GB/T 30284-2020
基本信息
标准号: GB/T 30284-2020
中文名称:信息安全技术 移动通信智能终端 操作系统安全技术要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 信息安全 技术 移动 通信 智能 终端 操作系统 安全
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 30284-2020.Information security techniques-Security technical requirements for operating system on smart mobile terminal.
1范围
GB/T 30284规定了移动通信智能终端(以下简称移动终端)操作系统的安全功能要求和达到EAL2、EAL3和EAL4保障级的安全保障要求。
GB/T 30284适用于移动终端操作系统产品的设计、开发、测试和采购。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2015信息技术安全技术 信息技术安全评估准则 第 1部分:简介和一般模型
GB/T 18336.2-2015信息技术安全技术 信息技术安 全评估准则第 2部分:安全功能组件
GB/T 18336.3-2015信息技术安全技术 信息技术安全评估准则第 3部分:安全保障组件
GB/T 25069-2010信息安全技术 术语
3术语、定义和缩略语
3.1术语和定义
GB/T 18336.1-2015及GB/T 25069-2010 界定的以及下列术语和定义适用于本文件。
3.1.1
管理员 administrator
一个授权用户,拥有管理部分或全部移动终端操作系统安全功能的权限,同时可拥有旁路部分移动终端操作系统安全策略的特权。
3.1.2
应用软件 application software
移动终端操作系统之外,向用户提供服务功能的软件。
3.1.3
鉴别数据 authentication data
用于验证用户所声称身份的信息。
3.1.4
授权用户 authorized user
依据安全策略可执行某项操作的用户。
1范围
GB/T 30284规定了移动通信智能终端(以下简称移动终端)操作系统的安全功能要求和达到EAL2、EAL3和EAL4保障级的安全保障要求。
GB/T 30284适用于移动终端操作系统产品的设计、开发、测试和采购。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2015信息技术安全技术 信息技术安全评估准则 第 1部分:简介和一般模型
GB/T 18336.2-2015信息技术安全技术 信息技术安 全评估准则第 2部分:安全功能组件
GB/T 18336.3-2015信息技术安全技术 信息技术安全评估准则第 3部分:安全保障组件
GB/T 25069-2010信息安全技术 术语
3术语、定义和缩略语
3.1术语和定义
GB/T 18336.1-2015及GB/T 25069-2010 界定的以及下列术语和定义适用于本文件。
3.1.1
管理员 administrator
一个授权用户,拥有管理部分或全部移动终端操作系统安全功能的权限,同时可拥有旁路部分移动终端操作系统安全策略的特权。
3.1.2
应用软件 application software
移动终端操作系统之外,向用户提供服务功能的软件。
3.1.3
鉴别数据 authentication data
用于验证用户所声称身份的信息。
3.1.4
授权用户 authorized user
依据安全策略可执行某项操作的用户。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T30284—2020
代替GB/T30284—2013
信息安全技术
移动通信智能终端
操作系统安全技术要求
Informationsecuritytechniques-Security technical requirements for operating system on smart mobile terminal2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
规范性引用文件
术语、定义和缩略语
术语和定义
3.2缩略语
移动终端操作系统描述
移动终端操作系统安全特征
安全问题定义
安全威胁
组织安全策略
6安全目的
移动终端操作系统安全目的
环境安全目的
7安全要求
安全功能要求
安全保障要求
8基本原理
8.1安全目的基本原理
安全要求的基本原理
组件依赖关系
参考文献
GB/T30284—2020
本标准按照GB/T1.1一2009给出的规则起草。GB/T30284—2020
本标准代替GB/T30284一2013《移动通信智能终端操作系统安全技术要求(EAL2级)》。本标准与GB/T30284—2013相比,主要技术变化如下:修改了标准名称为《信息安全技术移动通信智能终端操作系统安全技术要求》;修改了“范围”中安全技术要求级别(见第1章);修改了第2章规范性引用文件(见第2章和2013年版的第2章);增加了术语“可信信道”\可信路径”和“TSF数据”及其定义(见3.1.9、3.1.10、3.1.11);修改了术语“移动通信智能终端”和“用户数据”的定义(见3.1.7、3.1.12);删除了部分术语(见2013年版的第3章);增加了部分缩略语(见3.2);
