《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿编制说明.docx

1、信息安全技术移动智能终端应用软件安全技术要求和测试评价方法征求意见稿编制说明信息安全技术-移动智能终端应用软件安全技术要求和测试评价方法征求意见稿-编制说明信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法编 制 说 明（征求意见稿）1工作简况1.1任务来源经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定移动智能终端应用软件安全技术要求和测试评价方法的国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）负责主办。1.2协作单

2、位在接到信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法标准的任务后，公安部计算机信息系统安全产品质量监督检验中心立即与相关厂商进行沟通，并得到了多家业内知名厂商的积极参与和反馈。经过层层筛选之后，最后确定由新能聚信(北京)科技有限公司、北京奇虎科技有限公司作为标准编制协作单位。1.3主要工作过程1.3.1成立编制组2012年12月接到标准编制任务，组建标准编制组，由本检测中心、新能聚信及北京奇虎联合编制。检测中心的编制组成员均具有资深的产品检测经验、有足够的标准编制经验、熟悉CC；其他厂商的编制成员均为移动智能终端应用软件的研发负责人及主要研发人员。 检测中心人员包括俞优、顾健、

3、陈妍、陆臻、张笑笑、沈亮等。1.3.2制定工作计划 编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。1.3.3参考资料该标准编制过程中，主要参考了：GB 17859-1999 计算机信息系统安全保护划分准则GB/T 18336.32015 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保障组件GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 250692010 信息安全技术 术语1.3.4确定编制内容移动智能终端应用有着自身的特点，在测试策略上不能完全照搬传统应用软件的测试策略、方法和内容，需要分析其使用特点以及使用过

4、程中可能存在的一些安全性隐患，针对这些隐患提出针对性的安全要求，可以有效提高移动智能终端应用软件的安全性和可靠性，从而保证终端用户的软件使用安全。移动智能终端号称永远在线,可以随时联机公共网络和专用网络,并基本具有了桌面计算机所具有的功能。终端应用软件多数是通过无线网络下载到终端用户的便携式设备上的,包括通过E-mail、Internet下载、多媒体通讯服务、WAP下载、红外或蓝牙传输、PC同步及可移动存储介质获得并安装各种最新的软件（其典型应用见图1显示）。图1 移动智能终端J2M2程序的应用过程然而,大部分智能终端用户并不将它看作一台计算机,并不认同终端和计算机一样存在巨大的安全风险,认为

5、终端比PC机更加安全、可靠,而是将其当作一部安全和没有任何风险的通信设备,这给一些黑客直接或间接（例如通过互联网）的破坏用户利益创造了可乘之机。终端应用软件在不同设备都可通过网络进行下载和执行。如果没有正确的防范机制, 用户将面临程序被破坏，数据丢失和信息窃取等安全威胁。目前威胁移动智能终端安全的主要形式包括通过蓝牙、红外、彩信等方式传递的手机病毒, 垃圾邮件/短信（包括诈骗短信）,骚扰电话,恶意程序,黑客,木马,手机后门,监听软件/私密数据窃取等。移动智能终端应用软件在使用过程中往往存在一些安全性隐患，其面临的常见安全风险如下所述：1)故意行为非受权访问：即使设备不丢失,局外人会使用盗取的密

6、码进人设备,导致数据被修改或数据丢失。电子窃听和修改数据：局外人可能会窃取网络上传输或转换的数据，并导致数据的更改。敏感信息泄露：软件在未经用户许可的情况下，泄露和破坏用户个人信息和敏感数据。后门和陷门：主要是指用于调试用的人口,如直接存取硬编码的口令。逻辑炸弹、木马、病毒。病毒和蠕虫。2)管理疏忽如设备丢失,导致存储在设备内、SIM卡和存储卡内信息被别人存取,以及通过设备接收的信息如email等相关信息。3)用户故障比如删除关键数据或输人错误。4)技术故障导致数据中断、删除和不可存取。5)其他其他不可预期和预防的失效和事件。移动智能终端应用软件在设计、开发过程中如果存在导致上述安全漏洞的缺陷

7、和弱点，将影响用户数据和信息的安全。此外，由于在移动智能终端上运行的应用软件更是由众多独立的软件开发商或开发组织甚至是个人所研发的，其开发过程缺乏行之有效的安全监管。综上所述，移动智能终端应用软件不应局限于功能的正常运行，而应对移动智能终端应用软件安全评估需求分析，确立应用软件安全性衡量指标，主要考虑软件应用的安全性和应用程序的自身安全。研究范畴主要包括：软件授权、访问控制等安全功能建模与测试研究；形式化安全测试方法的研究、基于风险的安全测试及其在软件工程实践中的应用、模糊测试、语法测试、基于属性的安全测试方法研究。1.3.5编制工作简要过程按照项目进度要求，编制组人员首先对所参阅的产品、文档

