《移动通信智能终端操作系统安全技术要求》编制说明

一、任务来源

根据兴唐通信科技有限公司的申请，安标委于2011年2月向兴唐通信科技有限公司下

达了《移动通信智能终端操作系统安全技术要求》标准任务。国家标准化管理委员会于2011

年下达了国家标准制定计划，计划号为20111628-T-469，由兴唐通信科技有限公司牵头制定。

目前移动通信终端正在向智能化方向发展，单一功能的终端所占份额逐步减少。3G时

代网络上的丰富应用要求手持设备具备更多功能。操作系统是支持智能化应用的基础，采用

开放平台的移动终端使得应用程序和服务可以更方便的根据用户需求安装、卸载和更新。典

型的移动终端操作系统有微软的WindowsMobile、WindowsPhone、诺基亚的Symbian、谷

歌的Android、苹果公司的iPhoneOS、RIM公司的BlackBerryOS以及开源Linux等。虽然

各公司按照各自的安全架构设计操作系统，但我国没有对移动终端操作系统提出统一的安全

技术要求，无法对用户数据、终端设备甚至网络做出明确的保护。建立统一的操作系统安全

技术要求，有利于规范设备制造商对终端的开发，有利于保护移动终端用户的隐私和信息权

益，并可作为抑制移动互联网非法内容传播的技术基础，对于加强我国移动通信领域的安全

管理有重要意义。

《移动通信智能终端操作系统安全技术要求》规定移动通信智能终端操作系统的安全技

术要求，适用于商用移动通信智能终端操作系统安全的设计、开发、测试和评估。商用移动

通信智能终端包含：智能手机、PAD等个人手持移动通信设备，不包含个人电脑。专用终

端的安全技术要求不在本标准覆盖范围内。

本标准是全新编制的标准，不涉及旧版本的关联。

二、编制依据和原则

2.1编制依据

《移动通信智能终端操作系统安全技术要求》的编写主要依据如下有效的国家标准及国

际标准：

1.GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第一部分：简介和

一般模型

2.GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第二部分：安全功

能要求

3.GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第三部分：安全保

证要求

4.GB/Z20283-2006信息安全技术保护轮廓和安全目的的产生指南

5.GB17859-1999计算机信息系统安全保护等级划分准则

6.ISO/IEC15408-3:2008Informationtechnology—Securitytechniques—Evaluationcriteria

forITsecurity—Part3:Securityassurancecomponents

其中GB/T18336.X-2008等效于ISO/IEC15408.X-2005信息技术安全性评估准则，是

国际上通用的信息技术安全性评估准则，通过此评估准则可获得同类信息产品的安全性以及

保证级别评估，此结果在国际范围内具有可比性。

2.2编制原则

标准编制组在编写过程中遵循如下原则：

1.遵循现行国家标准，采用和借鉴国内外先进标准

参考国标GB/T18336-2008信息技术安全性评估准则，借鉴GB17859-1999的内容,吸取

国际标准化组织ISO/IEC及其他标准化组织有关信息技术安全性评估准则等最新文件，查阅

美国国家标准技术机构（NIST）、美国信息保障部（IAD）等近年来做出的有关操作系统的

安全技术要求，编写本标准。

2.贯彻国家有关政策与法规

对安全功能支撑的密码技术可应用于移动操作系统安全的多个方面，但密码技术的使用

必须符合我国有关政策和法规。

3.提出的安全技术要求应具备准确性、完备性、指导性及可扩展性

切实结合移动通信智能终端操作系统的特点，提出针对每一安全威胁的安全目的、安全

