GB∕T 34976-2017
基本信息
标准号: GB∕T 34976-2017
中文名称:信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1947KB
相关标签: 信息安全 技术 移动 智能 终端 操作系统 安全 测试 评价 方法
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 34976-2017 信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法
GB∕T34976-2017
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T34976—2017
信息安全技术移动智能终端操作系统安全技术要求和测试评价方法Information security technologySecurity technical requirements and testing andevaluation approaches for operating system of smart mobile terminals2017-11-01发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-05-01实施
规范性引用文件
术语和定义
移动智能终端操作系统安全性描述安全技术要求
安全功能要求
身份鉴别
访问控制
安全审计
用户数据安全
数据安全
存储介质管理
应用软件安全管理
用户策略管理
运行安全保护
升级能力
超时锁定或注销
运行监控
可靠时钟
可用性
安全保障要求
指导性文档
生命周期支持
脆弱性评定bZxz.net
6测试评价方法
安全功能要求测试
身份鉴别
访问控制
安全审计
用户数据安全
数据安全
存储介质管理
应用软件安全管理
用户策略管理
.............
GB/T34976—2017
GB/T34976—2017
运行安全保护
升级能力
超时锁定或注销
运行监控
可靠时钟
可用性
安全保障要求测试
指导性文档
生命周期支持
脆弱性评定
本标准按照GB/T1.1—2009给出的规则起草GB/T34976—2017
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所(公安部计算机信息系统安全产品质量监督检验中心)、中国电子技术标准化研究院,中国信息安全研究院有限公司,上海交通大学、北京元心科技有限公司、上海辰锐信息科技公司、阿里巴巴北京软件服务有限公司、中国信息通信研究院。本标准主要起草人:张艳,俞优、顾健、陆臻、陈妍、杨晨、许玉娜、沈亮、容天武、部旭东、王文杰、白晓媛、姚一楠、顾流。
1范围
信息安全技术移动智能终端操作系统安全技术要求和测试评价方法本标准规定了移动智能终端操作系统的安全技术要求和测试评价方法。本标准适用于移动智能终端操作系统的生产及测试2规范性引用文件
GB/T34976—2017
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069—2010信息安全技术术语GB/T30284一2013移动通信智能终端操作系统安全技术要求(EAL2级)3术语和定义
GB/T18336.3—2015、GB/T25069—2010、GB/T30284—2013界定的以及下列术语和定义适用于本文件。
移动智能终端smartmobileterminal接人移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品3.2
operating system of smart mobile terminal移动智能终端操作系统
移动智能终端最基本的系统软件,控制和管理终端上的各种硬件和软件资源,并提供应用程序开发的接口。
注:一般包括移动智能终端图形交互系统GUI、核心功能库,应用框架、安全套件,业务模型组件,SDK核心业务功能,基础应用软件等多层架构和软件实体。3.3
移动智能终端操作系统安全securityof operating system of smartmobileterminal移动智能终端操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。4移动智能终端操作系统安全性描述移动智能终端操作系统的目的是向用户提供良好的操作界面,便于用户使用移动智能终端的功能移动智能终端操作系统通过身份鉴别、访问控制,安全审计等安全功能策略,实现对移动智能终端软,硬件的管理,确保移动智能终端的安全运行。其中,硬件包括:通信设备(蜂窝移动通信设备,无线局域网设备),终端信源传感器(麦克风、摄像头、定位导航系统),终端输人输出设备(红外接口、蓝牙,USB接口、SDIO接口)等;软件包括存储用户信息的文件(电话号码本、通信记录、短消息、电子邮件、记事本1
GB/T34976—2017
等)以及相关应用软件。
移动智能终端操作系统保护的资产包括:用户数据:包含位置信息、账户信息,通信记录、通讯录等、移动智能终端敏感资源:包含通信资源、外设接口,如摄像镜头、位置传感器等。移动智能终端操作系统安全功能数据:包含鉴别数据、安全属性等。此外,移动智能终端操作系统自身的重要数据也是受保护的资产,5安全技术要求
安全功能要求
5.1.1身份鉴别
5.1.1.1用户标识
应具备用户标识功能,具体技术要求如下:凡需进入移动智能终端操作系统的用户,宜先建立用户标识(账号);a
仅允许具有用户标识的移动智能终端操作系统用户访问系统安全功能数据等重要数据;b)
在移动智能终端操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名,UID等之间的一致性。