修改了移动通信智能终端操作系统描述(见4.1);一修改了安全问题定义中“威胁”\组织安全策略”和\假设”的规定(见5.2、5.3、5.4);修改了安全目的的规定(见第6章):将原标准第7章“安全功能要求”和第8章“安全保障要求”合并为“安全要求”(见第7章);—删除了“安全审计类:FAU\中的“审计查阅(FAU_SAR.1)”和“有限审计查阅(FAU_SAR.2)”(见2013年版的7.9.4和7.9.5);删除了“密码支持类:FCS\中的扩展组件“密码支持基本要求(FCS_CBR_EXT.1)”和\密码操作应用(FCS_COAEXT.1)*(见2013年版的7.7.2和7.7.3)一删除了\安全管理类:FMT”中的\安全属性撤销(FMT_REV.1)”(见2013年版的7.5.10);删除了“TOE访问类:FTA\中\TOE会话建立(FTA_TSE.1)”和\可选属性范围限定(FTALSA.1)\(见2013年版的7.6.4和7.6.5);一增加了“安全审计(FAU类)”中的\防止审计数据丢失(FAU_STG.4)”(见7.1.2.4);增加了密码支持(FCS类)”(见7.1.3);增加了“用户数据保护(FDP类)”中的\子集残余信息保护(FDP_RIP.1)”和\基本回退(FDPROL.1)”(见7.1.4.9和7.1.4.10);增加了“安全管理(FMT类)”中的\TSF数据限值的管理(FMT_MTD.2)\(见7.1.6.6);增加了“TSF保护(FPT类)\中的\失效即保持安全状态(FPT_FLS.1)”(见7.1.7.1);增加了“资源利用(FRU类)”(见7.1.8);—增加了EAL3、EAL4级的安全保障要求(见7.2);修改了安全目的和安全要求的基本原理的规定(见8.1和8.2);一增加了组件依赖关系的规定(见8.3)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全测评中心、兴唐通信科技有限公司、国网思极网安科技(北京)有限公司、北京元心科技有限公司、中国科学院软件研究所、北京邮电大学、中国信息通信研究院、展讯通信(上海)有限公司。
本标准主要起草人:张宝峰、贾炜、杨永生、石松、李凤娟、许源、殷树刚、宁华、饶华一、毕海英、GB/T30284—2020
张骁、熊琦、邓辉、高金萍、张阳、梁洪亮、邹仕洪、毛军捷、王蓓蓓、庞博、朱瑞瑾、刘昱函、许勇刚、陈佳哲、李贺鑫、李岐、魏伟、孙亚飞、王宇航、王亚楠、李静、朱克雷、黄小莉、骆扬、王书毅、王峰、张独斌、郭颖本标准所代替标准的历次版本发布情况为:GB/T30284—2013。
HiiKaeerKAca
1范围
信息安全技术移动通信智能终端操作系统安全技术要求
GB/T30284—2020
本标准规定了移动通信智能终端(以下简称移动终端)操作系统的安全功能要求和达到EAL2、EAL3和EAL4保障级的安全保障要求本标准适用于移动终端操作系统产品的设计、开发、测试和采购。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型
GB/T18336.2一2015信息技术安全技术信息技术安全评估准则量第2部分:安全功能
安全技术信息技术安全评估准则第3部分:安全保障组件GB/T18336.32015
信息技术
GB/T25069—2010
3术语、定义和缩略语
3.1术语和定义
信息安全技术
GB/T18336.1—2015及GB/T250692010界定的以及下列术语和定义适用于本文件。3.1.1
管理员
administrator
个授权用户,拥有管理部分或全部移动终端操作系统安全功能的权限,同时可拥有旁路部分移动终端操作系统安全策略的特权。3.1.2
应用软件applicationsoftware
移动终端操作系统之外,向用户提供服务功能的软件。3.1.3
鉴别数据authenticationdata
用于验证用户所声称身份的信息。3.1.4
authorized user
授权用户
依据安全策略可执行某项操作的用户。GB/T30284—2020
resource
组有限的逻辑或物理实体。
注:操作系统为用户、主体和客体分配或管理资源,如存储空间、电源、CPU、无线通信设备等。3.1.6
session
用户与TSF的一段交互。
注:会话建立受控于多种因素,如用户鉴别、对TOE访问的时间和方法及允许建立会话的最大数等。3.1.7
移动通信智能终端
smartmobileterminal
能接人移动通信网,提供应用软件开发接口,并能安装和运行第三方应用软件的移动终端设备。3.1.8
TOE安全功能
TOE security functionality
正确执行SFR应依赖的TOE的所有硬件、软件和固件的组合功能3.1.9
可信信道
trusted channel
TSF同远程可信IT产品能在必要的信任基础上进行通信的一种通信手段。3.1.10
可信路径
trustedpathwwW.bzxz.Net
用户和TSF能在必要的信任基础上进行通信的种通信手段。lee
TSF数据TSFdata
实施移动终端操作系统安全功能所依赖的数据。3.1.12
用户数据
userdata
