YD/T 2407-2013
基本信息
标准号: YD/T 2407-2013
中文名称:移动智能终端安全能力技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1117KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2407-2013 移动智能终端安全能力技术要求
YD/T2407-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS33.060
中华人民共和国通信行业标准
YD/T2407-2013
移动智能终端安全能力技术要求Technicalrequirementsforsecuritycapabilityofsmartmobileterminal
(ITU-T X.msec-6:2012,Security aspects of smartphones,NEQ)2013-04-25发布
2013-11-01实施
中华人民共和国工业和信息化部发布前
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义-
3.2、缩略语:
4移动智能终端安全能力框架及目标-4.1移动智能终端安全能力框架
4.2移动智能终端安全目标·
5移动智能终端安全能力技术要求5.1基本要求..
5.2移动智能终端硬件安全能力要求·目
5.3移动智能终端操作系统安全能力要求5.4移动智能终端外围接口安全能力要求.5.5移动智能终端应用层安全要求5.6移动智能终端用户数据安全保护能力要求·6移动智能终端功能限制性要求
7、移动智能终端安全能力分级
7.1概述
安全能力分级
附录A(资料性附录)安全能力等级标议参考文献·
YD/T2407-2013
YD/T2407-2013
本标准按照GB/T1.1-2009给出的规则起草。本标准使用重新起草法参考国际电信联盟(ITU-T)相关建议ITU-TX.msec-6:2012《手机安全总览》编制,与ITU-TX.msec-6的一致性程度为非等效。本标准为移动智能终端安全系列标准之一,该系列标准的名称和结构预计如下:a)《移动智能终端安全能力设计导则》:b)YD/T2407-2013《移动智能终端安全能力技术要求》:c)YD/T2408-2013《移动智能终端安全能力测试方法》:d)YD/T1886-2009《移动终端芯片安全技术要求和测试方法》本标准由中国通信标准化协会提出并归口本标准起草单位:工业和信息化部电信研究院、北京展讯高科通信技术有限公司、大唐电信科技产业集团
本标准主要起草人:潘、娟、匡晓炬、落红卫、汪坤、李云帆、于璐、袁广翔、何桂立、史德年李巍、虞华伟、李健巍、李茜。I
YD/T2407-2013
随移动智能终端的广泛应用以及功能的不断扩展,其使用过程中的安全问题被越来越多的用户所关注,近年来,恶意吸费,窃听、窃录,位置信息露等安全事件频发,使用户对移动智能终端的安全性产生顾虑,进而影响到移动智能终端和移动互联网应用的发展。本标准的制定,旨在通过提高移动智能终端的自身的安全防护能力,防范移动智能终端上的各种安全威胁,避免用户的利益受到损害,同时防止移动智能终端对移动通信网络安全产生不利影响。本标准的基本原则是:移动智能终端上发生的行为和应用要符合用户的意愿。本标准并不规定具体的实现方法和措施,以利于创新和发展。本标准从硬件安全能力要求、操作系统安全能力要求、外围接口安全能力要求,应用软件安全要求、用户数据安全保护能力要求5个层面对移动智能终端的安全能力提出了要求,并从基本的安全保障,实现难度、特殊安全能力等层面对安全能力进行了分级,以便于产品具有特定品质,便于消费者选择。通过本标准一方面能够引导移动智能终端中预置应用软件更加规范、安全:另一方面也能引导移动智能终端提高自身的安全防护能力,可对后下载的第三方应用进行安全管控:同时也能防范移动智能终端中预置恶意代码对网络造成安全影响m
-iiKacaQiaikAca
1范围
移动智能终端安全能力技术要求YD/T2407-2013
本标准规定了移动智能终端安全能力的技术要求,包括移动智能终端硬件安全能力、移动智能终端操作系统安全能力、移动智能终端外围接口安全能力、移动智能终端应用层安全要求、移动智能终端用户数据保护安全能力等,并对安全能力进行了分级。本标准适用手各种制式的移动智能终端,个别条款不适用手特殊行业、专业应用,其他终端也可参考使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件YD/T1699-2007
YD/T1760-2012
3术语、定义和缩略语
3.1术语和定义
移动终端信息安全技术要求
数字移动终端外围接口数据交换技术要求下列术语和定义适用于本文件。3.1.1
移动智能终端
SmartMobileTermina
能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端。
安全能力SecurityCapability
在移动智能终端上可实现的,能够防范安全威胁的技术手段3.1.3
用户User
使用移动智能终端资源的对象:包括人或第三方应用程序。3.1.4
用户数据UserData
移动智能终端上存储的用户个人信息,包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。3.1.5
授权Authorization
在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程,1
YD/T2407-2013
数字签名Digital Signature
附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。充许数据的接收者验证数据的来源和完整性,保护数据不被篡改,伪造,并保证数据的不可否认性。3.1.7