鉴别技术手段
应具备用户鉴别功能,具体技术要求如下:a)
在用户执行任何与移动智能终端操作系统安全功能相关的操作之前对用户进行鉴别至少支持口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别(如指纹,虹膜)/数字证书鉴别/b)
图形鉴别等机制中的一种进行身份鉴别,并在每次用户登录系统时进行鉴别,5.1.1.3
3鉴别信息保护
应具备鉴别信息保护的能力,具体技术要求如下:进行用户身份鉴别时,仅将最少的反馈(如:输人的字符数,鉴别的成功或失败)提供给被鉴别a)
的用户;
在用户执行鉴别信息修改操作之前,应经过身份鉴别:鉴别信息应是不可见的,应采用加密方法对鉴别信息的存储进行安全保护。e)
鉴别失败处理
应通过对不成功的鉴别尝试的值(包括尝试次数和时间的阅值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。5.1.1.5
用户-主体绑定
应具备用户-主体绑定功能,具体技术要求如下:将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户:a)
b)将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。
5.1.2访问控制
5.1.2.1访问控制属性
应按以下要求设计和实现访问控制属性:GB/T34976—2017
a)允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问;主体的访问控制属性至少应包括:读、写、执行等;b)
客体的访问控制属性应包含可分配给主体的读、写和执行等权限5.1.2.2
访问授权规则
应按以下要求设计和实现访问授权规则:a)授权的范围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应用的类型;
对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限;
c)客体的拥有者对其拥有的客体应具有全部控制权,允许客体拥有者把该客体的控制权分配给其他主体。
5.1.3安全审计
5.1.3.1审计内容
应对与移动智能终端操作系统安全相关的以下事件生成审计日志:系统运行记录、报警记录、操作日志,网络流量记录,用户行为记录,应用软件运行日志,配置信息等:审计日志的内容至少应包括事件发生的日期、时间、主体标识、事件类型描述和结果(成功或失败)、关联的进程。审计保护
应按以下要求设计和实现访问审计保护能力:能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏;a
b)提供授权管理员一个受保护的打开和关闭审计的机制,该机制能选择和改变审计事件,并在系统工作时处于默认状态;
仅充允许授权管理员访问审计日志。5.1.3.3
审计跟踪管理
应按以下要求设计和实现审计跟踪管理:a)操作系统用户应能够定义审计跟踪的阈值;b)当为审计系统分配的存储空间耗尽时,应能按操作系统用户的设置决定采取的措施,包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。5.1.4用户数据安全
5.1.4.1用户数据保护
应按以下要求设计和实现用户数据保护:a)保证用户数据不被未授权查阅或修改;b)对应用软件获取用户数据行为进行自动分析、告警和阻断。3
GB/T34976—2017
2用户数据完整性
应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护。3用户数据保密性
应对用户敏感数据采用一定强度的加密储存或采用隐藏技术,以减小移动终端丢失所造成的损失。5.1.4.4剩余信息保护
应按以下要求设计和实现剩余信息保护:a)确保非授权用户不能查找使用后返还系统的存储介质中的信息内容;b)确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容。5.1.5数据安全
应按以下要求设计和实现数据安全保护能力:a)对重要的系统数据(如配置和控制信息、告警和事件数据等)进行存储保护,保证重要系统数据不被泄漏或篡改;
b)具有用户数据、系统数据的安全备份与恢复功能:在数据的存储空间达到阈值时能够向移动智能终端操作系统用户进行报警;c
d)当存储空间将要耗尽时,采取一定措施保证重要的数据不丢失5.1.6存储介质管理
应按以下要求设计和实现存储介质管理:对移动智能终端中的存储设备(包括智能芯片、存储卡等)进行有效监测和统一管理:a)
在单用户系统中,系统应防止用户进程影响系统的运行;b)
在多用户系统中,系统应确保多用户间采取一定隔离机制,防止用户数据的非授权访问;c
在多系统情况下,应确保多系统间采取一定隔离机制,防止系统数据的非授权访问。d)有
5.1.7应用软件安全管理
应对第三方应用程序的安装,运行、卸载进行安全规范:支持用户对应用软件的安装进行授权或阻止;a
b)支持用户修改、指定应用软件的安装位置;支持用户对应用软件使用的终端资源(包含通信资源和外设接口)和终端数据进行确认;c)
在应用软件卸载时删除由其生成的资源文件,配置文件和用户数据5.1.8用户策略管理
应提供以下用户策略管理:
a)对移动智能终端用户提供初始化策略;b)支持授权用户对用户策略的添加、删除、修改操作;支持用户策略查询、导人、导出策略等操作5.1.9运行安全保护
应提供以下运行安全保护:
系统在设计时不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的a