由用户产生或为用户服务的数据。3.2
2缩略语
下列缩略语适用于本文件。
应用编程接口(ApplicationProgrammingInterface)配置管理(ConfigurationManagement)评估保障级(EvaluationAssuranceLevel)互联网协议(InternetProtocol)信息技术(InformationTechnology)保护轮廓(ProtectionProfile)安全功能策略(SecurityFunctionPolicy)安全功能要求(SecurityFunctionalRequirements)安全目标(SecurityTarget)
评估对象(TargetofEvaluation)TOE安全功能(TOESecurityFunctionality)TSF接(TSFInterface)
4概述
4.1移动终端操作系统描述
GB/T30284—2020
移动终端操作系统是运行在智能移动终端上的系统软件,是智能移动终端的组成部分,用于控制管理移动终端上的硬件、软件和固件,提供用户操作界面和应用软件编程接口(API)。移动终端操作系统应具备下述特征:a)运行在智能移动终端上;
b)支持多个用户角色;
c)支持应用软件安装;
d)应用软件通过操作系统访问数据、传感器及无线通信资源;e)
支持基于互联网协议的网络通信;f)
可与远程信息系统协同工作。
4.2移动终端操作系统安全特征
移动终端操作系统需要抵御的威胁主要来自非授权用户的访问、授权用户的恶意访问、恶意应用软件的访问和互联网非授权实体的访问等。移动终端失去物理保护时,可能受到非授权用户的恶意访问。因此,移动终端操作系统应利用会话建立、会话锁定、会话解锁、数据备份、备份数据保护、防丢失等功能应对此类威胁,防范用户数据的泄露和丢失。移动终端操作系统应通过安全角色划分,把对用户数据、通信资源的访问授权管理职能赋予移动终端授权用户。移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术用户,以实现远程可信信息系统对移动终端的管理。移动终端授权用户可能有旁路或部分旁路移动终端操作系统安全机制的特权,应通过划分角色对授权用户的权限加以限制,并通过审计对授权用户的操作行为进行记录和跟踪。
移动终端操作系统应具备数据传输保护、完整性校验等安全特性维系与应用软件责任担保者之间的信任传递链条,抵御恶意软件的安装。同时移动终端操作系统应通过实施访问控制策略限制应用软件的访问权限,使应用软件对用户数据、通信资源、传感器的访问均被访问控制策略覆盖。移动终端操作系统应对IP网络信息实施信息流控制策略,过滤无法鉴别、未经授权的IP网络数据包,保护移动终端的带宽资源、话费和电源能量。移动终端操作系统及其安全功能自身也应得到保护,移动终端安全架构应保证移动终端操作系统不受不可信用户、不可信主体的干扰和破坏。移动终端操作系统部分安全功能的实现还应得到密码服务的支持,这些安全功能包括:标识与鉴别、可信信道等。
移动终端操作系统应具备的安全功能如下:a)对用户、应用、进程等进行唯一标识;b)对用户和远程IT实体进行鉴别;c)执行访问控制和网络信息流控制策略;d)执行应用软件限制策略;
e)执行设备安全管理,即具有可配置的安全和管理策略,实现远程可信信息系统对移动终端的安全管理;
f)执行访问授权管理,即管理员能根据需要初始化、配置、修改应用软件的访问权限;GB/T30284—2020
g)对用户行为审计:
h)提供密码支持。
5安全问题定义
5.1资产
应保护的评估对象资产:
TSF数据(如鉴别数据、安全属性、访问控制列表、安全配置数据等信息);用户数据(如用户身份标识、位置信息、账户信息、通信记录、通讯录等信息):一敏感资源(包含通信资源、外设资源,如摄像头、位置传感器等)。注:ST作者宜根据具体的应用情况细化对资产的描述。5.2安全威
5.2.1数据传输窃听(T.EAVESDROP)恶意用户或进程可能监听或修改移动终端操作系统之间或者移动终端操作系统与远程可信IT产品间传递的用户数据或TSF数据。5.2.2安全功能失效(T.TSF_COMPROMISE)c
恶意用户或进程通过攻击手段非法地浏览、修改或删除TSF数据或可执行代码。这可能让恶意用户或进程获得移动终端操作系统的配置信息,或可能导致移动终端操作系统的安全功能对于数据资产保护的安全机制不再正常工作。5.2.3授权用户恶意行为(T.ACCESS_MALICIOUS)授权用户因安全意识薄弱或误操作,对移动终端操作系统进行不正确地配置,或授权用户恶意利用权限进行非法操作,使移动终端安全受到威胁。5.2.4非授权网络流量(T.UNAUTHORIZED_NETFLOW)未授权外部IT实体向移动终端操作系统发送网络数据或接收经由移动终端操作系统传输的网络数据。
5.2.5残余信息利用(T.RESIDUAL_DATA)恶意用户或进程可能利用移动终端操作系统残留信息的处理缺陷,在执行过程中对未删除的残留信息进行利用,以获取敏感信息或滥用移动终端操作系统的安全功能5.2.6恶意软件(T.MALICIOUSAPP)恶意软件可能通过伪装成授权应用或进程访问用户数据和系统敏感资源。5.2.7非授权访问(T.UNAUTHORIZED_ACCESS非授权用户或进程访问移动终端操作系统的安全功能数据和用户数据,并对安全功能数据和用户数据进行恶意操作。