代码签名CodeSignature
利用数字签名机制,由具有签名权限的实体对代码全部或部分功能进行签名的机制。3.1.8
移动智能终端操作系统OperatorSystemofSmartMobileTerminal移动智能终端最基本的系统软件,它控制和管理移动智能终端各种硬件和软件资源,并提供应用程序开发接口。
MaliciousCharge
恶意吸费
在用户不知情或未授权的情况下由终端上应用软件造成的用户经济损失。3.2缩略语
下列缩略语适用于本文件。
Lock and Wipe Management ObjectWirelessLocal AreaNetwork
4移动智能终端安全能力框架及自标4.1移动智能终端安全能力框架
锁定/擦除管理对象
无线局域网
图1为移动智能终端安全能力框架,主要包括5个部分:最底层是移动智能终端硬件安全能力,之上为操作系统安全能力,顶层为应用层安全要求,外围接口安全能力涉及操作系统层面和硬件安全层面,用户数据保护安全能力涉及硬件、操作系统和应用软件3个层面。应用层安全要求
操作系统安全能方
硬件安全能力
外接口安全能力
图1移动智能终端安全能力框架
4.2移动智能终端安全目标
4.2.1硬件安全自标
用户数据保护安全能力
移动智能终端硬件安全目标是在芯片级保证移动通信终端内部闪存和基带的安全,确保芯片内系统程序,终端参数,安全数据,用户数据不被募改或非法获取。4.2.2操作系统安全目标
操作系统安全目标是达到操作系统对系统资源调用的监控、保护和提醒,确保涉及安全的系统行头总是在受控的状态下,不会出现用户在不知情情况下某种行为的执行,或者用户不可控行为的执行。另外、操作系统还应保证自身的升级是受控的2
iiKacaQiaiKAca-
4.2.3外围接口安全目标
YD/T2407-2013
外围接口包括无线外围接口,有线外围接口。外围接口的安全目标是确保用户对外围接口的连接及数据传输的可知和可控。
4.2.4应用层安全自标
应用层安全目标是要保证移动智能终端对要安装在其上的应用软件可进行来源的识别,对已经安装在其上的应用软件可以进行敏感行为的控制。另外,还要确保预置在移动智能终端中的应用软件无损害用户利益和危害网络安全的行为,例如恶意吸费、未经授权的修改、删除、向外传送用户数据等行为。4.2.5用户数据保护安全自标
用户数据保护安全目标是要保证用户数据的安全存储,确保用户数据不被非法访问,不被非法获取不被非法套改,同时能够通过备份保证用户数据的可靠恢复。5移动智能终端安全能力技术要求5.1基本要求
移动智能终端应通过给用户相关提示和用户确认的方式来防范安全威胁,当第三方应用调用相关功能时,操作系统所应具备给用户相关提示和让用户确认的能力给用户的提示可以是图标提示,文字提示或其他明显的提示方式。在操作执行期间,提示应足够引起用户的注意。
用户确认应使用户有选择的权利,即用户应能确认也能取消。用户确认如无特别说明,则认为以下3种确认方式均可:一应用软件每一次调用行为发生时进行确认:一应用软件首次调用行为发生时确认,本确认在一定时间内有效,确认应针对每一个调用行为单独确认:
一应用软件首次安装或调用行为发生时确认,本确认对该软件长期有效,确认应针对每一个调用行为单独确认。
本章所提及的给用户提示和用户确认,均指由第三方应用调用相关功能时,操作系统所应具备的能力。对于第三方应用通过调用操作系统提供的人一机接口执行的操作,认为是在用户知情的情况下执行的操作,已经给用户提示并得到用户的确认。对于应用软件安全配置中设置为允许访问的操作,也认为是在用户知情的情况下执行的操作,已经得到用户的确认。
对于移动通信网络连接、无线局域网络连接、无线外围接口的开启操作在任何情况下都应给用户提示并经用户确认。
5.3和5.4节所提及的安全能力要求,仅适用于当第三方应用调用操作系统提供的相应功能的情况。5.5.1、5.5.2和5.5.3所提及的应用软件是指非预置的应用软件。5.2移动智能终端硬件安全能力要求如果移动智能终端硬件提供了远程操作手段,则移动智能终端应对其远程操作手段进行保护,防止远程操作被恶意利用。
YD/T2407-2013
5.3移动智能终端操作系统安全能力要求5.3.1安全调用控制能力
5.3.1.1通信类功能受控机制
5.3.1.1.1拨打电话
应用软件调用执行援打电话操作时,应在用户确认的情况下,拨打操作才能执行。5.3.1.1.2三方通话
应用软件调用执行三方通话操作时,应在用户确认的情况下,三方通话操作才能执行。5.3.1.1.3发送短信
应用软件调用执行发送短信操作时,应在用户确认的情况下,发送短信操作才能执行。5.3.1.1.4发送彩信
应用软件调用执行发送彩信操作时,应在用户确认的情况下,发送彩信操作才能执行5.3.1.1.5发送邮件
应用软件调用执行发送邮件操作时,应在用户确认的情况下,邮件发送操作才能执行。5.3.1.1.6移动通信网络数据连接移动智能终端通信网络数据连接,应满是以下安全能力要求a)移动智能终端应提供开关,可开启/关闭移动通信网络数据连接b)应用软件调用开启移动通信网络数据连接功能时,应给用户相应的提示,当用户确认后连接方可开启:
c)移动通信网络当移动通信网络的数据连接处于已连接状态,移动智能终端应在用户主界面上给用户相应的状态提示:
d)当移动通信网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。上述c)和d)的两种状态提示应不同。5.3.1.1.7WLAN网络连接
移动智能终端WLAN网络连接应满足以下安全能力要求a)移动智能终端应提供开关,可开启/关闭WLAN网络连接:b)应用软件调用开启WLAN网络连接功能时,应给用户相应的提示,当用户确认后连接方可开启:c)当WLAN网络连接处于已连接状态,移动智能终端应在用户主界面上给用户相应的状态提示:d)当WLAN网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。上述c)和d)的两种状态提示应不同5.3.1.2本地敏感功能受控机制
