注册

国家标准计划《移动终端安全保护技术要求》由 TC260(全国信息安全标准化技术委员会)归口上报及执行 ,主管部门为国家标准化管理委员会

主要起草单位 工业和信息化部电信研究院北京邮电大学华为技术有限公司中国移动通信集团公司研究院

目录

基础信息

计划号
20151592-T-469
制修订
制订
项目周期
24个月
下达日期
2015-08-18
申报日期
2015-01-20
公示开始日期
2015-06-05
公示截止日期
2015-06-20
标准类别
安全
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国信息安全标准化技术委员会
执行单位
全国信息安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

《移动设备安全技术要求》目标:依据《GB/T 18336-201X信息技术 安全技术 信息技术安全性评估准则》通用准则,使用 GB/T 18336中规定的保护轮廓的结构形式,制定移动设备的(EAL1)级安全技术要求。

本标准的制定参考NIAP发布的PP《Protection Profile of Mobile Fundamentals》1.1版本。

本标准旨在GB/T18336 中规定的EAL1级安全要求组件的基础上,适当增加和增强了部分安全要求组件,有效保证移动设备能够抵御中等强度攻击。

《移动设备安全技术要求》将填补国内移动设备安全技术标准的空白,为移动设备采购者、生产厂商、评估机构提供了一个多方认可的,通用的移动设备设计开发安全要求和评估准则,移动设备厂商可参考本标准进行移动设备的设计、开发,评估机构可依据本标准开展对移动设备的评估,移动设备采购者可采信基于本标准的评估结果。

范围和主要技术内容

移动设备具备以下特征:由硬件平台和系统软件组成,提供无线连接,包含的应用软件可提供安全信息、Email、Web、VPN连接、VOIP等功能,访问受保护的企业网络、企业数据和应用,或者与其他移动设备进行通信等。 移动设备的类型包含:智能手机、PAD等具有类似特征的个人手持移动通信设备,个人电脑和专用终端不在本标准中所规定的“移动设备”覆盖范围内。 《移动设备安全技术要求》包含以下内容 1.安全问题定义 分析移动设备所面临的威胁,确定移动设备所面临的安全问题。 2.安全目标 根据移动设备的安全问题定义,提出相适应的安全目的,以保护与移动设备相关的信息及系统资源。主要安全目的有: 设备访问、管理员角色、会话锁定、安全管理、用户数据备份、标识与鉴别 应用软件控制、网络信息流控制 3.安全功能要求、 根据安全目标,确定移动设备的安全功能要求: 包括标识与鉴别类、用户数据保护类、操作系统访问类、安全管理类、系统安全功能保护类、安全审计类、密码支持类、可信信道类等。 4.安全保证要求 根据本标准的适用范围,考虑到安全投入的成本,选择安全保证级别EAL 1,以保证标准叙述的安全功能要求能够正确实施、运行、维护及持续使用,并使安全功能得到保护,免受非可信主体的干扰和破坏,安全功能不被旁路等。

国内外简要情况说明

信息技术通用评估准则CC为描述信息安全提供了一种通用的语言和格式,被广泛用于 IT产品和系统的安全性评估,并获得了广泛的认可。随着移动设备所面临的风险越越高,移动设备的安全性愈加受到企事业单位的重视,在这种情况下,黑莓、苹果、三星等世界一流终端设备厂商为拓展市场空间,自觉向CC靠拢,2013年在NIAP框架下共同参与制定了移动设备的基础性保护轮廓《Profile Protection of Mobile Device Fundamentals》,该PP为移动设备类产品的评估提供了通用评估准则。黑莓、三星、苹果等厂商也纷纷通过了基于该PP的测试,获得了CC EAL1的认可。 我国针对移动设备的安全研究也取得了一些成就,2013年发布了基于GB/T 18336的国标《移动终端操作系统安全技术要求》。工信部电信研究院牵头起草的《移动智能终端安全能力技术要求和测试方法》《移动终端芯片安全技术要求和测试方法》也于2013年11月1日开始实施。以上标准的发布和实施极大促进了我国移动设备安全性的提高。 然而,我国缺乏以移动设备作为评估对象的保护轮廓标准,移动设备采购者、生产厂商、评估机构缺乏一个多方认可的,通用的移动设备设计开发安全要求和评估准则,急需以GB/T 18336中规定的保护轮廓的形式,为移动设备的安全功能和保障措施建立一个信任级别,制定移动设备基础性保护轮廓,规范移动设备厂商的设计、开发行为,为移动设备的评估提供准则,为基于CC的移动设备采购提供评估依据。