入口和文档中未说明的任何模式的人口:4
将移动智能终端操作系统程序与用户程序进行隔离;b)
GB/T34976—2017
防正在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应充许进程对所c
有的虚存空间进行读,写操作。5.1.10
升级能力
应提供以下升级能力:
a)支持操作系统的更新升级;
至少采取一种安全机制,保证升级过程的安全性;c)
保证升级后前的系统安全属性与升级前保持一致:在升级失败时,系统应能够回滚,并保证系统完整性,且安全属性与升级前一致;至少采取一种安全机制,保证升级的时效性,例如自动升级,更新通知等手段;支持用户获取,统一管理并运用补丁对移动智能终端操作系统的漏洞进行修补。超时锁定或注销
应按以下要求设计和实现超时处理能力:具有登录超时锁定或注销功能;a
提供用户设定最大超时时间的功能;b)
在设定的时间段内没有任何操作的情况下,终正会话,需要再次进行身份鉴别才能够重新操作;
d)提供用户主动锁定或注销的功能2运行监控
应提供对移动智能终端设备运行状态(比如CPU使用率、内存占用率、存储空间等)、网络连接、系统环境,敏感数据访问状态,敏感功能使用状态的监测。5.1.13
可靠时钟
应提供手工设定系统时钟和远程时钟服务自动时钟同步两种方式的系统时钟设置功能5.1.14可用性
5.1.14.1稳定性
正常工作状态下,移动智能终端操作系统应能稳定运行,功耗低、内存占用少,不应造成移动智能终端死机现象。
5.1.14.2兼容性
应按以下要求设计和实现兼容性:a)除了自带的应用程序,移动智能终端操作系统应提供良好的第三方软件应用接口,能够支持第三方应用软件的安装、运行和升级功能;b)具备无线接人互联网的能力。5.2安全保障要求
5.2.1开发
5.2.1.1安全架构
开发者应提供终端操作系统安全功能的安全架构描述,安全架构描述应满足以下要求:5
GB/T34976—2017
与产品设计文档中对安全功能实施抽象描述的级别一致;a)
描述与安全功能要求一致的终端操作系统安全功能的安全域:c
描述终端操作系统安全功能初始化过程为何是安全的;证实终端操作系统安全功能能够防止被破坏d)
证实终端操作系统安全功能能够防止安全特性被旁路。e)
功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求完全描述终端操作系统的安全功能;a)
描述所有安全功能接口的目的与使用方法;b)
标识和描述每个安全功能接口相关的所有参数;d)
描述安全功能接口相关的安全功能实施行为:e)
描述由安全功能实施行为处理而引起的直接错误消息:证实安全功能要求到安全功能接口的追溯5.2.1.3
产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:a)根据子系统描述终端操作系统结构;标识和描述终端操作系统安全功能的所有子系统:b)
描述安全功能所有子系统间的相互作用:d)
提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。5.2.2指导性文档
5.2.2.1操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持致,对每一种用户角色的描述应满足以下要求:a)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;b)描述如何以安全的方式使用终端操作系统提供的可用接口;描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;c)
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控d)
制实体的安全特性;
标识终端操作系统运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与e
维持安全运行之间的因果关系和联系;f
充分实现安全目的所执行的安全策略5.2.2.2
准备程序
开发者应提供终端操作系统及其准备程序,准备程序描述应满足以下要求:a)描述与开发者交付程序相一致的安全接收所交付终端操作系统必需的所有步骤;b)描述安全安装终端操作系统及其运行环境必需的所有步骤。5.2.3生命周期支持
5.2.3.1配置管理能力
开发者的配置管理能力应满足以下要求:6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T34976—2017
信息安全技术移动智能终端操作系统安全技术要求和测试评价方法Information security technologySecurity technical requirements and testing andevaluation approaches for operating system of smart mobile terminals2017-11-01发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-05-01实施
规范性引用文件
术语和定义
移动智能终端操作系统安全性描述安全技术要求
安全功能要求
身份鉴别
访问控制
安全审计
用户数据安全
数据安全
存储介质管理
应用软件安全管理
用户策略管理
运行安全保护
升级能力
超时锁定或注销
运行监控
可靠时钟
可用性
安全保障要求
指导性文档
生命周期支持
脆弱性评定bZxz.net
6测试评价方法
安全功能要求测试
身份鉴别
访问控制
安全审计
用户数据安全
数据安全
存储介质管理
应用软件安全管理
用户策略管理
.............
