标准规范下载简介
TAF-WG4-AS0015-V1.0.0:2018 移动智能终端安全能力技术要求.pdf4. 2. 1 硬件安全目标
4.2.2操作系统安全目标
操作系统安全目标是达到操作系统对系统资源调用的监控、保护和提醒,确保涉及安全的系统 是在受控的状态下,不会出现用户在不知情情况下某种行为的执行,或者用户不可控行为的执行 ,操作系统还应保证自身的升级是受控的
4.2.3外围接口安全目标
外围接口包括无线外围接口和有线外围接口。外围接口的安全目标是确保用户对外围接口的连 据传输的可知和可控【河南地标】12YJ6 外装修,
4.2.4应用层安全目标
在其上的应用软件可以进行敏感行为的控制。另外,还要确保预置在移动智能终端中的应用软件无损害 用户利益和危害网络安全的行为,例如恶意吸费、未经授权的修改、删除、向外传送用户数据等行为。
4.2.5用户数据保护安全目标
用户数据保护安全目标是要保证用户数据的安全存储,确保用户数据不被非法访问、获取和 时能够通过备份方式保证用户数据的可靠恢复
5移动智能终端安全能力技术要求
移动智能终端应通过给用户提示和让用户确认的方式来防范安全威胁,当第三方应用调用相关功能 时,操作系统应具备给用户提示和让用户确认的能力;预置多操作系统的移动智能终端,每一个操作系 统在运行过程中都应具备给用户提示和让用户确认的能力。 给用户的提示可以是图标、文字或其他明显的提示方式。在操作执行期间,提示应足够引起用户的 注意,且提示信息应易于用户理解。 用户确认应使用户有选择的权利,即用户应能确认也能取消。 用户确认如无特别说明,则认为以下三种确认方式均可: 一应用软件每一次调用行为发生时进行确认; 一应用软件首次调用行为发生时确认,本确认在一定时间内有效,确认应针对每一个调用行为单 独确认; 一应用软件首次安装或调用行为发生时确认,本确认对该软件长期有效,确认应针对每一个调用 行为单独确认。 本章所提及的给用户提示和用户确认,均指由第三方应用调用相关功能时,操作系统所应具备的能 力。对于第三方应用通过调用操作系统提供的人一机接口执行的操作,认为是在用户知情的情况下执行 的操作,已经给用户提示并得到用户的确认。 对于应用软件安全配置中用户设置为允许访问的操作,也认为是在用户知情的情况下执行的操作 已经得到用户的确认
力智能终端硬件安全能力
5. 2. 1 安全运行区域
移划智能终而硬件集成专用的安 运行区域享存储空目,通过物理际 篡改或非法获取。具备硬件实 算法相关功能
5. 2. 2 安全启动
5.2.3防止物理攻击
5.2.5根密钥生成与保护
移动智能终端安全区域根密钥应随机生成,随机数熵值应满足移动智能终端安全要求, 特。 根密钥仅在移动智能终端安全运行区域使用,无法被外部获取
5.3移动智能终端操作系统安全能力要
5.3.1安全调用控制能力
5. 3. 1.1.2 三方通话
5. 3. 1. 1. 4 发送彩信
5. 3. 1. 1.5 发送邮件
应用软件调用执行发送邮件操作时,应在用户确认的情况下,邮件发送操作才能执行
5.3.1.1.6移动通信网络数据连接
移动智能终端通信网络数据连接,应满足以下安全能力要求: a)移动智能终端应提供开关,可开启/关闭移动通信网络数据连接; b)应用软件调用开启移动通信网络数据连接功能时,应给用户相应的提示,当用户确认后连接方 可开启; c)移动通信网络当移动通信网络的数据连接处于已连接状态,移动智能终端应在用户主界面上给 用户相应的状态提示; d)移动智能终端应提供数据传输控制能力,应用软件调用移动通信网络传送数据应在用户确认的 情况下执行: e)当移动通信网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。 上述c)和e)的两种状态提示应不同。 5.3.1.1.7WLAN网络连接 移动智能终端WLAN网络连接应满足以下安全能力要求: a)移动智能终端应提供开关,可开启/关闭WLAN网络连接: b)应用软件调用开启WLAN网络连接功能时,应给用户相应的提示,当用户确认后连接方可开启 c)当WLAN网络连接处于已连接状态,移动智能终端应在用户主界面上给用户相应的状态提示; d)当WLAN网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。 上述c)和d)的两种状态提示应不同。