功能要求，每一安全威胁有相应的抵御方法。另外标准保留了扩展、细化安全要求的结构。

4.认真听取、分析各方意见，做好意见的处理和反馈

将文稿提交中国通信标准化协会（CCSA）网络与信息安全技术委员会（TC8）安全基

础工作组(WG4)会议讨论，征求工信部相关主管单位及工信部研究院意见，接受“全国信息

安全标准化技术委员会”的项目检查工作，记录、分析每一次会议意见，针对意见进行修

改，做好意见反馈工作。

三、标准主要内容

《移动通信智能终端操作系统安全技术要求》首先阐述移动通信智能终端操作系统的功

能和特点，定位移动通信智能终端操作系统的安全问题，其次提出针对安全问题的解决方案，

进而提出安全功能要求和安全保证要求，并逐一说明安全要求的原理，证明安全功能要求能

够解决对应的安全问题。

《移动通信智能终端操作系统安全技术要求》的主要大纲和内容为：

1.概述

移动通信智能终端操作系统的功能是管理移动终端的硬件、软件资源。其硬件资源有：

通信设备（蜂窝移动通信设备、无线局域网设备），终端信源传感器（麦克、摄像头、加速

度计、定位导航系统），终端输入输出设备（红外线接口、蓝牙、USB接口、SDIO接口）

等。软件包括存储用户信息的文件（电话号码本、通信记录、短消息、电子邮件、记事本等）

以及相关应用软件。移动通信智能终端操作系统的特点是开放应用软件可编程接口（API）

或开放操作系统源文件。

移动通信终端操作系统应具备的安全特征如下：

给每个用户、应用、主体、进程分配唯一的标识；

在允许授权人员用户或远程IT实体施行操作前，应对他们的身份进行鉴别；

执行访问控制和网络信息流控制策略；

执行应用软件限制策略；

执行设备安全管理，即具有可配置的安全和管理策略，实现远程可信IT系统对移

动终端的安全管理；

执行访问授权管理，即持有者能够根据需要初始化、配置、修改应用软件的访问权

限；

对个体行为审计；

提供密码支持。

2.移动通信智能终端操作系统安全问题定义

对移动通信智能终端操作系统使用环境、使用条件及组织安全策略要求进行梳理，分析

当前移动通信智能终端操作系统面临的安全威胁，确定移动通信智能终端操作系统的安全问

题。所确定的安全威胁有：

用户数据丢失

非授权人员访问

用户配置错误

危及系统安全功能的安全

非授权网络流量

授权人员用户的恶意行为

恶意软件

数据备份

设备管理

3.移动通信智能终端操作系统安全目的

根据此操作系统处理的信息资产价值和安全问题定义，提出相适应的安全目的，以保护

与用户利益相关的信息及系统资源。主要安全目的有：

设备访问

管理员角色

会话锁定

安全管理

用户数据备份

标识与鉴别

应用软件控制

网络信息流控制

4.移动通信智能终端操作系统安全功能要求

本标准提出的满足上述安全目的安全功能要求主要分为如下类别：

标识与鉴别类

用户数据保护类

操作系统访问类

安全管理类

系统安全功能保护类

安全审计类

密码支持类

可信信道类

5.移动通信智能终端操作系统安全保证要求

根据本标准的适用范围，考虑到安全投入的成本，选择安全保证级别EAL2，以保证标

准叙述的安全功能要求能够正确实施、运行、维护及持续使用，并使安全功能得到保护，免

受非可信主体的干扰和破坏，安全功能不被旁路。

保证要求组件详细描述。

6.原理

威胁与安全目的原理表说明了每一安全威胁均有安全目的对应，以抵御安全威胁。

组织安全策略与安全目的原理表说明了每一组织安全策略均得到实施，以满足组织要求。

安全功能原理表描述针对每一个安全目的所对应的安全功能要求或安全功能要求组，以

论证安全目标的正确实施和使用。

四、编制过程说明

1.成立编制组

2011年4月初，兴唐通信公司成立了国家标准《移动通信智能终端操作系统安全技术

要求》编制工作组，由单位的相关专家和技术骨干组成。

2.制定工作计划

按照项目目标要求，标准编制组专门制定了工作计划，并确定标准编制的工作思路，可

