GB∕T 30284-2020 信息安全技术 移动通信智能终端操作系统安全技术要求

书书书犐犆犛３５．０４０犔８０中华人民共和国国家标准犌犅／犜３０２８４—２０２０代替ＧＢ／Ｔ３０２８４—２０１３信息安全技术　移动通信智能终端操作系统安全技术要求犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿狅狀狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾２０２００４２８发布２０２０１１０１实施国家市场监督管理总局国家标准化管理委员会发布书书书目　　次前言Ⅲ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语、定义和缩略语１………………………………………………………………………………………　３．１　术语和定义１…………………………………………………………………………………………　３．２　缩略语２………………………………………………………………………………………………４　概述３………………………………………………………………………………………………………　４．１　移动终端操作系统描述３……………………………………………………………………………　４．２　移动终端操作系统安全特征３………………………………………………………………………５　安全问题定义４……………………………………………………………………………………………　５．１　资产４…………………………………………………………………………………………………　５．２　安全威胁４……………………………………………………………………………………………　５．３　组织安全策略５………………………………………………………………………………………　５．４　假设５…………………………………………………………………………………………………６　安全目的５…………………………………………………………………………………………………　６．１　移动终端操作系统安全目的５………………………………………………………………………　６．２　环境安全目的６………………………………………………………………………………………７　安全要求７…………………………………………………………………………………………………　７．１　安全功能要求７………………………………………………………………………………………　７．２　安全保障要求１９………………………………………………………………………………………８　基本原理３４…………………………………………………………………………………………………　８．１　安全目的基本原理３４…………………………………………………………………………………　８．２　安全要求的基本原理３７………………………………………………………………………………　８．３　组件依赖关系４１………………………………………………………………………………………参考文献４５……………………………………………………………………………………………………Ⅰ犌犅／犜３０２８４—２０２０前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准代替ＧＢ／Ｔ３０２８４—２０１３《移动通信智能终端操作系统安全技术要求（ＥＡＬ２级）》。本标准与ＧＢ／Ｔ３０２８４—２０１３相比，主要技术变化如下：———修改了标准名称为《信息安全技术　移动通信智能终端操作系统安全技术要求》；———修改了“范围”中安全技术要求级别（见第１章）；———修改了第２章规范性引用文件（见第２章和２０１３年版的第２章）；———增加了术语“可信信道”“可信路径”和“ＴＳＦ数据”及其定义（见３．１．９、３．１．１０、３．１．１１）；———修改了术语“移动通信智能终端”和“用户数据”的定义（见３．１．７、３．１．１２）；———删除了部分术语（见２０１３年版的第３章）；———增加了部分缩略语（见３．２）；———修改了移动通信智能终端操作系统描述（见４．