GB/T34976—2017
GB/T34976—2017
运行安全保护
升级能力
超时锁定或注销
运行监控
可靠时钟
可用性
安全保障要求测试
指导性文档
生命周期支持
脆弱性评定
本标准按照GB/T1.1—2009给出的规则起草GB/T34976—2017
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所(公安部计算机信息系统安全产品质量监督检验中心)、中国电子技术标准化研究院,中国信息安全研究院有限公司,上海交通大学、北京元心科技有限公司、上海辰锐信息科技公司、阿里巴巴北京软件服务有限公司、中国信息通信研究院。本标准主要起草人:张艳,俞优、顾健、陆臻、陈妍、杨晨、许玉娜、沈亮、容天武、部旭东、王文杰、白晓媛、姚一楠、顾流。
1范围
信息安全技术移动智能终端操作系统安全技术要求和测试评价方法本标准规定了移动智能终端操作系统的安全技术要求和测试评价方法。本标准适用于移动智能终端操作系统的生产及测试2规范性引用文件
GB/T34976—2017
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069—2010信息安全技术术语GB/T30284一2013移动通信智能终端操作系统安全技术要求(EAL2级)3术语和定义
GB/T18336.3—2015、GB/T25069—2010、GB/T30284—2013界定的以及下列术语和定义适用于本文件。
移动智能终端smartmobileterminal接人移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品3.2
operating system of smart mobile terminal移动智能终端操作系统
移动智能终端最基本的系统软件,控制和管理终端上的各种硬件和软件资源,并提供应用程序开发的接口。
注:一般包括移动智能终端图形交互系统GUI、核心功能库,应用框架、安全套件,业务模型组件,SDK核心业务功能,基础应用软件等多层架构和软件实体。3.3
移动智能终端操作系统安全securityof operating system of smartmobileterminal移动智能终端操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。4移动智能终端操作系统安全性描述移动智能终端操作系统的目的是向用户提供良好的操作界面,便于用户使用移动智能终端的功能移动智能终端操作系统通过身份鉴别、访问控制,安全审计等安全功能策略,实现对移动智能终端软,硬件的管理,确保移动智能终端的安全运行。其中,硬件包括:通信设备(蜂窝移动通信设备,无线局域网设备),终端信源传感器(麦克风、摄像头、定位导航系统),终端输人输出设备(红外接口、蓝牙,USB接口、SDIO接口)等;软件包括存储用户信息的文件(电话号码本、通信记录、短消息、电子邮件、记事本1
GB/T34976—2017
等)以及相关应用软件。
移动智能终端操作系统保护的资产包括:用户数据:包含位置信息、账户信息,通信记录、通讯录等、移动智能终端敏感资源:包含通信资源、外设接口,如摄像镜头、位置传感器等。移动智能终端操作系统安全功能数据:包含鉴别数据、安全属性等。此外,移动智能终端操作系统自身的重要数据也是受保护的资产,5安全技术要求
安全功能要求
5.1.1身份鉴别
5.1.1.1用户标识
应具备用户标识功能,具体技术要求如下:凡需进入移动智能终端操作系统的用户,宜先建立用户标识(账号);a
仅允许具有用户标识的移动智能终端操作系统用户访问系统安全功能数据等重要数据;b)
在移动智能终端操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名,UID等之间的一致性。
鉴别技术手段
应具备用户鉴别功能,具体技术要求如下:a)
在用户执行任何与移动智能终端操作系统安全功能相关的操作之前对用户进行鉴别至少支持口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别(如指纹,虹膜)/数字证书鉴别/b)
图形鉴别等机制中的一种进行身份鉴别,并在每次用户登录系统时进行鉴别,5.1.1.3
3鉴别信息保护
应具备鉴别信息保护的能力,具体技术要求如下:进行用户身份鉴别时,仅将最少的反馈(如:输人的字符数,鉴别的成功或失败)提供给被鉴别a)
的用户;
在用户执行鉴别信息修改操作之前,应经过身份鉴别:鉴别信息应是不可见的,应采用加密方法对鉴别信息的存储进行安全保护。e)
鉴别失败处理