8、以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2013年1月，完成了对移动终端应用软件安全相关技术文档和前期基础调研。编制组充分调研了移动智能终端应用软件在使用过程中面临的安全隐患，借鉴传统PC平台的安全防护思路，结合移动智能终端的特点，提出了移动终端应用软件安全防护要求。2013年3月完成了标准草案的编制工作。以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草案。 2013年5月，编制组在检测中心内部对标准草案进行了讨论，修改完成后形成草稿（第一稿）。2013年6月，编制组以邮件方式征求了新能

9、聚信、奇虎360等参与编制厂商的意见。编制组根据反馈意见，积极修改，形成了草稿（第二稿）。2013年12月，编制组以现场研讨方式征求了信大捷安、上海辰锐和上海交大等单位的意见。编制组根据反馈意见进行修改，形成了草稿（第三稿）。2014年3月，CCSA在成都召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。2014年10月，编制组在检测中心广泛征求意见，编制组根据意见进行了修改，形成了征求意见稿（第一稿）。2014年12月，CCSA在北京召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改

10、完善，形成了征求意见稿（第二稿）。2015年4月，编制组以邮件方式征求了金山软件、华为等单位的意见，编制组根据意见进行了修改，形成了征求意见稿（第三稿）。2016年3月，CCSA在北京召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善，形成了送审稿。2016年6月，WG6工作组在北京召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。1.3.6起草人及其工作标准编制组具体由俞优、顾健、陈妍、陆臻、张笑笑、沈亮等人组成。俞优全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度

11、、人员的安排；陆臻和张笑笑主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；沈亮负责标准校对审核等工作；顾健主要负责标准编制过程中的各项技术支持和整体指导。2标准主要内容2.1编制原则为使标准的内容从一开始就与国家标准保持一致，符合我国的实际情况，遵从我国有关法律、法规的规定。编制过程中遵循下述几个原则:（1）符合国家的有关政策法规要求；（2）与已颁布实施的相关标准相协调；（3）充分考虑我国移动智能终端应用软件的现状；（4）适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。2.2编制思路标准将从安装与卸载、访问权限控制、数据安全、运行安全等方面

12、规范移动智能终端应用软件的开发、设计。一、安装与卸载的安全3. 术语和定义 4. 安全技术要求5. 测试评价方法2.3.2主要内容2.3.2.1范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。2.3.2.3 安全技术要求一、安全要求1) 安装与卸载的安全安装要求：应具备供应者或开发者的数字签名信息，其安装过程只能运行在特定环境中且不能破坏其运行环境, 需要检查相应的授权和数字签名。应能正确安装到相关终端上，并生成相应的图标；应包含数字签名信息、软件属性信息；应用软件启动前应得到用户的许可；

13、不应对系统软件和其他应用软件造成影响。卸载要求：卸载时应将其安装进去的文件全部卸载，自动运行权限需要得到用户的明确授权等。安装的文件应能完全移除；修改的系统配置信息（如注册表）应能复原；卸载用户使用过程中产生的数据时应有提示；不应影响其他软件的功能。2) 鉴别机制身份鉴别：若终端应用软件本身涉及敏感数据，则应对访问用户提供有效的身份鉴别机制。在用户访问应用业务前，终端应用软件对其身份进行鉴别，并提供鉴别失败处理措施；具备登录超时后的锁定或注销功能。口令安全机制：若终端应用软件使用过程中涉及用户口令，应提供完善的口令保护机制。在使用过程中不应以明文形式显示和存储；不应默认保存用户上次的账号及口令

14、信息；具备口令强度检查机制；具备口令时效性检查机制；修改或找回口令时，具备验证机制。3) 访问控制基于用户的控制：若终端应用软件本身涉及敏感数据，则应对访问用户提供有效的授权机制。授权用户访问的内容不能超出授权的范围；限制应用用户账号的多重并发会话。对应用软件的限制：终端应用软件访问终端数据应得到终端操作系统用户明确的许可。未得到许可前不应访问终端数据；未得到许可前不应修改、删除终端数据。4) 数据安全数据存储安全：终端应用软件不应以明文形式存储敏感数据，防止数据被未授权获取。数据删除：终端应用软件若具备数据删除功能，在删除数据前应明确提示用户，并由用户再次确认是否删除数据。备份和恢复：终端应

15、用软件若具备备份和恢复功能，安全机制如下：备份机制应完整有效，且备份数据应保密存储；恢复数据在使用前应校验其可用性、完整性。5) 运行安全实现安全：应保证程序自身的安全性。不应设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口；具备安全机制防止程序被反编译、反调试。稳定性：应保证应用软件的稳定运行，避免出现功能失效等类似现象。不应造成终端崩溃或异常的情况；避免出现失去响应、闪退等现象；应允许随时停止、退出。容错性：应能处理不可预知的错误操作，不应影响程序的正常工作。升级能力：支持应用软件的更新；且至少采取一种安全机制，保证升级的时效性，例如自动升级，更新通知等手段。二、安全

16、保障要求该部分对产品的开发和使用文档的内容进行了要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定。2.4编制的背景和意义根据中国互联网信息中心（CNNIC）对于手机应用使用率的统计，可显示出当前移动智能终端应用发展的趋势。 图2手机网络应用使用率1)即时通信应用即时通信是使用率最高的应用，当前即时通讯工具发展特点：其一，众多互联网企业布局智能终端即时通讯工具；其二，智能终端即时通讯工具功能不断增强，能实现集声音、文字、图像、视频的低成本高效率的通讯服务，并与社交应用不断融合，比如邮箱、微博等产品，帮助用户整合和管理关系链，来满足用户移动社交的新需求；最后，智能终端即时通讯工具平台化，