１）；———修改了安全问题定义中“威胁”“组织安全策略”和“假设”的规定（见５．２、５．３、５．４）；———修改了安全目的的规定（见第６章）；———将原标准第７章“安全功能要求”和第８章“安全保障要求”合并为“安全要求”（见第７章）；———删除了“安全审计类：ＦＡＵ”中的“审计查阅（ＦＡＵ＿ＳＡＲ．１）”和“有限审计查阅（ＦＡＵ＿ＳＡＲ．２）”（见２０１３年版的７．９．４和７．９．５）；———删除了“密码支持类：ＦＣＳ”中的扩展组件“密码支持基本要求（ＦＣＳ＿ＣＢＲ＿ＥＸＴ．１）”和“密码操作应用（ＦＣＳ＿ＣＯＡ＿ＥＸＴ．１）”（见２０１３年版的７．７．２和７．７．３）；———删除了“安全管理类：ＦＭＴ”中的“安全属性撤销（ＦＭＴ＿ＲＥＶ．１）”（见２０１３年版的７．５．１０）；———删除了“ＴＯＥ访问类：ＦＴＡ”中“ＴＯＥ会话建立（ＦＴＡ＿ＴＳＥ．１）”和“可选属性范围限定（ＦＴＡ＿ＬＳＡ．１）”（见２０１３年版的７．６．４和７．６．５）；———增加了“安全审计（ＦＡＵ类）”中的“防止审计数据丢失（ＦＡＵ＿ＳＴＧ．４）”（见７．１．２．４）；———增加了“密码支持（ＦＣＳ类）”（见７．１．３）；———增加了“用户数据保护（ＦＤＰ类）”中的“子集残余信息保护（ＦＤＰ＿ＲＩＰ．１）”和“基本回退（ＦＤＰ＿ＲＯＬ．１）”（见７．１．４．９和７．１．４．１０）；———增加了“安全管理（ＦＭＴ类）”中的“ＴＳＦ数据限值的管理（ＦＭＴ＿ＭＴＤ．２）”（见７．１．６．６）；———增加了“ＴＳＦ保护（ＦＰＴ类）”中的“失效即保持安全状态（ＦＰＴ＿ＦＬＳ．１）”（见７．１．７．１）；———增加了“资源利用（ＦＲＵ类）”（见７．１．８）；———增加了ＥＡＬ３、ＥＡＬ４级的安全保障要求（见７．２）；———修改了安全目的和安全要求的基本原理的规定（见８．１和８．２）；———增加了组件依赖关系的规定（见８．３）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。本标准起草单位：中国信息安全测评中心、兴唐通信科技有限公司、国网思极网安科技（北京）有限公司、北京元心科技有限公司、中国科学院软件研究所、北京邮电大学、中国信息通信研究院、展讯通信（上海）有限公司。本标准主要起草人：张宝峰、贾炜、杨永生、石松、李凤娟、许源、殷树刚、宁华、饶华一、毕海英、Ⅲ犌犅／犜３０２８４—２０２０张骁、熊琦、邓辉、高金萍、张阳、梁洪亮、邹仕洪、毛军捷、王蓓蓓、庞博、朱瑞瑾、刘昱函、许勇刚、陈佳哲、李贺鑫、李祉岐、魏伟、孙亚飞、王宇航、王亚楠、李静、朱克雷、黄小莉、骆扬、王书毅、王峰、张罛斌、郭颖。本标准所代替标准的历次版本发布情况为：———ＧＢ／Ｔ３０２８４—２０１３。Ⅳ犌犅／犜３０２８４—２０２０信息安全技术　移动通信智能终端操作系统安全技术要求１　范围本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到ＥＡＬ２、ＥＡＬ３和ＥＡＬ４保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ１８３３６．１—２０１５　信息技术　安全技术　信息技术安全评估准则　第１部分：简介和一般模型ＧＢ／Ｔ１８３３６．２—２０１５　信息技术　安全技术　信息技术安全评估准则　第２部分：安全功能组件ＧＢ／Ｔ１８３３６．３—２０１５　信息技术　安全技术　信息技术安全评估准则　第３部分：安全保障组件ＧＢ／Ｔ２５０６９—２０１０　信息安全技术　术语３　术语、定义和缩略语３．１　术语和定义ＧＢ／Ｔ１８３３６．１—２０１５及ＧＢ／Ｔ２５０６９—２０１０界定的以及下列术语和定义适用于本文件。３．１．１　管理员　犪犱犿犻狀犻狊狋狉犪狋狅狉一个授权用户，拥有管理部分或全部移动终端操作系统安全功能的权限，同时可拥有旁路部分移动终端操作系统安全策略的特权。３．１．２　应用软件　犪狆狆犾犻犮犪狋犻狅狀狊狅犳狋狑犪狉犲移动终端操作系统之外，向用户提供服务功能的软件。３．１．３　鉴别数据　犪狌狋犺犲狀狋犻犮犪狋犻狅狀犱犪狋犪用于验证用户所声称身份的信息。