5.3.1.2.1定位功能
应用软件调用定位功能时,移动智能终端应在用户确认的情况下才能调用。调用后,移动智能终端宜在用户主界面上给用户相应的状态提示。5.3.1.2.2通话录音功能
通话录音是指在通话状态下录取线路上双方的话音。当应用软件调用启动通话录音时,应在用户确认的情况下才能开启。
iiKacaQiaiKAca
5.3.1.2.3本地录音功能
应用软件调用启动本地录音功能时,应在用户确认的情况下才能启动录音操作。5.3.1.2.4拍照/摄像功能
YD/T2407-2013
对于具备摄像头的移动智能终端:当应用软件启动拍照或摄像功能时,移动智能终端应给用户相应的提示(图像预览、指示灯、声音或图标等),在用户确认的情况下方可热行拍照或摄像操作5.3.1.2.5对用户数据的操作
移动智能终端操作系统应提供对用户数据保护的功能,能够对电话本数据,通话记录,短信数据、彩信数据进行保护。具体要求如下:a)当应用软件调用对用户数据进行写操作时,移动智能终端应在用户确认的情况下方可执行b)当应用软件需要调用对用户数据的读操作时,该应用软件在下载、安装或首次运行时应提示用户该应用将读取这些用户数据。
5.3.2操作系统的更新
移动智能终端通常执行授权的操作系统更新,当不能保证操作系统安全的更新时,应在说明书中明示用户可能带来的安全风险
5.4移动智能终端外围接口安全能力要求5.4.1无线外围接口安全能力要求5.4.1.1无线外围接口开启/关闭受控机制对于具备蓝牙、NFC功能的移动智能终端应具备开关,可开启/关闭蓝牙、NFC等终端所支持的无线连接方式。
当应用软件调用开启无线外围接口时,移动智能终端应给用户相应的提示,当用户确认后连接方可开启。
5.4.1.2无线外围接口连接建立的确认机制当通过无线外围接口(仅适用于蓝牙)与不同设备进行第一次连接时,移动智能终端能够发现该连接并给用户相应的提示,当用户确认建立连接时,连接才可建立。示例:蓝牙配对机制。
5.4.1.3无线外围接口连接状态提示当移动智能终端的无线外围接口蓝牙已开启,移动终端宜在用户主界面上给用户相应的状态提示。当移动智能终端通过无线外围接口蓝牙建立数据连接,移动智能终端应在用户主界面上给用户相应的状态提示。下载标准就来标准下载网
当移动智能终端的无线外围接口NFC己开启,移动终端宜在用户主界面上给用户相应的状态提小。当移动智能终端通过无线外围接口NFC建立数据连接,移动智能终端应给用户相应的提示(图标、声音或振动等)。
如果移动智能终端提供了无线外围接口的开启状态提示和数据连接状态提示,该两种状态提示应不同。
5.4.1.4:无线外国接口数据传输的受控机制当移动智能终端与其他设备已经通过无线外围接口(蓝牙或NFC)实现连接,此时通过无线外围接口进行文件数据传输时,移动智能终端应给用户相应的提示。5
YD/T2407-2013
5.4.2有线外围接口安全能力要求5.4.2.1有线外围接口连接建立的确认机制对于仅用于充电或仅用手数据连接的有线外围接口,当通过该接口建立连接时,移动智能终端应给用户相应的提示。
对于晚可进行充电,文可进行数据连接的有线外围接口,当连接充电器时应给用户相应的提示,当连接于既可进行充电又可进行数据连接的设备时,用户应能够选择是否建立数据连接模式或者能够保证数据传输授权可控,
5.4.2.2USB存储模式的安全机制如果移动智能终端支持内置式USB存储模式(U盘模式),则应提供访问控制方式:5.5移动智能终端应用层安全要求5.5.1应用软件安全配置能力要求移动智能终端可提供机制对所安装的第三方应用软件的调用行为进行配置,包括对拨打电话、发起三方通话、发送短信、发送彩信、调用移动通信网络数据连接、调用定位功能、进行通话录音、本地录音、拍照/摄像、访问电话本、访问通话记录、访问短信和访问彩信的控制。对以上调用行为进行控制至少有允许调用和禁止调用两种状态。推荐允许调用,每次调用时询问用户和禁止调用3种状态。如果移动智能终端可支持对以上调用行为中的3种或3种以上进行配置,即认为满足应用软件安全配置能力要求。5.5.2应用软件安全认证机制要求5.5.2.1非认证签名要求
如果移动智能终端支持对未经认证签名的软件下载和应用,在进行应用软件安装时移动智能终端应能够识别应用软件的签名状态,并能够根据签名状态给用户相应的提示。5.5.2.2认证签名要求
如果移动智能终端采用认证签名机制,在此情况下,未经过认证签名的应用软件仅当用户进行确认后才能执行下一步操作。
5.5.3移动通信网络开机自启动程序监控能力如果移动智能终端具备第三方应用开机自启动程序的能力,应可以浏览和配置应用程序是否开机自启动。
5.5.4预置应用软件安全要求
5.5.4.1收集用户数据
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,自收集用户数据的行为包括在用户无确认情况下开启通话录音、本地录音、拍照/摄像和定位行为。5.5.4.2修改用户数据
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自修改用户数据的行为,包括在用户无确认情况下删除或修改用户电话本数据、通话记录、短信数据和彩信数据的行为5.5.4.3调用终端通信功能
5.5.4.3.1流量耗费
iiKacaQiaiKAca-
YD/T2407-2013
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造成用户流量消耗的行为,包括在用户无确认情况下通过移动通信网络数据连接,WLAN网络连接,无线外围接口传送数据的行为。