5.2.8重放攻击(T.REPLAY)
非授权用户利用所截获的授权用户信息,重新提交给移动终端操作系统,以假冒授权用户访问移动4
终端操作系统的功能和数据。
5.2.9会话冒用(T.UNATTENDED_SESSION)GB/T30284—2020
非授权用户可以利用不被使用的会话,假冒授权用户对移动终端操作系统的功能和数据产生威胁,5.2.10设备丢失(T.LOST)
移动终端操作系统所运行的物理设备在被出售、交换、遗失的情况下,非授权用户可通过攻击方式获取授权用户数据。
5.3组织安全策略
组织应为移动终端操作系统提供敏感数据加密存储和通讯功能的密码策略5.4假设
5.4.1物理安全(A.PHYSICAL)
假设移动终端操作系统所依赖的运行环境能提供移动终端操作系统安全运行所需的物理安全与保护。
5.4.2人员(A.PERSONNEL)
假设移动终端操作系统的合法用户能按照管理员指南来管理移动终端操作系统的安全功能,对移动终端操作系统不存在恶意的破坏企图。5.4.3远程设备安全(A.REMOTE)假定用于管理移动终端操作系统的远程I设备、应用设备是安全的6安全目的
6.1移动终端操作系统安全目的
6.1.1事件审计(O.AUDIT)
移动终端操作系统应记录安全相关的事件,应对记录的事件进行保护并且只允许授权用户查看移动终端操作系统应保证审计迹已满的情况下,不影响审计功能和其他安全功能的执行。6.1.2身份认证(O.AUTH)
移动终端操作系统应提供鉴别用户身份的机制,并且在用户使用移动终端操作系统功能前对用户身份进行鉴别和标识。移动终端操作系统应只提供有限的鉴权反馈信息,并且在鉴权失败达到一定次数时限制用户的鉴权行为。
6.1.3数据加密(O.ENCRYPT)
移动终端操作系统应提供加解密机制,保证移动终端操作系统能对其保护的数据采取加密措施6.1.4残留信息清除(O.RESIDUALINFO)移动终端操作系统应保证重要的数据在使用完成后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息。
GB/T30284—2020
6.1.5可信信道(O.TRUSTED_CHANNEL)移动终端操作系统应提供通过受保护的通道向远程可信IT产品提交数据的能力·同时也提供受保护的网络通道供应用使用。
6.1.6网络数据流控制(O.NETWORK_FLOW)移动终端操作系统应提供基本的网络防护能力,阻止已知的恶意网络攻击行为。移动终端操作系统应当控制移动终端操作系统内的IT实体和外部IT实体之间的IP网络数据和移动通信网络数据传输。移动终端操作系统控制这些数据传输的规则只能通过授权用户来改变6.1.7访问控制(O.ACCESS_CONTROL)移动终端操作系统应提供访问控制机制,防止移动终端操作系统重要数据、进程及资源等在未授权情况下被访问、修改或删除。
6.1.8会话管理(O.SESSIONMANAGEMENT)移动终端操作系统应临时暂停不被使用的用户会话,并且只有在重新验证用户身份后才恢复已暂停的用户会话。
6.1.9资源限制(O.RESOURCE_QUOTA)移动终端操作系统应提供移动终端操作系统资源使用的控制机制,防止因应用程序错误或恶意行为无限制消耗资源,导致系统资源被耗尽。6.1.10数据回滚(O.ROLLBACK)移动终端操作系统应提供用户关键数据备份和回滚的功能,保证用户数据能回到一个备份过的状态。这种行为要求应是授权用户,并应保证用户数据的安全性。6.1.11安全管理(O.MANAGE)
移动终端操作系统应划分不同用户角色来管理移动终端操作系统,并对角色赋予的权限进行限制,防止授权用户的权限溢用。
6.1.12可信时间(O.TIME)
移动终端操作系统应提供设置或获取可信时间的功能,保证系统时间是由授权用户设定或者是从可靠的时钟源同步获得。
6.1.13丢失保护(O.LOST_PROTECT)移动终端操作系统应提供丢失保护机制。保证在物理终端丢失的情况下授权用户对用户敏感数据的控制。
6.2环境安全目的
6.2.1物理安全(OE.PHYSICAL)移动终端操作系统的运行环境可提供操作系统运行所需的物理安全保护。6
6.2.2人员(OE.PERSONNEL)
GB/T30284—2020
负责管理移动终端操作系统安全策略和数据的用户是可信的,经过学习和培训的,并且对管理和操作行为负责。
6.2.3远程通信(OE.REMOTE)
移动终端操作系统的远程管理设备、应用商店等远程IT实体是安全的且其数据和用户信息是被保护的。
安全要求
安全功能要求
7.1.1概述
移动终端操作系统的安全功能要求由GB/T18336.2一2015规定的组件构成,移动终端操作系统的安全功能要求组件见表1,7.1.2~7.1.10对各组件给出了说明。表1
安全功能要求组件
组件分类
FAU类:安全审计
FCS类:密码支持
FDP类:用户数据保护
安全功能要求组件
FAU_GEN.1审计数据产生
FAU_GEN.2用户身份关联
FAU_STG.1受保护的审计迹存储
FAU_STG.4防止审计数据丢失
FCS_CKM.1密钥生成
FCS_COP.1密码运算
FDP_ACC.1子集访间控制
FDP_ACF.1基于安全属性的访问控制FDP_ETC.1不带安全属性的用户数据输出FDP_ETC.2带有安全属性的用户数据输出FDP_IFC.1子集信息流控制