5.3.1.1.7WLAN网络连接
5.3.1.2本地敏感功能受控机制
5.3.1.2.1定位功能
应用软件调用定位功能时,移动智能终端应在用户确认的情况下才能调用。调用后,移动智能终端 应在用户主界面上给用户相应的状态提示。
5.3.1.2.2通话录音功能
通话录音是指在通话状态下录取线路上双方的话音。当应用软件调用启动通话录音时,应在用户确 认的情况下才能开启。
3.1.2.3本地录音功能
应用软件调用启动本地录音功能时,应在用户确认的情况下才能启动录音操作。
5. 3. 1. 2. 4 后台截屏功能
后台截屏是指应用软件后台运行时截取前台屏幕内容。当应用软件调用执行后台截屏时,应在用户 确认的情况下才能启动截屏操作
.3.1.2.5拍照/摄像功
对于具备摄像头的移动智能终端,当应用软件启动拍照或摄像功能时,移动智能终端应给用户相应 的提示(图像预览、指示灯、声音或图标等),在用户确认的情况下方可执行拍照或摄像操作。
5.3.1.2.7对用户数据的操作
3. 2 操作系统的更新
移动智能终端应提供操作系统的更新保护功能,具体要求如下: a)当移动智能终端提供操作系统的更新机制时,应保证执行授权的操作系统更新; b)当移动智能终端不能保证操作系统安全的更新时,应在说明书中明示用户可能带来
5. 3. 3 操作系统隔离要求
预置多操作系统的移动智能终端,应采取隔离机制对多系统之间的接口和数据进 系统间进行非授权通信。
预置多操作系统的移动智能终端,应采取隔离机制对多系统之间的接口和数据进行保护,防1 统间进行非授权通信。
5.3.4操作系统漏洞要求
5.4移动智能终端外围接口安全能力要求
5.4.1无线外围接口安全能力要求
无线外围接口开启/关闭
对于具备蓝牙、NFC功能的移动智能终端应具备开关,可开启/关闭蓝牙、NFC等终端所支持的无 线连接方式。 当应用软件调用开启无线外围接口时,移动智能终端应给用户相应的提示,当用户确认后连接方可 开启。
5.4.1.2无线外围接口连接建立的确认机制
5.4.1.3无线外围接口连接状态提示
当移动智能终端的无线外围接口蓝牙已开启,移动终端宜在用户主界面上给用户相应的状态提示。 当移动智能终端通过无线外围接口蓝牙建立数据连接,移动智能终端应在用户主界面上给用户相应 的状态提示。 当移动智能终端的无线外围接口NFC已开启,移动终端宜在用户主界面上给用户相应的状态提示 当移动智能终端通过无线外围接口NFC建立数据连接,移动智能终端应给用户相应的提示(图标、 声音或振动等)。 如果移动智能终端提供了无线外围接口的开启状态提示和数据连接状态提示,该两种状态提示应不
5.4.1.4无线外围接口数据传输的受控机制
当移动智能终端与其他设备已经通过无线外围接口(蓝牙或NFC)实现连接,此时通过无线外围接 口进行文件数据传输时,移动智能终端应给用户相应的提示。
5.4.2有线外围接口安全能力要求
5.4.2.1有线外围接口连接建立的确认机制
对于仅用于充电或仅用于数据连接的有线外围接口,当通过该接口建立连接时,移动智能终端应给 用户相应的提示。 对于既可进行充电,又可进行数据连接的有线外围接口,当连接充电器时应给用户相应的提示,当 连接于既可进行充电又可进行数据连接的设备时,用户应能够选择是否建立数据连接模式或者能够保证 数据传输授权可控。
5. 4. 2. 2 USB 存储模式的安全机制
5.5移动智能终端应用层安全要求
5.5.1应用软件安全配置能力要求
5.5.2应用软件调用行为记录能力要求
5.5.3应用软件安全认证机制要求
5.3.1非认证签名要求
