路径: 主页 > GB/T > 第207页 > GB/T 30284-2020 | 标准编号 | GB/T 30284-2020 (GB/T30284-2020) | | 中文名称 | 信息安全技术 移动通信智能终端操作系统安全技术要求 | | 英文名称 | Information security techniques - Security technical requirements for operating system on smart mobile terminal | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 49,411 | | 发布日期 | 2020-04-28 | | 实施日期 | 2020-11-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 30284-2020: 信息安全技术 移动通信智能终端操作系统安全技术要求
GB/T 30284-2020 英文名称: Information security techniques -- Security technical requirements for operating system on smart mobile terminal
1 范围
本标准规定了移动通信智能终端(以下简称移动终端)操作系统的安全功能要求和达到EAL2、
EAL3和EAL4保障级的安全保障要求。
本标准适用于移动终端操作系统产品的设计、开发、测试和采购。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般
模型
GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能
组件
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2010 信息安全技术 术语
3 术语、定义和缩略语
3.1 术语和定义
GB/T 18336.1-2015及GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1.1
管理员
一个授权用户,拥有管理部分或全部移动终端操作系统安全功能的权限,同时可拥有旁路部分移动
终端操作系统安全策略的特权。
3.1.2
应用软件
移动终端操作系统之外,向用户提供服务功能的软件。
3.1.3
鉴别数据
用于验证用户所声称身份的信息。
3.1.4
授权用户
依据安全策略可执行某项操作的用户。
3.1.5
资源
一组有限的逻辑或物理实体。
注:操作系统为用户、主体和客体分配或管理资源,如存储空间、电源、CPU、无线通信设备等。
3.1.6
会话
用户与TSF的一段交互。
注:会话建立受控于多种因素,如用户鉴别、对TOE访问的时间和方法及允许建立会话的最大数等。
3.1.7
移动通信智能终端
能接入移动通信网,提供应用软件开发接口,并能安装和运行第三方应用软件的移动终端设备。
3.1.8
TOE安全功能
正确执行SFR应依赖的TOE的所有硬件、软件和固件的组合功能。
3.1.9
可信信道
TSF同远程可信IT产品能在必要的信任基础上进行通信的一种通信手段。
3.1.10
可信路径
用户和TSF能在必要的信任基础上进行通信的一种通信手段。
3.1.11
TSF数据
实施移动终端操作系统安全功能所依赖的数据。
3.1.12
用户数据
由用户产生或为用户服务的数据。
3.2 缩略语
下列缩略语适用于本文件。
API 应用编程接口
CM 配置管理
EAL 评估保障级
IP 互联网协议
IT 信息技术
PP 保护轮廓
SFP 安全功能策略
SFR 安全功能要求
ST 安全目标
TOE 评估对象
TSF TOE安全功能
TSFI TSF接口
4 概述
4.1 移动终端操作系统描述
移动终端操作系统是运行在智能移动终端上的系统软件,是智能移动终端的组成部分,用于控制、
管理移动终端上的硬件、软件和固件,提供用户操作界面和应用软件编程接口(API)。
移动终端操作系统应具备下述特征:
a) 运行在智能移动终端上;
b) 支持多个用户角色;
c) 支持应用软件安装;