FDP_IFF.1简单安全属性
FDP_ITC.1不带安全属性的用户数据输人FDP_ITC.2带有安全属性的用户数据输人FDP_RIP.1子集残余信息保护
FDP_ROL.1基本回退
FDP_UCT.1基本的数据交换机密性FDP_UIT.1数据交换完整性
GB/T30284—2020
组件分类
FIA类:标识和鉴别
FMT类:安全管理
FPT类:TSF保护
FRU类:资源利用
FTA类:TOE访间
FTP类:可信路径/信道
安全审计(FAU类)
审计数据产生(FAU_GEN.1)
从属于:无其他组件。
依赖关系:FPT_STM.1可信时间截。表1(续)
安全功能要求组件
FIA_AFL,1鉴别失败处理
FIA_ATD.1用户属性定义
FIA_SOS.1秘密的验证
FIA_UAU.1鉴别的时机
FIA_UAU.5多重鉴别机制
FIA_UAU.6重鉴别
FIA_UAU.7受保护的鉴别反馈
FIA_UID.1标识的时机
FIA_USB.1用户-主体绑定
FMT_MOF.1安全功能行为的管理
FMT_MSA.1安全属性的管理
FMT_MSA.2安全的安全属性
FMT_MSA.3静态属性初始化
FMT_MTD.1TSF数据的管理
FMT_MTD.2TSF数据限值的管理
FMT_MTD.3安全的TSF数据
FMT_SMF.1管理功能规范
FMT_SMR.1安全角色
FPT_FLS.1失效即保持安全状态
FPT_ITC.1传送过程中TSF间的机密性FPT_ITI.1TSF间复改的检测
FPT_STM.1可靠的时间戳
FPT_TDC.1TSF间基本的TSF数据一致性FPT_TST.1TSF测试
FRU_RSA,1最高配额
FTA_SSL.1TSF原发会话锁定
FTA_SSL.2用户原发会话锁定
FTP_ITC.1TSF间可信信道
FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T30284—2020
代替GB/T30284—2013
信息安全技术
移动通信智能终端
操作系统安全技术要求
Informationsecuritytechniques-Security technical requirements for operating system on smart mobile terminal2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
规范性引用文件
术语、定义和缩略语
术语和定义
3.2缩略语
移动终端操作系统描述
移动终端操作系统安全特征
安全问题定义
安全威胁
组织安全策略
6安全目的
移动终端操作系统安全目的
环境安全目的
7安全要求
安全功能要求
安全保障要求
8基本原理
8.1安全目的基本原理
安全要求的基本原理
组件依赖关系
参考文献
GB/T30284—2020
本标准按照GB/T1.1一2009给出的规则起草。GB/T30284—2020
本标准代替GB/T30284一2013《移动通信智能终端操作系统安全技术要求(EAL2级)》。本标准与GB/T30284—2013相比,主要技术变化如下:修改了标准名称为《信息安全技术移动通信智能终端操作系统安全技术要求》;修改了“范围”中安全技术要求级别(见第1章);修改了第2章规范性引用文件(见第2章和2013年版的第2章);增加了术语“可信信道”\可信路径”和“TSF数据”及其定义(见3.1.9、3.1.10、3.1.11);修改了术语“移动通信智能终端”和“用户数据”的定义(见3.1.7、3.1.12);删除了部分术语(见2013年版的第3章);增加了部分缩略语(见3.2);
修改了移动通信智能终端操作系统描述(见4.1);一修改了安全问题定义中“威胁”\组织安全策略”和\假设”的规定(见5.2、5.3、5.4);修改了安全目的的规定(见第6章):将原标准第7章“安全功能要求”和第8章“安全保障要求”合并为“安全要求”(见第7章);—删除了“安全审计类:FAU\中的“审计查阅(FAU_SAR.1)”和“有限审计查阅(FAU_SAR.2)”(见2013年版的7.9.4和7.9.5);删除了“密码支持类:FCS\中的扩展组件“密码支持基本要求(FCS_CBR_EXT.1)”和\密码操作应用(FCS_COAEXT.1)*(见2013年版的7.7.2和7.7.3)一删除了\安全管理类:FMT”中的\安全属性撤销(FMT_REV.1)”(见2013年版的7.5.10);删除了“TOE访问类:FTA\中\TOE会话建立(FTA_TSE.1)”和\可选属性范围限定(FTALSA.1)\(见2013年版的7.6.4和7.6.5);一增加了“安全审计(FAU类)”中的\防止审计数据丢失(FAU_STG.4)”(见7.1.2.4);增加了密码支持(FCS类)”(见7.1.3);增加了“用户数据保护(FDP类)”中的\子集残余信息保护(FDP_RIP.1)”和\基本回退(FDPROL.1)”(见7.1.4.9和7.1.4.10);增加了“安全管理(FMT类)”中的\TSF数据限值的管理(FMT_MTD.2)\(见7.1.6.6);增加了“TSF保护(FPT类)\中的\失效即保持安全状态(FPT_FLS.1)”(见7.1.7.1);增加了“资源利用(FRU类)”(见7.1.8);—增加了EAL3、EAL4级的安全保障要求(见7.2);修改了安全目的和安全要求的基本原理的规定(见8.1和8.2);一增加了组件依赖关系的规定(见8.3)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全测评中心、兴唐通信科技有限公司、国网思极网安科技(北京)有限公司、北京元心科技有限公司、中国科学院软件研究所、北京邮电大学、中国信息通信研究院、展讯通信(上海)有限公司。