5.5.4.3.2费用损失
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造成用户费用损失的行为,包括在用户无确认情况下拨打电话、发送短信、发送彩信、开启移动通信网络连接并收发数据的行为
5.5.4.3.3信息泄露
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,撞自调用终端通信功能,造成用户数据泄露的行为,包括在用户无确认情况下读取并传送用户电话本数据、通话记录、短信数据彩信数据、通话录音、本地录音、图片、视频、音频和定位信息的行为5.5.4.4联网软件安全行为要求
移动智能终端中预置的联网应用软件参见YD/T2382的相关要求。5.6移动智能终端用户数据安全保护能力要求5.6.1移动智能终端的密码保护
移动智能终端应支持开机时的密码保护和开机后锁定状态下的密码保护,例如口令、图案,生物特征识别等多种形态的密码。其中,口令密码为必选的保护形式,其他形式为可选。口令认证的要求见YD/T1699-2007中5.5.2.1,生物特征认证的要求见YD/T1699-2007中5.5.2.3。5.6.2文件类用户数据的授权访问移动智能终端提供文件类用户数据的授权访问能力,当第三方应用访问被保护的用户数据时,应在用户确认的情况下才能访问。文件类用户数据包括图片、视频、音频和文档等。5.6.3用户数据的加密存储
未经授权的任何实体应不能从移动智能终端的加密存储区域的数据中还原出用户私密数据的真实内容
5.6.4用户数据的彻底删除
移动智能终端提供数据彻底删除功能,以保证被删除的用户数据不可再恢复出来。一般的删除功能仅会删除数据在存储器件中放置位置的索引,而该区域内实际存储的数据没有完全清空,在数据被删除之后,非法程序通过读取该区域的内容,仍有可能从读取到的数据中恢复被删除的私密数据。彻底删除功能应把该区域内实际存储的数据彻底消除。例如,当终端用户数据被删除时,在该数据对应的存储区域使用全“0”或全“1”进行多次填充。5.6.5用户数据的远程保护
移动智能终端应提供用户数据的远程保护能力,以便用户在手机遗失或其他情况下,终端中的用户数据不被泄露。远程保护能力包括远程锁定移动智能终端和远程销毁用户数据。移动智能终端提供的远程保护功能也应具备安全设置,确保远程保护功能仅在达到了用户预设条件的情况下才会启动。该功能可参考开放移动联盟(OMA)组织发布的锁定和彻底删除管理对象标准OMA-TS-LAWMO5.6.6用户数据的转移备份
移动智能终端应具备用户数据(至少包括电话本,短信,多媒体数据)的转移及备份能力。7
YD/T2407-2013
用户数据的转移备份包括本地备份和远程备份两种:本地备份是通过移动智能终端的外围接口实现的数据各份:远程备份是通过无线网络实现的用户数据在服务器侧的备份。本地备份适用于支持外围接口的移动智能终端。移动智能终端应至少支持一种备份方式。用户数据的转移和备份应符合YD/T1760的相关要求6移动智能终端功能限制性要求
移动智能终端应当真实传送信息,不得通过对传送信息的处理或传送虚假信息使信息接收者错误识别特定通信主体等,不得预置可改变通信系统提示信号的应用软件;移动智能终端不得预置国家法律法规禁止的信息内容(包括但不限于预置图片、文字、荣单、音视频、应用等),也不得预置为传播发布国家法律法规禁止信息内容提供服务的应用软件。7移动智能终端安全能力分级
7.1概述
移动智能终端所支持的安全能力划分为5个等级,第五级是最高等级。移动智能终端可选支持到不同的等级。达到相应等级的移动智能终端应在说明书上进行明确的标识,参见附录A的内容。安全能力分级
根据移动智能终端所支持的安全能力的程度,将移动智能终端安全能力自低到高划分为5个等级。在每一等级定义了移动智能终端在相应等级对应的安全能力的最小集合,也就是移动智能终端必须支持该集合中的所有安全能力才能标识为该级别,例如:达到第五级的移动智能终端应支持本标准第5章和第6章所定义的所有安全能力及功能限制性要求。具体的等级划分详见表1。表1移动智能终端安全能力分级
安全能力
5.2移动智能终端硬件安全能力要求5.3.1.11拨打电话
5.3.1.12三方通话
5.3.1.1.3发送短信
5.3.1.1.4发送彩信
5.3.1.1.5发送邮件
5.3.1.1.6a)移动通信网络数据连接一开关5.3.1.1.6b)移动通信网络数据连接一应用调用时的确认5.3.1.1.6c)移动通信网络数据连接一连接状态提示5.3.1.1.6d)移动通信网络数据连接一数据传送状态提示5.3.1.1.7a)WLAN网络连接一开关5.3.1.1.7b)WLAN网络连接一应用调用时的确认5.3.1.1.7c)WLAN网络连接一连接状态提示5.3.LL7d)WLAN网络连接一数据传送状态提示5.3.1.2.1定位功能
5.3.1.2.2通话录音功能
5.3.1.2.3本地录音功能
rKacadiaiKAca
安全能力等级
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2407-2013
移动智能终端安全能力技术要求Technicalrequirementsforsecuritycapabilityofsmartmobileterminal
(ITU-T X.msec-6:2012,Security aspects of smartphones,NEQ)2013-04-25发布
2013-11-01实施
中华人民共和国工业和信息化部发布前
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义-
3.2、缩略语:
4移动智能终端安全能力框架及目标-4.1移动智能终端安全能力框架
4.2移动智能终端安全目标·
5移动智能终端安全能力技术要求5.1基本要求..
