新版《信息安全技术-移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿-编制说明.doc
信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法
信息安全技术移动智能终端应用软件安全技术要求和测试评价方法信息安全技术移动智能终端应用软件安全技术要求和测试评价方法介绍移动智能终端应用软件的普及带来了便利和便捷,但也伴随着安全风险。
为了保障用户的信息安全和个人隐私,有必要对移动智能终端应用软件进行安全技术要求和测试评价。
安全技术要求以下列举了一些移动智能终端应用软件的安全技术要求:•数据加密:敏感信息应该进行加密存储和传输,例如用户密码、银行账号等。
•身份认证:用户登录应该采用安全可靠的身份认证方式,如密码、指纹、面部识别等。
•漏洞修复:及时修复已知漏洞,确保软件的安全性。
•权限管理:合理的权限管理可以避免恶意软件的滥用,用户应该有权选择授权哪些权限给应用程序。
•防护机制:防止恶意软件的安装和运行,可以采用黑名单、防病毒软件等方法。
•安全传输:用户在使用应用软件时,敏感数据的传输应该采用加密通信协议,如HTTPS。
测试评价方法为了更好地评价移动智能终端应用软件的安全性,可以采用以下测试评价方法:•静态分析:对应用软件的源代码进行静态分析,查找代码中的潜在安全漏洞。
•动态分析:通过模拟应用软件的运行环境,测试软件的安全性能,包括对抗病毒能力、恶意软件的检测等。
•安全审计:对应用软件的安全策略、身份认证、权限控制等进行审计,检查是否符合安全技术要求。
•渗透测试:以攻击者的角度,测试软件的可攻击性,发现可能的安全漏洞。
•用户反馈评价:用户对应用软件的评价和反馈也是评估安全性的重要指标,可以借助用户调查问卷、红队活动等方式进行评估。
结论移动智能终端应用软件的安全技术要求和测试评价方法对于保障用户信息安全至关重要。
只有不断提升软件的安全性,才能更好地保护用户的隐私和数据安全。
作为创作者,我们应该关注信息安全,并按照规范要求进行测试和评估,努力提供安全可靠的移动应用软件。
以下是更详细的信息安全技术要求和测试评价方法:信息安全技术要求1.数据保护:–敏感信息加密存储和传输;–数据备份与恢复机制;–数据完整性和可用性的保护。
移动智能终端安全能力技术要求YDT 2407-2021
目次前言 (II)引言 (V)1 范围 (3)2 规范性引用文件 (3)3 术语、定义和缩略语 (3)3.1 术语和定义 (3)3.2 缩略语 (4)4 移动智能终端安全能力框架及目标 (4)4.1 移动智能终端安全能力框架 (4)4.2 移动智能终端安全目标 (5)5 移动智能终端安全能力技术要求 (5)5.1 基本要求 (5)5.2 移动智能终端硬件安全能力要求 (6)5.3 移动智能终端操作系统安全能力要求 (7)5.4 移动智能终端外围接口安全能力要求 (10)5.5 移动智能终端应用层安全要求 (11)5.6 移动智能终端用户数据安全保护能力要求 (13)6 移动智能终端功能限制性要求 (14)7 移动智能终端安全能力分级 (14)7.1 概述 (14)7.2 安全能力分级 (14)附录 A (资料性附录)安全能力等级标识 (19)引言随着移动智能终端的广泛应用以及功能的不断扩展,其使用过程中的安全问题被越来越多的用户所关注。
近年来,恶意吸费、窃听、窃录、位置信息泄露等安全事件频发,使用户对移动智能终端的安全性产生顾虑,进而影响到移动智能终端和移动互联网应用的发展。
本标准的制定,旨在通过提高移动智能终端的自身的安全防护能力,防范移动智能终端上的各种安全威胁,避免用户的利益受到损害,同时防止移动智能终端对移动通信网络安全产生不利影响。
本标准的基本原则是:移动智能终端上发生的行为和应用要符合用户的意愿。
本标准并不规定具体的实现方法和措施,以利于创新和发展。
本标准从硬件安全能力要求、操作系统安全能力要求、外围接口安全能力要求、应用软件安全要求、用户数据安全保护能力要求5个层面对移动智能终端的安全能力提出了要求,并从基本的安全保障、实现难度、特殊安全能力等层面对安全能力进行了分级,以便于产品具有特定品质,便于消费者选择。
通过本标准一方面能够引导移动智能终端中的预置应用软件更加规范、安全;另一方面也能引导移动智能终端提高自身的安全防护能力,操作系统自身符合安全要求,并对下载的第三方应用进行安全管控;同时也能防范移动智能终端中预置恶意代码对网络造成安全影响。
信息安全技术 智能家居安全通用技术要求和测试评价方法 编制说明
