取、诱骗欺诈也随之出现。

因此，对移动智能终端应用软件产品的标准和测评方法进行研

究，对其安全级别进行等级保护划分，并在此基础上为相关企业和部

门提供安全性测评服务，是国家信息化发展战略的重要组成部分，是

提升企业竞争力的坚实基础，是发展节约型服务机构的迫切需要，是

用户放心体验新技术的技术技术保障，具有非常重要的现实意义。

根据移动智能终端应用软件面临的风险特点，从标准要求的安装

与卸载的安全性、手机应用程序权限管理、数据安全性、通讯安全性

和人机接口安全性等方面进行测试和验证,具体测试策略可包括：

1)验证被测试收集应用软件是否满足预定的安全准则和要求，检

查软件的防止灾难故障能力；

2)硬件和软件在各种故障模式下的测试,对硬件和软件在降级配

置时的处理和保护能力测试；

3)各种保护能力测试,包括容错操作能力测试、操作数据安全性

保护测试、通讯数据安全性保护测试、对重要数据抗非法访问能力测

试、权限管理保护测试；

4)多系统、多平台上运行的软件人机接口的安全性测试；

5)测试过程中严格执行JAVA安全域的划分,并进行相应的签