大致分解为以下几部分：

1)调研标准需求。项目组集中采集各相关主管部门针对该标准的需求和建议，同时大

量调研国内外对信息产品安全技术要求的编写依据，从而确定该标准的写作思路、文章

的框架结构和大致内容。

2)分工撰写标准相关内容。项目组依据文章框架进行分工，相关责任人分头撰写。项

目组定期对新生成的内容进行讨论和评审，从而生成阶段性版本。

3)参加CCSA会议前的单位内部评审。项目组在每次参加CCSA会议之前，组织单位内

部相关专家对文稿进行评审，并依据反馈意见进行修改，进一步生成参加CCSA会议的文

稿。

4)参加CCSA会议的阶段性评审。项目组参加CCSATC8WG4工作组的讨论，并参加该

组所组织的联合会议。

5)依据CCSA会议的相关意见修改文稿。项目组根据每次参会代表们所提的反馈意见

和建议修改文稿，并不断完善其框架和内容。

6)依据全国信息安全标准化技术委员会收集的意见反馈进行修改。

具体的进度安排依据CCSA会议和全国信息安全标准化技术委员会的时间而定。

3.确定编制内容

经过标准编制组的充分调研和分析，决定参考GB18336-2008定义的保护轮廓形式，借

鉴GB17859-1999的内容在GB20283-2006《信息安全技术保护轮廓和安全目标的产生指

南》的指导下编写《移动智能终端操作系统安全技术要求》。

4.编制工作简要过程

1)2011年3月底，标准编制工作组开始启动，确定标准的编制思路，并依据该思路提出

标准大纲。

项目组调研、分析了国内外关于操作系统安全技术要求的编写方法。目前国外对信息技

术产品的安全评估采用了标准而统一的准则，即信息技术安全评估通用准则（Common

CriteriaforInformationTechnologySecurityEvaluation,以下简称CC）。该准则应用广泛并得到

信息安全领域的认可。依据CC编写的安全技术要求逻辑结构严谨，语言表达准确，适用于

表达信息技术产品的安全技术要求。国内与CC对等的标准是GB/T18336-2008系列标准。

调研过程中也重点研究了国内编写信息技术产品安全技术要求的另外一种方法，即

GB17859-1999《计算机信息系统安全保护等级划分准则》。通过反复的对比和分析，最终确

定参考GB/T18336定义的保护轮廓形成本标准的编制结构，并借鉴GB17859-1999的内容

完成标准的编写。

2)2011年4月至2011年5月25日，项目组研究了GB/Z20283-2006、ISO/IECTR

15446:2009规定的文章组织结构、表达方法以及移动通信智能终端操作系统的基本结构

和特点，初拟了标准文稿的大纲。

3)2011年5月-6月，项目组前往工信部电信研究院进行了两次交流，征求其意见。交流

的目的是向电信研究院的相关专家介绍标准的写作思路和写作内容，回答专家疑问，听

取专家的建议和意见，以便保证标准文稿的合理性、正确性和完备性。

4)2011年5月26日，项目组参加了CCSATC8WG4的第17次会议。

会上为参会代表介绍了GB/T18336-2008并阐述采用该形式描述安全技术要求的可行

性、必要性和先进性。同时也介绍了文稿的初步提纲。参会代表对本标准的编制思路和文稿

大纲进行评审并提出修改意见，同时建议联合无线通信技术委员会的3G网络安全与加密工

作组（TC5-WG5）、移动互联网应用和终端技术委员会的终端工作组（TC11-WG3）等相关

工作组对本项目进行共同评审。

5)2011年5月底至6月27日，项目组依据第17次会议的意见修改文稿，同时初步完成

文稿前半部分的内容撰写。

前半部分内容包括标准的术语、定义和缩略语、移动通信智能终端操作系统的安全环境

分析，以及移动终端操作系统保护的资产、面临的安全威胁以及相关组织安全策略等。项目

组还在此基础上提出了移动终端操作系统的安全目的，并初步完成安全需求与安全目的相对

应的原理表。