如果移动智能终端支持对未经认证签名的软件下载和应用,在进行应用软件安装时移动智能终端应 能够识别应用软件的签名状态,并能够根据签名状态给用户相应的提示
5.5.3.2认证签名要求
如果移动智能终端采用认证签名机制,在此情况下,未经过认证签名的应用软件仅当用 后才能执行下一步操作,
5.5.4应用软件自启动监控能力
5.5.5预置应用软件安全要求
5.5.5.1收集用户数据
5.5.5.2修改用户数据
5.5.5.3数据录入保
移动智能终端中预置的支付应用软件输入认证/支付密码等敏感信息时,需采取技术措施防止密码 被截获,并不得在移动智能终端界面上显示明文
5.5.5.4数据加密传输
5.5.5.5组件访问控制
软件组件是指软件自包含的、可编程的、通过接口实现复用的软件单元。移动智能终端中预 用软件应对其内部包含敏感个人信息的组件及对外接口进行保护,任何未经授权的第三方应用赖 访间或调用
5. 5.5. 6 软件认证签名
如果移动智能终端采用认证签名机制,在此情况下,移动智能终端预置的应用软件应 息,且签名信息真实可信。
5.5.5.7升级更新要求
移动智能终端预置的应用软件更新,应在用户授权的情况下进行,当升级行为不能保证终端 他应用软件、软件本身的安全时,应在说明中明示用户可能带来的安全风险。 当应用软件升级失败时,应保证应用软件能回到更新前的版本且能正常使用
5.5. 5. 8 调用终端通信功能
5.5.5.8.1流量耗费
移动智能终端中预置的应用软件不 不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造 成用户流量消耗的行为,包括在用户无确认情况下通过移动通信网络数据连接、WLAN网络连接、无线 外围接口传送数据的行为。
5.5.5.8.2费用损失
5.5.5.8.3信息泄露
5.5.5.9应用软件漏洞要求
5.6.1移动智能终端的密码保护
5.6.2文件类用户数据的授权访
移动智能终端提供文件类用 方应用访问被保护的用户数据时 户确认的情况下才能访问。 视频、音频和文档等
5.6.3用户数据的加密存储
未经授权的任何实体应不能从移动智能终端的加密存储区域的数据中还原出用户私密 容。
5.6.4用户数据的彻底删除
移动智能终端提供数据彻底删除功能,以保证被删除的用户数据不可再恢复出来。一般的删除功能 仅会删除数据在存储器件中放置位置的索引,而该区域内实际存储的数据没有完全清空,在数据被删除 之后,非法程序通过读取该区域的内容,仍有可能从读取到的数据中恢复被删除的私密数据。彻底删除 功能应把该区域内实际存储的数据彻底消除。例如,当终端用户数据被删除时,在该数据对应的存储区 域使用全“0”或全“1”进行多次填充
SL 62-2014标准下载5.6.5用户数据的远程保护
5.6.6用户数据的转移备份
移动智能终端应真实传送信息,不得通过对传送信息的处理或传送虚假信息使信息接收者错误识别 特定通信主体等,不得预置可改变通信系统提示信号的应用软件。 移动智能终端不得预置国家法律法规禁止的信息内容(包括但不限于预置图片、文字、菜单、音视 频、应用等),也不得预置为传播发布国家法律法规禁止信息内容提供服务的应用软件。
7移动智能终端安全能力分级
7移动智能终端安全能力分级
智能终端所支持的安全能力划分为五个等级,第五级是最高等级。移动智能终端可选支持到不 。达到相应等级的移动智能终端可在说明书上进行明确的标识,预置多操作系统的移动智能终 操作系统所支持的安全能力等级可分别进行标识,参见附录A的内容,
根据移动智能终端所支持的安全能力的程度2018新建筑面积计算规则,将移动智能终端安全能力自低到高划分为五个等级。 在每一等级定义了移动智能终端在相应等级对应的安全能力的最小集合,也就是移动智能终端必须支持 该集合中的所有安全能力才能标识为该级别,例如:达到第五级的移动智能终端应支持本标准第5章和 第6章所定义的所有安全能力及功能限制性要求。具体的等级划分详见表1。
表1移动智能终端安全能力分级