３．１．４　授权用户　犪狌狋犺狅狉犻狕犲犱狌狊犲狉依据安全策略可执行某项操作的用户。１犌犅／犜３０２８４—２０２０３．１．５　资源　狉犲狊狅狌狉犮犲一组有限的逻辑或物理实体。注：操作系统为用户、主体和客体分配或管理资源，如存储空间、电源、ＣＰＵ、无线通信设备等。３．１．６　会话　狊犲狊狊犻狅狀用户与ＴＳＦ的一段交互。注：会话建立受控于多种因素，如用户鉴别、对ＴＯＥ访问的时间和方法及允许建立会话的最大数等。３．１．７　移动通信智能终端　狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾能接入移动通信网，提供应用软件开发接口，并能安装和运行第三方应用软件的移动终端设备。３．１．８　犜犗犈安全功能　犜犗犈狊犲犮狌狉犻狋狔犳狌狀犮狋犻狅狀犪犾犻狋狔正确执行ＳＦＲ应依赖的ＴＯＥ的所有硬件、软件和固件的组合功能。３．１．９　可信信道　狋狉狌狊狋犲犱犮犺犪狀狀犲犾ＴＳＦ同远程可信ＩＴ产品能在必要的信任基础上进行通信的一种通信手段。３．１．１０　可信路径　狋狉狌狊狋犲犱狆犪狋犺用户和ＴＳＦ能在必要的信任基础上进行通信的一种通信手段。３．１．１１　犜犛犉数据　犜犛犉犱犪狋犪实施移动终端操作系统安全功能所依赖的数据。３．１．１２　用户数据　狌狊犲狉犱犪狋犪由用户产生或为用户服务的数据。３．２　缩略语　下列缩略语适用于本文件。ＡＰＩ　　应用编程接口（ＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍｍｉｎｇＩｎｔｅｒｆａｃｅ）ＣＭ配置管理（ＣｏｎｆｉｇｕｒａｔｉｏｎＭａｎａｇｅｍｅｎｔ）ＥＡＬ评估保障级（ＥｖａｌｕａｔｉｏｎＡｓｓｕｒａｎｃｅＬｅｖｅｌ）ＩＰ互联网协议（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ）ＩＴ信息技术（ＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙ）ＰＰ保护轮廓（ＰｒｏｔｅｃｔｉｏｎＰｒｏｆｉｌｅ）ＳＦＰ安全功能策略（ＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎＰｏｌｉｃｙ）ＳＦＲ安全功能要求（ＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎａｌＲｅｑｕｉｒｅｍｅｎｔｓ）ＳＴ安全目标（ＳｅｃｕｒｉｔｙＴａｒｇｅｔ）ＴＯＥ评估对象（ＴａｒｇｅｔｏｆＥｖａｌｕａｔｉｏｎ）ＴＳＦＴＯＥ安全功能（ＴＯＥＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎａｌｉｔｙ）ＴＳＦＩＴＳＦ接口（ＴＳＦＩｎｔｅｒｆａｃｅ）２犌犅／犜３０２８４—２０２０４　概述４．１　移动终端操作系统描述移动终端操作系统是运行在智能移动终端上的系统软件，是智能移动终端的组成部分，用于控制、管理移动终端上的硬件、软件和固件，提供用户操作界面和应用软件编程接口（ＡＰＩ）。移动终端操作系统应具备下述特征：ａ）　运行在智能移动终端上；ｂ）　支持多个用户角色；ｃ）　支持应用软件安装；ｄ）　应用软件通过操作系统访问数据、传感器及无线通信资源；ｅ）　支持基于互联网协议的网络通信；ｆ）　可与远程信息系统协同工作。４．２　移动终端操作系统安全特征移动终端操作系统需要抵御的威胁主要来自非授权用户的访问、授权用户的恶意访问、恶意应用软件的访问和互联网非授权实体的访问等。移动终端失去物理保护时，可能受到非授权用户的恶意访问。因此，移动终端操作系统应利用会话建立、会话锁定、会话解锁、数据备份、备份数据保护、防丢失等功能应对此类威胁，防范用户数据的泄露和丢失。移动终端操作系统应通过安全角色划分，把对用户数据、通信资源的访问授权管理职能赋予移动终端授权用户。移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术用户，以实现远程可信信息系统对移动终端的管