应通过对不成功的鉴别尝试的值(包括尝试次数和时间的阅值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。5.1.1.5
用户-主体绑定
应具备用户-主体绑定功能,具体技术要求如下:将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户:a)
b)将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。
5.1.2访问控制
5.1.2.1访问控制属性
应按以下要求设计和实现访问控制属性:GB/T34976—2017
a)允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问;主体的访问控制属性至少应包括:读、写、执行等;b)
客体的访问控制属性应包含可分配给主体的读、写和执行等权限5.1.2.2
访问授权规则
应按以下要求设计和实现访问授权规则:a)授权的范围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应用的类型;
对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限;
c)客体的拥有者对其拥有的客体应具有全部控制权,允许客体拥有者把该客体的控制权分配给其他主体。
5.1.3安全审计
5.1.3.1审计内容
应对与移动智能终端操作系统安全相关的以下事件生成审计日志:系统运行记录、报警记录、操作日志,网络流量记录,用户行为记录,应用软件运行日志,配置信息等:审计日志的内容至少应包括事件发生的日期、时间、主体标识、事件类型描述和结果(成功或失败)、关联的进程。审计保护
应按以下要求设计和实现访问审计保护能力:能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏;a
b)提供授权管理员一个受保护的打开和关闭审计的机制,该机制能选择和改变审计事件,并在系统工作时处于默认状态;
仅充允许授权管理员访问审计日志。5.1.3.3
审计跟踪管理
应按以下要求设计和实现审计跟踪管理:a)操作系统用户应能够定义审计跟踪的阈值;b)当为审计系统分配的存储空间耗尽时,应能按操作系统用户的设置决定采取的措施,包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。5.1.4用户数据安全
5.1.4.1用户数据保护
应按以下要求设计和实现用户数据保护:a)保证用户数据不被未授权查阅或修改;b)对应用软件获取用户数据行为进行自动分析、告警和阻断。3
GB/T34976—2017
2用户数据完整性
应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护。3用户数据保密性
应对用户敏感数据采用一定强度的加密储存或采用隐藏技术,以减小移动终端丢失所造成的损失。5.1.4.4剩余信息保护
应按以下要求设计和实现剩余信息保护:a)确保非授权用户不能查找使用后返还系统的存储介质中的信息内容;b)确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容。5.1.5数据安全
应按以下要求设计和实现数据安全保护能力:a)对重要的系统数据(如配置和控制信息、告警和事件数据等)进行存储保护,保证重要系统数据不被泄漏或篡改;
b)具有用户数据、系统数据的安全备份与恢复功能:在数据的存储空间达到阈值时能够向移动智能终端操作系统用户进行报警;c
d)当存储空间将要耗尽时,采取一定措施保证重要的数据不丢失5.1.6存储介质管理
应按以下要求设计和实现存储介质管理:对移动智能终端中的存储设备(包括智能芯片、存储卡等)进行有效监测和统一管理:a)
在单用户系统中,系统应防止用户进程影响系统的运行;b)
在多用户系统中,系统应确保多用户间采取一定隔离机制,防止用户数据的非授权访问;c
在多系统情况下,应确保多系统间采取一定隔离机制,防止系统数据的非授权访问。d)有
5.1.7应用软件安全管理
应对第三方应用程序的安装,运行、卸载进行安全规范:支持用户对应用软件的安装进行授权或阻止;a
b)支持用户修改、指定应用软件的安装位置;支持用户对应用软件使用的终端资源(包含通信资源和外设接口)和终端数据进行确认;c)
在应用软件卸载时删除由其生成的资源文件,配置文件和用户数据5.1.8用户策略管理
应提供以下用户策略管理:
a)对移动智能终端用户提供初始化策略;b)支持授权用户对用户策略的添加、删除、修改操作;支持用户策略查询、导人、导出策略等操作5.1.9运行安全保护
应提供以下运行安全保护:
系统在设计时不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的a
入口和文档中未说明的任何模式的人口:4
将移动智能终端操作系统程序与用户程序进行隔离;b)
GB/T34976—2017
防正在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应充许进程对所c
有的虚存空间进行读,写操作。5.1.10
升级能力
应提供以下升级能力:
a)支持操作系统的更新升级;
至少采取一种安全机制,保证升级过程的安全性;c)
保证升级后前的系统安全属性与升级前保持一致:在升级失败时,系统应能够回滚,并保证系统完整性,且安全属性与升级前一致;至少采取一种安全机制,保证升级的时效性,例如自动升级,更新通知等手段;支持用户获取,统一管理并运用补丁对移动智能终端操作系统的漏洞进行修补。超时锁定或注销
应按以下要求设计和实现超时处理能力:具有登录超时锁定或注销功能;a
提供用户设定最大超时时间的功能;b)
在设定的时间段内没有任何操作的情况下,终正会话,需要再次进行身份鉴别才能够重新操作;
d)提供用户主动锁定或注销的功能2运行监控
应提供对移动智能终端设备运行状态(比如CPU使用率、内存占用率、存储空间等)、网络连接、系统环境,敏感数据访问状态,敏感功能使用状态的监测。5.1.13
可靠时钟
应提供手工设定系统时钟和远程时钟服务自动时钟同步两种方式的系统时钟设置功能5.1.14可用性
5.1.14.1稳定性
正常工作状态下,移动智能终端操作系统应能稳定运行,功耗低、内存占用少,不应造成移动智能终端死机现象。
5.1.14.2兼容性
应按以下要求设计和实现兼容性:a)除了自带的应用程序,移动智能终端操作系统应提供良好的第三方软件应用接口,能够支持第三方应用软件的安装、运行和升级功能;b)具备无线接人互联网的能力。5.2安全保障要求
5.2.1开发
5.2.1.1安全架构
开发者应提供终端操作系统安全功能的安全架构描述,安全架构描述应满足以下要求:5
GB/T34976—2017
与产品设计文档中对安全功能实施抽象描述的级别一致;a)
描述与安全功能要求一致的终端操作系统安全功能的安全域:c
描述终端操作系统安全功能初始化过程为何是安全的;证实终端操作系统安全功能能够防止被破坏d)
证实终端操作系统安全功能能够防止安全特性被旁路。e)
功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求完全描述终端操作系统的安全功能;a)
描述所有安全功能接口的目的与使用方法;b)
标识和描述每个安全功能接口相关的所有参数;d)
描述安全功能接口相关的安全功能实施行为:e)
描述由安全功能实施行为处理而引起的直接错误消息:证实安全功能要求到安全功能接口的追溯5.2.1.3
产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:a)根据子系统描述终端操作系统结构;标识和描述终端操作系统安全功能的所有子系统:b)
描述安全功能所有子系统间的相互作用:d)
提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。5.2.2指导性文档
5.2.2.1操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持致,对每一种用户角色的描述应满足以下要求:a)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;b)描述如何以安全的方式使用终端操作系统提供的可用接口;描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;c)
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控d)
制实体的安全特性;
标识终端操作系统运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与e
维持安全运行之间的因果关系和联系;f
充分实现安全目的所执行的安全策略5.2.2.2
准备程序
开发者应提供终端操作系统及其准备程序,准备程序描述应满足以下要求:a)描述与开发者交付程序相一致的安全接收所交付终端操作系统必需的所有步骤;b)描述安全安装终端操作系统及其运行环境必需的所有步骤。5.2.3生命周期支持
5.2.3.1配置管理能力
开发者的配置管理能力应满足以下要求:6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。