本标准主要起草人:张宝峰、贾炜、杨永生、石松、李凤娟、许源、殷树刚、宁华、饶华一、毕海英、GB/T30284—2020
张骁、熊琦、邓辉、高金萍、张阳、梁洪亮、邹仕洪、毛军捷、王蓓蓓、庞博、朱瑞瑾、刘昱函、许勇刚、陈佳哲、李贺鑫、李岐、魏伟、孙亚飞、王宇航、王亚楠、李静、朱克雷、黄小莉、骆扬、王书毅、王峰、张独斌、郭颖本标准所代替标准的历次版本发布情况为:GB/T30284—2013。
HiiKaeerKAca
1范围
信息安全技术移动通信智能终端操作系统安全技术要求
GB/T30284—2020
本标准规定了移动通信智能终端(以下简称移动终端)操作系统的安全功能要求和达到EAL2、EAL3和EAL4保障级的安全保障要求本标准适用于移动终端操作系统产品的设计、开发、测试和采购。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型
GB/T18336.2一2015信息技术安全技术信息技术安全评估准则量第2部分:安全功能
安全技术信息技术安全评估准则第3部分:安全保障组件GB/T18336.32015
信息技术
GB/T25069—2010
3术语、定义和缩略语
3.1术语和定义
信息安全技术
GB/T18336.1—2015及GB/T250692010界定的以及下列术语和定义适用于本文件。3.1.1
管理员
administrator
个授权用户,拥有管理部分或全部移动终端操作系统安全功能的权限,同时可拥有旁路部分移动终端操作系统安全策略的特权。3.1.2
应用软件applicationsoftware
移动终端操作系统之外,向用户提供服务功能的软件。3.1.3
鉴别数据authenticationdata
用于验证用户所声称身份的信息。3.1.4
authorized user
授权用户
依据安全策略可执行某项操作的用户。GB/T30284—2020
resource
组有限的逻辑或物理实体。
注:操作系统为用户、主体和客体分配或管理资源,如存储空间、电源、CPU、无线通信设备等。3.1.6
session
用户与TSF的一段交互。
注:会话建立受控于多种因素,如用户鉴别、对TOE访问的时间和方法及允许建立会话的最大数等。3.1.7
移动通信智能终端
smartmobileterminal
能接人移动通信网,提供应用软件开发接口,并能安装和运行第三方应用软件的移动终端设备。3.1.8
TOE安全功能
TOE security functionality
正确执行SFR应依赖的TOE的所有硬件、软件和固件的组合功能3.1.9
可信信道
trusted channel
TSF同远程可信IT产品能在必要的信任基础上进行通信的一种通信手段。3.1.10
可信路径
trustedpathwwW.bzxz.Net
用户和TSF能在必要的信任基础上进行通信的种通信手段。lee
TSF数据TSFdata
实施移动终端操作系统安全功能所依赖的数据。3.1.12
用户数据
userdata
由用户产生或为用户服务的数据。3.2
2缩略语
下列缩略语适用于本文件。
应用编程接口(ApplicationProgrammingInterface)配置管理(ConfigurationManagement)评估保障级(EvaluationAssuranceLevel)互联网协议(InternetProtocol)信息技术(InformationTechnology)保护轮廓(ProtectionProfile)安全功能策略(SecurityFunctionPolicy)安全功能要求(SecurityFunctionalRequirements)安全目标(SecurityTarget)
评估对象(TargetofEvaluation)TOE安全功能(TOESecurityFunctionality)TSF接(TSFInterface)
4概述
4.1移动终端操作系统描述
GB/T30284—2020
移动终端操作系统是运行在智能移动终端上的系统软件,是智能移动终端的组成部分,用于控制管理移动终端上的硬件、软件和固件,提供用户操作界面和应用软件编程接口(API)。移动终端操作系统应具备下述特征:a)运行在智能移动终端上;
b)支持多个用户角色;
c)支持应用软件安装;
d)应用软件通过操作系统访问数据、传感器及无线通信资源;e)
支持基于互联网协议的网络通信;f)
可与远程信息系统协同工作。
4.2移动终端操作系统安全特征
移动终端操作系统需要抵御的威胁主要来自非授权用户的访问、授权用户的恶意访问、恶意应用软件的访问和互联网非授权实体的访问等。移动终端失去物理保护时,可能受到非授权用户的恶意访问。因此,移动终端操作系统应利用会话建立、会话锁定、会话解锁、数据备份、备份数据保护、防丢失等功能应对此类威胁,防范用户数据的泄露和丢失。移动终端操作系统应通过安全角色划分,把对用户数据、通信资源的访问授权管理职能赋予移动终端授权用户。移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术用户,以实现远程可信信息系统对移动终端的管理。移动终端授权用户可能有旁路或部分旁路移动终端操作系统安全机制的特权,应通过划分角色对授权用户的权限加以限制,并通过审计对授权用户的操作行为进行记录和跟踪。