17、将其他应用不断引入平台，提供更多附加服务，寻找新的盈利点。2)网络搜索应用随着智能终端的不断普及，各大搜索引擎网站不断推出、优化智能终端搜索客户端，提升了用户移动端的搜索体验，促使更多用户使用。另一方面，与传统的互联网搜索相比，智能终端搜索有较好的便利性。用户随时随地查找信息的需求越来越强烈，智能终端的搜索迎合这种需求。随着终端智能化的趋势，未来的搜索应用呈现语音化、个性化和基于地理位置服务等发展趋势。3)微博应用微博是使用率增幅最大的智能终端应用，智能终端的微博体现了微博内容的即时性和发挥微博应用的自媒体优势，用户体验较好，流失率较低；另一方面，智能终端微博客户端功能不断增强，例如增加LBS

18、交友、社会化阅读、兴趣社区和通过客户端直接购物等，提升了智能终端用户使用微博的黏性和使用体验。4)网络视频应用网络视频是智能终端娱乐类应用的增长亮点。在三网融合的大背景下，三屏合一为大势所趋，网络视频是最主要应用之一。视频应用快速发展的原因包括：其一，目前智能手机价格持续下降、操作系统高度智能化，同时越来越多的家庭搭建起WiFi环境，这些因素为视频应用发展提供了用户基础和硬件支持。其二，国内视频网站纷纷推出移动客户端，抢占无线市场，同时部分视频网站加强与电信运营商的合作，手机视频内容不断丰富。在视频网站、运营商等多方积极推动下，用户使用手机终端在线看视频的习惯正在逐步养成。对于移动互联网来说，

19、移动智能终端正逐渐发展成为一个巨大的新兴市场，也逐步改变着人类的生活习惯和传统观念，为个人和企业带来了便利和效率。随着智能终端的普及，其问题也日益凸显。一方面，互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络安全威胁向移动互联网快速蔓延，导致智能终端面临着安全威胁。另一方面，智能终端和用户个人利益关系更加密切，恶意吸费、用户信息窃取、诱骗欺诈也随之出现。因此，对移动智能终端应用软件产品的标准和测评方法进行研究，对其安全级别进行等级保护划分，并在此基础上为相关企业和部门提供安全性测评服务，是国家信息化发展战略的重要组成部分，是提升企业竞争力的坚实基础，是发展节约型服务机构的迫切需要，是用

20、户放心体验新技术的技术技术保障，具有非常重要的现实意义。根据移动智能终端应用软件面临的风险特点，从标准要求的安装与卸载的安全性、手机应用程序权限管理、数据安全性、通讯安全性和人机接口安全性等方面进行测试和验证,具体测试策略可包括：1)验证被测试收集应用软件是否满足预定的安全准则和要求，检查软件的防止灾难故障能力；2)硬件和软件在各种故障模式下的测试,对硬件和软件在降级配置时的处理和保护能力测试；3)各种保护能力测试, 包括容错操作能力测试、操作数据安全性保护测试、通讯数据安全性保护测试、对重要数据抗非法访问能力测试、权限管理保护测试；4)多系统、多平台上运行的软件人机接口的安全性测试；5)测试

21、过程中严格执行JAVA安全域的划分, 并进行相应的签名或测试；6)注重安装测试的重要性，严格按照安装及卸载的安全性要求,设计测试用例。2.5编制的目的在标准制定过程中，对移动智能终端应用软件的安全提出规范化的要求，标准可用于该类产品的研制、开发、测试、评估和产品的采购，有利于规范化、统一化。有效地提高移动智能终端应用软件的安全性。3与有关的现行法律、法规和强制性国家标准的关系建议本标准推荐性实施。本标准不触犯国家现行法律法规，不与其他强制性国标相冲突。4重大分歧意见的处理经过和依据本标准编制过程中，如标准编制组内部出现重大意见分歧时，由标准编制组组长组织召开内部调解会解决；如标准编制单位之间出

22、现重大意见分歧，由标准编制承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决。如征求意见过程中，各厂家，特别是各部委意见与标准编制组之间出现重大意见分歧，由全国信息安全标准化技术委员会组织召开协调会解决，并认真听取专家意见进行修改。5国家标准作为强制性国家标准或推荐性国家标准的建议 建议将本标准作为国家标准在全国推荐性实施。6贯彻国家标准的要求和措施建议该国标为生产、测试和评估移动智能终端应用软件提供指导性意见，建议在全国推荐性实施。在具体贯彻实施该标准时，首先可要求不同的产品测试机构使用该标准作为移动智能终端应用软件的测试依据，由此可以进一步推动生产厂商以该标准为依据，更全面地应用到产品的研发生产过程中，有效地提高应用软件的安全性。标准编制组2016年5月