6)2011年6月28日，项目组参加了CCSATC8WG4的第18次会议。

会上项目组首先介绍对第17次会议评审意见的处理情况，其次为与会代表讲解了文稿

新增内容。参会代表对已完成的征求意见稿的内容进行评审并提出相关修改意见。此外，向

TC5-WG5和TC11-WG3发联络函并附文稿，广泛征求对本标准文稿的意见。

7)2011年7月初到2011年9月21日，项目组依据第18次会议意见及联络函的反馈修改

文稿，此外继续补充文稿未完内容。

此阶段利用TCS工具规范了标准的格式，新增了如下文稿内容：安全功能要求部分的

标识与鉴别类的描述。

8)2011年8月18日，项目组参加了由安标委组织的标准进展情况检查工作会议。

会上项目组汇报了标准文稿的进展情况。与会专家对标准写作思路、文档结构以及已完

成的内容进行了评审和讨论，提出了相关修改建议和意见。此次会议结论为，基本同意项目

组撰写思路，并对项目组的研究成果给予肯定。

9)2011年9月22日，项目组参加了CCSATC8WG4的第19次会议。

本次会议邀请了TC5-WG5、TC11-WG3的代表参加，共同讨论文稿内容。会上，项目

组首先介绍对第18次会议评审意见的处理情况，其次为参会代表讲解文稿的新增内容。对

TC5-WG5和TC11-WG3回复的联络函进行讨论，并形成对这两个工作组的回函。会议决定

就该标准的写法和技术思路召开专题会议，邀请所有关注该项目的专家代表参加。专题会议

之后不再就CC本身的术语进行讨论学习交流。

10)2011年9月底至11月21日，项目组依据第19次会议反馈修改文稿相关内容，继续撰

写未完成的文稿。

新增内容包括安全功能要求部分的用户数据保护类的描述。此外，单位内部组织相关专

家对文稿进行评审，项目组依据评审意见进行修改，输出参加第20次会议的版本。

11)2011年11月22日、23日，项目组参加TC8-WG4第20次会议。会上项目组首先介绍

第19次会议反馈的处理情况，同时针对该标准的写法和技术思路与与会代表展开专题

讨论。

12)2011年11月底至12月26日，项目组依据第20次会议要求修改和补充文稿。

新增内容包括安全功能要求部分的TSF数据保护类、TOE访问类和密码支持类，输出

参加第21次会议的版本。

13)2011年12月27日、28日，项目组参加TC8WG4第21次会议。

会上项目组首先介绍第20次会议意见反馈。然后向与会代表讲解文稿新增部分内容。

与会代表对文稿新增内容展开了讨论，提出了文稿修改建议和意见，下次会议继续征求意见。

14)2011年12月底至2012年4月10日，项目组依据第21次会议意见修改文稿相关内容，

同时继续撰写未完成的文稿。

新增内容包括安全功能要求部分的安全管理类、安全审计类和可信路径/信道类的描述，

安全保证要求全部内容的撰写。至此，征求意见稿的文档结构确定和内容完整。会前公司再

次组织相关专家对文稿进行评审，项目组依据评审意见进行修改，输出参加第22次会议的

版本。

15)2012年4月11日、12日，项目组参加TC8WG4第22次会议。

会上项目组介绍了第21次会议意见的处理情况及文稿新增内容。TC8WG4第22次会

议对本文稿形成结论：文稿按TC8WG4第22次会议意见修改后可进入送审稿阶段。

16)项目组按第22次会议意见完成了文稿的修改。

历次CCSA工作组会议代表涵盖了工信部电信研究院、国内三大移动通信运营商、国

内外终端设备制造厂商、终端芯片制造商、信息安全领域科研生产单位及高等院校，具有广

泛的代表性。参会单位名称详见意见汇总表。

17)通过CCSA向全国信息安全标准化技术委员会提交文稿，征求意见

2012年5月向全国信息安全标准化技术委员会提交文稿、意见汇总表及编制说明，2012

年9月收到全国信息安全标准化技术委员会收集的反馈意见，并针对反馈意见进行修改。

18)2012年9月14日参加信安标委组织的标准修改意见处理协调会

2012年9月14日编制组参加全国信息安全