d) 应用软件通过操作系统访问数据、传感器及无线通信资源;
e) 支持基于互联网协议的网络通信。
4.2 移动终端操作系统安全特征
移动终端操作系统需要抵御的威胁主要来自非授权用户的访问、授权用户的恶意访问、恶意应用软
件的访问和互联网非授权实体的访问等。
移动终端失去物理保护时,可能受到非授权用户的恶意访问。因此,移动终端操作系统应利用会话建立、会话锁定、会话解锁、数据备份、备份数据保护、防丢失等功能应对此类威胁,防范用户数据的泄露和丢失。
移动终端操作系统应通过安全角色划分,把对用户数据、通信资源的访问授权管理职能赋予移动终
端授权用户。移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术用户,以实现远程可信信息系统对移动终端的管理。移动终端授权用户可能有旁路或部分旁路移动终端操作系统安全机制的特权,应通过划分角色对授权用户的权限加以限制,并通过审计对授权用户的操作行为进行记录和跟踪。
移动终端操作系统应具备数据传输保护、完整性校验等安全特性维系与应用软件责任担保者之间
的信任传递链条,抵御恶意软件的安装。同时移动终端操作系统应通过实施访问控制策略限制应用软
件的访问权限,使应用软件对用户数据、通信资源、传感器的访问均被访问控制策略覆盖。
移动终端操作系统应对IP网络信息实施信息流控制策略,过滤无法鉴别、未经授权的IP网络数据
包,保护移动终端的带宽资源、话费和电源能量。
移动终端操作系统及其安全功能自身也应得到保护,移动终端安全架构应保证移动终端操作系统
不受不可信用户、不可信主体的干扰和破坏。
移动终端操作系统部分安全功能的实现还应得到密码服务的支持,这些安全功能包括:标识与鉴
别、可信信道等。
移动终端操作系统应具备的安全功能如下:
a) 对用户、应用、进程等进行唯一标识;
b) 对用户和远程IT实体进行鉴别;
c) 执行访问控制和网络信息流控制策略;
d) 执行应用软件限制策略;
e) 执行设备安全管理,即具有可配置的安全和管理策略,实现远程可信信息系统对移动终端的安
全管理;
f) 执行访问授权管理,即管理员能根据需要初始化、配置、修改应用软件的访问权限;
g) 对用户行为审计。
5 安全问题定义
5.1 资产
应保护的评估对象资产:
---TSF数据(如鉴别数据、安全属性、访问控制列表、安全配置数据等信息);
---用户数据(如用户身份标识、位置信息、账户信息、通信记录、通讯录等信息);
---敏感资源(包含通信资源、外设资源,如摄像头、位置传感器等)。
注:ST作者宜根据具体的应用情况细化对资产的描述。
5.2 安全威胁
5.2.1 数据传输窃听(T.EAVESDROP)
恶意用户或进程可能监听或修改移动终端操作系统之间或者移动终端操作系统与远程可信IT产
品间传递的用户数据或TSF数据。
5.2.2 安全功能失效(T.TSF_COMPROMISE)
恶意用户或进程通过攻击手段非法地浏览、修改或删除TSF数据或可执行代码。这可能让恶意用
户或进程获得移动终端操作系统的配置信息,或可能导致移动终端操作系统的安全功能对于数据资产
保护的安全机制不再正常工作。
5.2.3 授权用户恶意行为
授权用户因安全意识薄弱或误操作,对移动终端操作系统进行不正确地配置,或授权用户恶意利用
权限进行非法操作,使移动终端安全受到威胁。
5.2.4 非授权网络流量
未授权外部IT实体向移动终端操作系统发送网络数据或接收经由移动终端操作系统传输的网络
数据。
5.2.5 残余信息利用
恶意用户或进程可能利用移动终端操作系统残留信息的处理缺陷,在执行过程中对未删除的残留
信息进行利用,以获取敏感信息或滥用移动终端操作系统的安全功能。
5.2.6 恶意软件
恶意软件可能通过伪装成授权应用或进程访问用户数据和系统敏感资源。
5.2.7 非授权访问
非授权用户或进程访问移动终端操作系统的安全功能数据和用户数据,并对安全功能数据和用户
数据进行恶意操作。
5.2.8 重放攻击
非授权用户利用所截获的授权用户信息,重新提交给移动终端操作系统,以假冒授权用户访问移动
终端操作系统的功能和数据。
5.2.9 会话冒用
非授权用户可以利用不被使用的会话,假冒授权用户对移动终端操作系统的功能和数据产生威......
|