5.2移动智能终端硬件安全能力要求·目
5.3移动智能终端操作系统安全能力要求5.4移动智能终端外围接口安全能力要求.5.5移动智能终端应用层安全要求5.6移动智能终端用户数据安全保护能力要求·6移动智能终端功能限制性要求
7、移动智能终端安全能力分级
7.1概述
安全能力分级
附录A(资料性附录)安全能力等级标议参考文献·
YD/T2407-2013
YD/T2407-2013
本标准按照GB/T1.1-2009给出的规则起草。本标准使用重新起草法参考国际电信联盟(ITU-T)相关建议ITU-TX.msec-6:2012《手机安全总览》编制,与ITU-TX.msec-6的一致性程度为非等效。本标准为移动智能终端安全系列标准之一,该系列标准的名称和结构预计如下:a)《移动智能终端安全能力设计导则》:b)YD/T2407-2013《移动智能终端安全能力技术要求》:c)YD/T2408-2013《移动智能终端安全能力测试方法》:d)YD/T1886-2009《移动终端芯片安全技术要求和测试方法》本标准由中国通信标准化协会提出并归口本标准起草单位:工业和信息化部电信研究院、北京展讯高科通信技术有限公司、大唐电信科技产业集团
本标准主要起草人:潘、娟、匡晓炬、落红卫、汪坤、李云帆、于璐、袁广翔、何桂立、史德年李巍、虞华伟、李健巍、李茜。I
YD/T2407-2013
随移动智能终端的广泛应用以及功能的不断扩展,其使用过程中的安全问题被越来越多的用户所关注,近年来,恶意吸费,窃听、窃录,位置信息露等安全事件频发,使用户对移动智能终端的安全性产生顾虑,进而影响到移动智能终端和移动互联网应用的发展。本标准的制定,旨在通过提高移动智能终端的自身的安全防护能力,防范移动智能终端上的各种安全威胁,避免用户的利益受到损害,同时防止移动智能终端对移动通信网络安全产生不利影响。本标准的基本原则是:移动智能终端上发生的行为和应用要符合用户的意愿。本标准并不规定具体的实现方法和措施,以利于创新和发展。本标准从硬件安全能力要求、操作系统安全能力要求、外围接口安全能力要求,应用软件安全要求、用户数据安全保护能力要求5个层面对移动智能终端的安全能力提出了要求,并从基本的安全保障,实现难度、特殊安全能力等层面对安全能力进行了分级,以便于产品具有特定品质,便于消费者选择。通过本标准一方面能够引导移动智能终端中预置应用软件更加规范、安全:另一方面也能引导移动智能终端提高自身的安全防护能力,可对后下载的第三方应用进行安全管控:同时也能防范移动智能终端中预置恶意代码对网络造成安全影响m
-iiKacaQiaikAca
1范围
移动智能终端安全能力技术要求YD/T2407-2013
本标准规定了移动智能终端安全能力的技术要求,包括移动智能终端硬件安全能力、移动智能终端操作系统安全能力、移动智能终端外围接口安全能力、移动智能终端应用层安全要求、移动智能终端用户数据保护安全能力等,并对安全能力进行了分级。本标准适用手各种制式的移动智能终端,个别条款不适用手特殊行业、专业应用,其他终端也可参考使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件YD/T1699-2007
YD/T1760-2012
3术语、定义和缩略语
3.1术语和定义
移动终端信息安全技术要求
数字移动终端外围接口数据交换技术要求下列术语和定义适用于本文件。3.1.1
移动智能终端
SmartMobileTermina
能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端。
安全能力SecurityCapability
在移动智能终端上可实现的,能够防范安全威胁的技术手段3.1.3
用户User
使用移动智能终端资源的对象:包括人或第三方应用程序。3.1.4
用户数据UserData
移动智能终端上存储的用户个人信息,包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。3.1.5
授权Authorization
在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程,1
YD/T2407-2013
数字签名Digital Signature
附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。充许数据的接收者验证数据的来源和完整性,保护数据不被篡改,伪造,并保证数据的不可否认性。3.1.7
代码签名CodeSignature
利用数字签名机制,由具有签名权限的实体对代码全部或部分功能进行签名的机制。3.1.8
移动智能终端操作系统OperatorSystemofSmartMobileTerminal移动智能终端最基本的系统软件,它控制和管理移动智能终端各种硬件和软件资源,并提供应用程序开发接口。
MaliciousCharge
恶意吸费
在用户不知情或未授权的情况下由终端上应用软件造成的用户经济损失。3.2缩略语
下列缩略语适用于本文件。
Lock and Wipe Management ObjectWirelessLocal AreaNetwork
4移动智能终端安全能力框架及自标4.1移动智能终端安全能力框架
锁定/擦除管理对象
无线局域网