移动终端操作系统应具备数据传输保护、完整性校验等安全特性维系与应用软件责任担保者之间的信任传递链条,抵御恶意软件的安装。同时移动终端操作系统应通过实施访问控制策略限制应用软件的访问权限,使应用软件对用户数据、通信资源、传感器的访问均被访问控制策略覆盖。移动终端操作系统应对IP网络信息实施信息流控制策略,过滤无法鉴别、未经授权的IP网络数据包,保护移动终端的带宽资源、话费和电源能量。移动终端操作系统及其安全功能自身也应得到保护,移动终端安全架构应保证移动终端操作系统不受不可信用户、不可信主体的干扰和破坏。移动终端操作系统部分安全功能的实现还应得到密码服务的支持,这些安全功能包括:标识与鉴别、可信信道等。
移动终端操作系统应具备的安全功能如下:a)对用户、应用、进程等进行唯一标识;b)对用户和远程IT实体进行鉴别;c)执行访问控制和网络信息流控制策略;d)执行应用软件限制策略;
e)执行设备安全管理,即具有可配置的安全和管理策略,实现远程可信信息系统对移动终端的安全管理;
f)执行访问授权管理,即管理员能根据需要初始化、配置、修改应用软件的访问权限;GB/T30284—2020
g)对用户行为审计:
h)提供密码支持。
5安全问题定义
5.1资产
应保护的评估对象资产:
TSF数据(如鉴别数据、安全属性、访问控制列表、安全配置数据等信息);用户数据(如用户身份标识、位置信息、账户信息、通信记录、通讯录等信息):一敏感资源(包含通信资源、外设资源,如摄像头、位置传感器等)。注:ST作者宜根据具体的应用情况细化对资产的描述。5.2安全威
5.2.1数据传输窃听(T.EAVESDROP)恶意用户或进程可能监听或修改移动终端操作系统之间或者移动终端操作系统与远程可信IT产品间传递的用户数据或TSF数据。5.2.2安全功能失效(T.TSF_COMPROMISE)c
恶意用户或进程通过攻击手段非法地浏览、修改或删除TSF数据或可执行代码。这可能让恶意用户或进程获得移动终端操作系统的配置信息,或可能导致移动终端操作系统的安全功能对于数据资产保护的安全机制不再正常工作。5.2.3授权用户恶意行为(T.ACCESS_MALICIOUS)授权用户因安全意识薄弱或误操作,对移动终端操作系统进行不正确地配置,或授权用户恶意利用权限进行非法操作,使移动终端安全受到威胁。5.2.4非授权网络流量(T.UNAUTHORIZED_NETFLOW)未授权外部IT实体向移动终端操作系统发送网络数据或接收经由移动终端操作系统传输的网络数据。
5.2.5残余信息利用(T.RESIDUAL_DATA)恶意用户或进程可能利用移动终端操作系统残留信息的处理缺陷,在执行过程中对未删除的残留信息进行利用,以获取敏感信息或滥用移动终端操作系统的安全功能5.2.6恶意软件(T.MALICIOUSAPP)恶意软件可能通过伪装成授权应用或进程访问用户数据和系统敏感资源。5.2.7非授权访问(T.UNAUTHORIZED_ACCESS非授权用户或进程访问移动终端操作系统的安全功能数据和用户数据,并对安全功能数据和用户数据进行恶意操作。
5.2.8重放攻击(T.REPLAY)
非授权用户利用所截获的授权用户信息,重新提交给移动终端操作系统,以假冒授权用户访问移动4
终端操作系统的功能和数据。
5.2.9会话冒用(T.UNATTENDED_SESSION)GB/T30284—2020
非授权用户可以利用不被使用的会话,假冒授权用户对移动终端操作系统的功能和数据产生威胁,5.2.10设备丢失(T.LOST)
移动终端操作系统所运行的物理设备在被出售、交换、遗失的情况下,非授权用户可通过攻击方式获取授权用户数据。
5.3组织安全策略
组织应为移动终端操作系统提供敏感数据加密存储和通讯功能的密码策略5.4假设
5.4.1物理安全(A.PHYSICAL)
假设移动终端操作系统所依赖的运行环境能提供移动终端操作系统安全运行所需的物理安全与保护。
5.4.2人员(A.PERSONNEL)
假设移动终端操作系统的合法用户能按照管理员指南来管理移动终端操作系统的安全功能,对移动终端操作系统不存在恶意的破坏企图。5.4.3远程设备安全(A.REMOTE)假定用于管理移动终端操作系统的远程I设备、应用设备是安全的6安全目的
6.1移动终端操作系统安全目的
6.1.1事件审计(O.AUDIT)
移动终端操作系统应记录安全相关的事件,应对记录的事件进行保护并且只允许授权用户查看移动终端操作系统应保证审计迹已满的情况下,不影响审计功能和其他安全功能的执行。6.1.2身份认证(O.AUTH)
移动终端操作系统应提供鉴别用户身份的机制,并且在用户使用移动终端操作系统功能前对用户身份进行鉴别和标识。移动终端操作系统应只提供有限的鉴权反馈信息,并且在鉴权失败达到一定次数时限制用户的鉴权行为。
6.1.3数据加密(O.ENCRYPT)