图1为移动智能终端安全能力框架,主要包括5个部分:最底层是移动智能终端硬件安全能力,之上为操作系统安全能力,顶层为应用层安全要求,外围接口安全能力涉及操作系统层面和硬件安全层面,用户数据保护安全能力涉及硬件、操作系统和应用软件3个层面。应用层安全要求
操作系统安全能方
硬件安全能力
外接口安全能力
图1移动智能终端安全能力框架
4.2移动智能终端安全目标
4.2.1硬件安全自标
用户数据保护安全能力
移动智能终端硬件安全目标是在芯片级保证移动通信终端内部闪存和基带的安全,确保芯片内系统程序,终端参数,安全数据,用户数据不被募改或非法获取。4.2.2操作系统安全目标
操作系统安全目标是达到操作系统对系统资源调用的监控、保护和提醒,确保涉及安全的系统行头总是在受控的状态下,不会出现用户在不知情情况下某种行为的执行,或者用户不可控行为的执行。另外、操作系统还应保证自身的升级是受控的2
iiKacaQiaiKAca-
4.2.3外围接口安全目标
YD/T2407-2013
外围接口包括无线外围接口,有线外围接口。外围接口的安全目标是确保用户对外围接口的连接及数据传输的可知和可控。
4.2.4应用层安全自标
应用层安全目标是要保证移动智能终端对要安装在其上的应用软件可进行来源的识别,对已经安装在其上的应用软件可以进行敏感行为的控制。另外,还要确保预置在移动智能终端中的应用软件无损害用户利益和危害网络安全的行为,例如恶意吸费、未经授权的修改、删除、向外传送用户数据等行为。4.2.5用户数据保护安全自标
用户数据保护安全目标是要保证用户数据的安全存储,确保用户数据不被非法访问,不被非法获取不被非法套改,同时能够通过备份保证用户数据的可靠恢复。5移动智能终端安全能力技术要求5.1基本要求
移动智能终端应通过给用户相关提示和用户确认的方式来防范安全威胁,当第三方应用调用相关功能时,操作系统所应具备给用户相关提示和让用户确认的能力给用户的提示可以是图标提示,文字提示或其他明显的提示方式。在操作执行期间,提示应足够引起用户的注意。
用户确认应使用户有选择的权利,即用户应能确认也能取消。用户确认如无特别说明,则认为以下3种确认方式均可:一应用软件每一次调用行为发生时进行确认:一应用软件首次调用行为发生时确认,本确认在一定时间内有效,确认应针对每一个调用行为单独确认:
一应用软件首次安装或调用行为发生时确认,本确认对该软件长期有效,确认应针对每一个调用行为单独确认。
本章所提及的给用户提示和用户确认,均指由第三方应用调用相关功能时,操作系统所应具备的能力。对于第三方应用通过调用操作系统提供的人一机接口执行的操作,认为是在用户知情的情况下执行的操作,已经给用户提示并得到用户的确认。对于应用软件安全配置中设置为允许访问的操作,也认为是在用户知情的情况下执行的操作,已经得到用户的确认。
对于移动通信网络连接、无线局域网络连接、无线外围接口的开启操作在任何情况下都应给用户提示并经用户确认。
5.3和5.4节所提及的安全能力要求,仅适用于当第三方应用调用操作系统提供的相应功能的情况。5.5.1、5.5.2和5.5.3所提及的应用软件是指非预置的应用软件。5.2移动智能终端硬件安全能力要求如果移动智能终端硬件提供了远程操作手段,则移动智能终端应对其远程操作手段进行保护,防止远程操作被恶意利用。
YD/T2407-2013
5.3移动智能终端操作系统安全能力要求5.3.1安全调用控制能力
5.3.1.1通信类功能受控机制
5.3.1.1.1拨打电话
应用软件调用执行援打电话操作时,应在用户确认的情况下,拨打操作才能执行。5.3.1.1.2三方通话
应用软件调用执行三方通话操作时,应在用户确认的情况下,三方通话操作才能执行。5.3.1.1.3发送短信
应用软件调用执行发送短信操作时,应在用户确认的情况下,发送短信操作才能执行。5.3.1.1.4发送彩信
应用软件调用执行发送彩信操作时,应在用户确认的情况下,发送彩信操作才能执行5.3.1.1.5发送邮件
应用软件调用执行发送邮件操作时,应在用户确认的情况下,邮件发送操作才能执行。5.3.1.1.6移动通信网络数据连接移动智能终端通信网络数据连接,应满是以下安全能力要求a)移动智能终端应提供开关,可开启/关闭移动通信网络数据连接b)应用软件调用开启移动通信网络数据连接功能时,应给用户相应的提示,当用户确认后连接方可开启:
c)移动通信网络当移动通信网络的数据连接处于已连接状态,移动智能终端应在用户主界面上给用户相应的状态提示:
d)当移动通信网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。上述c)和d)的两种状态提示应不同。5.3.1.1.7WLAN网络连接
移动智能终端WLAN网络连接应满足以下安全能力要求a)移动智能终端应提供开关,可开启/关闭WLAN网络连接:b)应用软件调用开启WLAN网络连接功能时,应给用户相应的提示,当用户确认后连接方可开启:c)当WLAN网络连接处于已连接状态,移动智能终端应在用户主界面上给用户相应的状态提示:d)当WLAN网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。上述c)和d)的两种状态提示应不同5.3.1.2本地敏感功能受控机制
5.3.1.2.1定位功能
应用软件调用定位功能时,移动智能终端应在用户确认的情况下才能调用。调用后,移动智能终端宜在用户主界面上给用户相应的状态提示。5.3.1.2.2通话录音功能
通话录音是指在通话状态下录取线路上双方的话音。当应用软件调用启动通话录音时,应在用户确认的情况下才能开启。
iiKacaQiaiKAca
5.3.1.2.3本地录音功能
应用软件调用启动本地录音功能时,应在用户确认的情况下才能启动录音操作。5.3.1.2.4拍照/摄像功能
YD/T2407-2013
对于具备摄像头的移动智能终端:当应用软件启动拍照或摄像功能时,移动智能终端应给用户相应的提示(图像预览、指示灯、声音或图标等),在用户确认的情况下方可热行拍照或摄像操作5.3.1.2.5对用户数据的操作
移动智能终端操作系统应提供对用户数据保护的功能,能够对电话本数据,通话记录,短信数据、彩信数据进行保护。具体要求如下:a)当应用软件调用对用户数据进行写操作时,移动智能终端应在用户确认的情况下方可执行b)当应用软件需要调用对用户数据的读操作时,该应用软件在下载、安装或首次运行时应提示用户该应用将读取这些用户数据。
5.3.2操作系统的更新
移动智能终端通常执行授权的操作系统更新,当不能保证操作系统安全的更新时,应在说明书中明示用户可能带来的安全风险
5.4移动智能终端外围接口安全能力要求5.4.1无线外围接口安全能力要求5.4.1.1无线外围接口开启/关闭受控机制对于具备蓝牙、NFC功能的移动智能终端应具备开关,可开启/关闭蓝牙、NFC等终端所支持的无线连接方式。
当应用软件调用开启无线外围接口时,移动智能终端应给用户相应的提示,当用户确认后连接方可开启。
5.4.1.2无线外围接口连接建立的确认机制当通过无线外围接口(仅适用于蓝牙)与不同设备进行第一次连接时,移动智能终端能够发现该连接并给用户相应的提示,当用户确认建立连接时,连接才可建立。示例:蓝牙配对机制。
5.4.1.3无线外围接口连接状态提示当移动智能终端的无线外围接口蓝牙已开启,移动终端宜在用户主界面上给用户相应的状态提示。当移动智能终端通过无线外围接口蓝牙建立数据连接,移动智能终端应在用户主界面上给用户相应的状态提示。下载标准就来标准下载网
当移动智能终端的无线外围接口NFC己开启,移动终端宜在用户主界面上给用户相应的状态提小。当移动智能终端通过无线外围接口NFC建立数据连接,移动智能终端应给用户相应的提示(图标、声音或振动等)。
如果移动智能终端提供了无线外围接口的开启状态提示和数据连接状态提示,该两种状态提示应不同。
5.4.1.4:无线外国接口数据传输的受控机制当移动智能终端与其他设备已经通过无线外围接口(蓝牙或NFC)实现连接,此时通过无线外围接口进行文件数据传输时,移动智能终端应给用户相应的提示。5
YD/T2407-2013
5.4.2有线外围接口安全能力要求5.4.2.1有线外围接口连接建立的确认机制对于仅用于充电或仅用手数据连接的有线外围接口,当通过该接口建立连接时,移动智能终端应给用户相应的提示。
对于晚可进行充电,文可进行数据连接的有线外围接口,当连接充电器时应给用户相应的提示,当连接于既可进行充电又可进行数据连接的设备时,用户应能够选择是否建立数据连接模式或者能够保证数据传输授权可控,
5.4.2.2USB存储模式的安全机制如果移动智能终端支持内置式USB存储模式(U盘模式),则应提供访问控制方式:5.5移动智能终端应用层安全要求5.5.1应用软件安全配置能力要求移动智能终端可提供机制对所安装的第三方应用软件的调用行为进行配置,包括对拨打电话、发起三方通话、发送短信、发送彩信、调用移动通信网络数据连接、调用定位功能、进行通话录音、本地录音、拍照/摄像、访问电话本、访问通话记录、访问短信和访问彩信的控制。对以上调用行为进行控制至少有允许调用和禁止调用两种状态。推荐允许调用,每次调用时询问用户和禁止调用3种状态。如果移动智能终端可支持对以上调用行为中的3种或3种以上进行配置,即认为满足应用软件安全配置能力要求。5.5.2应用软件安全认证机制要求5.5.2.1非认证签名要求
如果移动智能终端支持对未经认证签名的软件下载和应用,在进行应用软件安装时移动智能终端应能够识别应用软件的签名状态,并能够根据签名状态给用户相应的提示。5.5.2.2认证签名要求
如果移动智能终端采用认证签名机制,在此情况下,未经过认证签名的应用软件仅当用户进行确认后才能执行下一步操作。
5.5.3移动通信网络开机自启动程序监控能力如果移动智能终端具备第三方应用开机自启动程序的能力,应可以浏览和配置应用程序是否开机自启动。
5.5.4预置应用软件安全要求
5.5.4.1收集用户数据
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,自收集用户数据的行为包括在用户无确认情况下开启通话录音、本地录音、拍照/摄像和定位行为。5.5.4.2修改用户数据
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自修改用户数据的行为,包括在用户无确认情况下删除或修改用户电话本数据、通话记录、短信数据和彩信数据的行为5.5.4.3调用终端通信功能
5.5.4.3.1流量耗费
iiKacaQiaiKAca-
YD/T2407-2013