移动终端操作系统应提供加解密机制,保证移动终端操作系统能对其保护的数据采取加密措施6.1.4残留信息清除(O.RESIDUALINFO)移动终端操作系统应保证重要的数据在使用完成后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息。
GB/T30284—2020
6.1.5可信信道(O.TRUSTED_CHANNEL)移动终端操作系统应提供通过受保护的通道向远程可信IT产品提交数据的能力·同时也提供受保护的网络通道供应用使用。
6.1.6网络数据流控制(O.NETWORK_FLOW)移动终端操作系统应提供基本的网络防护能力,阻止已知的恶意网络攻击行为。移动终端操作系统应当控制移动终端操作系统内的IT实体和外部IT实体之间的IP网络数据和移动通信网络数据传输。移动终端操作系统控制这些数据传输的规则只能通过授权用户来改变6.1.7访问控制(O.ACCESS_CONTROL)移动终端操作系统应提供访问控制机制,防止移动终端操作系统重要数据、进程及资源等在未授权情况下被访问、修改或删除。
6.1.8会话管理(O.SESSIONMANAGEMENT)移动终端操作系统应临时暂停不被使用的用户会话,并且只有在重新验证用户身份后才恢复已暂停的用户会话。
6.1.9资源限制(O.RESOURCE_QUOTA)移动终端操作系统应提供移动终端操作系统资源使用的控制机制,防止因应用程序错误或恶意行为无限制消耗资源,导致系统资源被耗尽。6.1.10数据回滚(O.ROLLBACK)移动终端操作系统应提供用户关键数据备份和回滚的功能,保证用户数据能回到一个备份过的状态。这种行为要求应是授权用户,并应保证用户数据的安全性。6.1.11安全管理(O.MANAGE)
移动终端操作系统应划分不同用户角色来管理移动终端操作系统,并对角色赋予的权限进行限制,防止授权用户的权限溢用。
6.1.12可信时间(O.TIME)
移动终端操作系统应提供设置或获取可信时间的功能,保证系统时间是由授权用户设定或者是从可靠的时钟源同步获得。
6.1.13丢失保护(O.LOST_PROTECT)移动终端操作系统应提供丢失保护机制。保证在物理终端丢失的情况下授权用户对用户敏感数据的控制。
6.2环境安全目的
6.2.1物理安全(OE.PHYSICAL)移动终端操作系统的运行环境可提供操作系统运行所需的物理安全保护。6
6.2.2人员(OE.PERSONNEL)
GB/T30284—2020
负责管理移动终端操作系统安全策略和数据的用户是可信的,经过学习和培训的,并且对管理和操作行为负责。
6.2.3远程通信(OE.REMOTE)
移动终端操作系统的远程管理设备、应用商店等远程IT实体是安全的且其数据和用户信息是被保护的。
安全要求
安全功能要求
7.1.1概述
移动终端操作系统的安全功能要求由GB/T18336.2一2015规定的组件构成,移动终端操作系统的安全功能要求组件见表1,7.1.2~7.1.10对各组件给出了说明。表1
安全功能要求组件
组件分类
FAU类:安全审计
FCS类:密码支持
FDP类:用户数据保护
安全功能要求组件
FAU_GEN.1审计数据产生
FAU_GEN.2用户身份关联
FAU_STG.1受保护的审计迹存储
FAU_STG.4防止审计数据丢失
FCS_CKM.1密钥生成
FCS_COP.1密码运算
FDP_ACC.1子集访间控制
FDP_ACF.1基于安全属性的访问控制FDP_ETC.1不带安全属性的用户数据输出FDP_ETC.2带有安全属性的用户数据输出FDP_IFC.1子集信息流控制
FDP_IFF.1简单安全属性
FDP_ITC.1不带安全属性的用户数据输人FDP_ITC.2带有安全属性的用户数据输人FDP_RIP.1子集残余信息保护
FDP_ROL.1基本回退
FDP_UCT.1基本的数据交换机密性FDP_UIT.1数据交换完整性
GB/T30284—2020
组件分类
FIA类:标识和鉴别
FMT类:安全管理
FPT类:TSF保护
FRU类:资源利用
FTA类:TOE访间
FTP类:可信路径/信道
安全审计(FAU类)
审计数据产生(FAU_GEN.1)
从属于:无其他组件。
依赖关系:FPT_STM.1可信时间截。表1(续)
安全功能要求组件
FIA_AFL,1鉴别失败处理
FIA_ATD.1用户属性定义
FIA_SOS.1秘密的验证
FIA_UAU.1鉴别的时机
FIA_UAU.5多重鉴别机制
FIA_UAU.6重鉴别
FIA_UAU.7受保护的鉴别反馈
FIA_UID.1标识的时机
FIA_USB.1用户-主体绑定
FMT_MOF.1安全功能行为的管理
FMT_MSA.1安全属性的管理
FMT_MSA.2安全的安全属性
FMT_MSA.3静态属性初始化
FMT_MTD.1TSF数据的管理
FMT_MTD.2TSF数据限值的管理
FMT_MTD.3安全的TSF数据
FMT_SMF.1管理功能规范
FMT_SMR.1安全角色
FPT_FLS.1失效即保持安全状态
FPT_ITC.1传送过程中TSF间的机密性FPT_ITI.1TSF间复改的检测
FPT_STM.1可靠的时间戳
FPT_TDC.1TSF间基本的TSF数据一致性FPT_TST.1TSF测试
FRU_RSA,1最高配额
FTA_SSL.1TSF原发会话锁定
FTA_SSL.2用户原发会话锁定
FTP_ITC.1TSF间可信信道
FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。