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造成用户流量消耗的行为,包括在用户无确认情况下通过移动通信网络数据连接,WLAN网络连接,无线外围接口传送数据的行为。
5.5.4.3.2费用损失
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造成用户费用损失的行为,包括在用户无确认情况下拨打电话、发送短信、发送彩信、开启移动通信网络连接并收发数据的行为
5.5.4.3.3信息泄露
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,撞自调用终端通信功能,造成用户数据泄露的行为,包括在用户无确认情况下读取并传送用户电话本数据、通话记录、短信数据彩信数据、通话录音、本地录音、图片、视频、音频和定位信息的行为5.5.4.4联网软件安全行为要求
移动智能终端中预置的联网应用软件参见YD/T2382的相关要求。5.6移动智能终端用户数据安全保护能力要求5.6.1移动智能终端的密码保护
移动智能终端应支持开机时的密码保护和开机后锁定状态下的密码保护,例如口令、图案,生物特征识别等多种形态的密码。其中,口令密码为必选的保护形式,其他形式为可选。口令认证的要求见YD/T1699-2007中5.5.2.1,生物特征认证的要求见YD/T1699-2007中5.5.2.3。5.6.2文件类用户数据的授权访问移动智能终端提供文件类用户数据的授权访问能力,当第三方应用访问被保护的用户数据时,应在用户确认的情况下才能访问。文件类用户数据包括图片、视频、音频和文档等。5.6.3用户数据的加密存储
未经授权的任何实体应不能从移动智能终端的加密存储区域的数据中还原出用户私密数据的真实内容
5.6.4用户数据的彻底删除
移动智能终端提供数据彻底删除功能,以保证被删除的用户数据不可再恢复出来。一般的删除功能仅会删除数据在存储器件中放置位置的索引,而该区域内实际存储的数据没有完全清空,在数据被删除之后,非法程序通过读取该区域的内容,仍有可能从读取到的数据中恢复被删除的私密数据。彻底删除功能应把该区域内实际存储的数据彻底消除。例如,当终端用户数据被删除时,在该数据对应的存储区域使用全“0”或全“1”进行多次填充。5.6.5用户数据的远程保护
移动智能终端应提供用户数据的远程保护能力,以便用户在手机遗失或其他情况下,终端中的用户数据不被泄露。远程保护能力包括远程锁定移动智能终端和远程销毁用户数据。移动智能终端提供的远程保护功能也应具备安全设置,确保远程保护功能仅在达到了用户预设条件的情况下才会启动。该功能可参考开放移动联盟(OMA)组织发布的锁定和彻底删除管理对象标准OMA-TS-LAWMO5.6.6用户数据的转移备份
移动智能终端应具备用户数据(至少包括电话本,短信,多媒体数据)的转移及备份能力。7
YD/T2407-2013
用户数据的转移备份包括本地备份和远程备份两种:本地备份是通过移动智能终端的外围接口实现的数据各份:远程备份是通过无线网络实现的用户数据在服务器侧的备份。本地备份适用于支持外围接口的移动智能终端。移动智能终端应至少支持一种备份方式。用户数据的转移和备份应符合YD/T1760的相关要求6移动智能终端功能限制性要求
移动智能终端应当真实传送信息,不得通过对传送信息的处理或传送虚假信息使信息接收者错误识别特定通信主体等,不得预置可改变通信系统提示信号的应用软件;移动智能终端不得预置国家法律法规禁止的信息内容(包括但不限于预置图片、文字、荣单、音视频、应用等),也不得预置为传播发布国家法律法规禁止信息内容提供服务的应用软件。7移动智能终端安全能力分级
7.1概述
移动智能终端所支持的安全能力划分为5个等级,第五级是最高等级。移动智能终端可选支持到不同的等级。达到相应等级的移动智能终端应在说明书上进行明确的标识,参见附录A的内容。安全能力分级
根据移动智能终端所支持的安全能力的程度,将移动智能终端安全能力自低到高划分为5个等级。在每一等级定义了移动智能终端在相应等级对应的安全能力的最小集合,也就是移动智能终端必须支持该集合中的所有安全能力才能标识为该级别,例如:达到第五级的移动智能终端应支持本标准第5章和第6章所定义的所有安全能力及功能限制性要求。具体的等级划分详见表1。表1移动智能终端安全能力分级
安全能力
5.2移动智能终端硬件安全能力要求5.3.1.11拨打电话
5.3.1.12三方通话
5.3.1.1.3发送短信
5.3.1.1.4发送彩信
5.3.1.1.5发送邮件
5.3.1.1.6a)移动通信网络数据连接一开关5.3.1.1.6b)移动通信网络数据连接一应用调用时的确认5.3.1.1.6c)移动通信网络数据连接一连接状态提示5.3.1.1.6d)移动通信网络数据连接一数据传送状态提示5.3.1.1.7a)WLAN网络连接一开关5.3.1.1.7b)WLAN网络连接一应用调用时的确认5.3.1.1.7c)WLAN网络连接一连接状态提示5.3.LL7d)WLAN网络连接一数据传送状态提示5.3.1.2.1定位功能
5.3.1.2.2通话录音功能
5.3.1.2.3本地录音功能
rKacadiaiKAca
安全能力等级
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。