《信息安全技术智能家居安全通用技术要求和测试评价方法》(征求意见稿)编制说明一、工作简况1、任务来源为了建立和完善国家信息安全标准体系,根据《关于通报全国信息安全标准化技术委员会2018年信息安全标准项目的通知》(信安秘字[2018]028号),制定本标准。
根据中移(杭州)信息技术有限公司的申请,全国信息安全标准化技术委员会于2018年在《关于通报全国信息安全标准化技术委员会2018年信息安全标准项目的通知》(信安秘字[2018]028号)下达了《信息安全技术智能家居安全通用技术要求》的标准制定任务,由中移(杭州)信息技术有限公司牵头承担标准制定工作,起草单位包括:中移(杭州)信息技术有限公司、中国移动通信集团有限公司、中国信息通信研究院、公安部第三研究所、国家计算机网络应急技术处理协调中心、北京京东尚科信息技术有限公司、联想控股股份有限公司、北京百度网讯科技有限公司、华为技术有限公司、中国网络安全审查技术与认证中心、小米科技有限责任公司、中国信息通信科技集团有限公司、杭州安恒信息技术股份有限公司。
2、主要起草单位和工作组成员本标准起草单位:中移(杭州)信息技术有限公司、中国移动通信集团有限公司、中国信息通信研究院、公安部第三研究所、国家计算机网络应急技术处理协调中心、北京京东尚科信息技术有限公司、联想(北京)有限公司、北京百度网讯科技有限公司、阿里巴巴集团控股有限公司、中国电子标准化技术研究院、中国软件评测中心、海信集团有限公司、北京奇虎科技有限公司、深圳市优点科技有限公司、广东欧珀移动通信有限公司、华为技术有限公司、中国网络安全审查技术与认证中心、小米科技有限责任公司、中国信息通信科技集团有限公司、杭州安恒信息技术股份有限公司。
主要起草人有:路晓明、张滨、智绪龙、许蓓蓓、邱勤、董靖宇、李轶、贾倩、王华景、乔喆、冯运波、李汝鑫、何清林、张艳、宁华、周毅、刘陶、王剑、王艳红、刘继顺、李笑如、包沉浮、孙科、方强、李世斌、孙宗臣、张屹、汪国平、李腾、姚一楠、衣强、王晖、申永波、李明菊、吴国燕、王辉。
信息安全技术移动智能终端个人信息保护技术要求
信息安全技术移动智能终端个人信息保护技术要求信息安全技术在移动智能终端个人信息保护方面扮演着至关重要的角色。
随着智能手机、平板电脑等移动智能终端的普及,个人信息泄露和数据安全问题日益突出,因此,如何有效保护用户的个人信息成为了各大科技公司和企业亟需解决的问题。
本文将从移动智能终端个人信息保护的技术要求、技术实现以及未来发展趋势等方面进行探讨。
一、技术要求1.数据加密在移动智能终端中,用户的个人信息存储在设备的内部存储器或者外部存储卡中,要求对这些数据进行加密保护。
数据加密技术可以有效防止数据在传输或存储过程中被窃取或篡改,保障用户的个人信息安全。
2.访问控制为了保护用户的个人信息,移动智能终端需要设置强大的访问控制机制,确保只有经过授权的用户才能够访问到相关的信息。
目前,智能终端设备多采用密码、指纹等生物特征识别技术进行访问控制,确保只有合法用户才能够访问到设备中的敏感信息。
3.安全通信移动智能终端在进行信息传递和通信过程中,需要采用安全通信技术,保障信息在传输过程中不被窃取或者篡改。
目前,SSL/TLS等安全通信协议被广泛应用于移动智能终端,确保用户在使用移动设备时的通信安全。
4.安全存储移动智能终端的操作系统和应用程序需要通过安全存储技术来保护用户的个人信息和敏感数据。
安全存储技术可以有效防止恶意程序或攻击者对设备中的数据进行窃取或篡改,保障用户信息在设备中的安全存储。
5.恢复与销毁移动智能终端需要具备数据恢复与销毁功能,当用户的设备丢失或者被盗时,能够及时远程锁定、清除设备中的敏感信息,避免个人信息泄露。
同时,对于设备的废弃和报废,还需要确保设备中存储的个人信息能够被完全销毁,避免被不法分子利用。
二、技术实现1.数据加密技术数据加密技术是信息安全技术中的重要组成部分。
移动智能终端可以通过使用对称加密、非对称加密等技术对存储在设备中的个人信息进行加密保护。
同时,对于设备的数据传输,可以通过SSL/TLS等安全通信协议对数据进行加密保护。
信息安全技术 移动智能终端个人信息保护技术要求
信息安全技术移动智能终端个人信息保护技术要求随着移动智能终端的普及,越来越多的个人信息被存储在手机、平板电脑等设备中,例如联系人、短信、照片、音频、视频等,这些信息对用户及其生活安全都起到了至关重要的作用。
然而,个人信息泄露的风险也逐渐增加。
因此,保护移动智能终端个人信息安全已成为当务之急。
本文将讨论移动智能终端个人信息保护技术的要求。
第一,强密码策略。
为了防止密码被破解,需要要求用户在创建密码时采用足够强度的密码策略,例如使用含有字母、数字、特殊符号等三种或以上元素的密码并定期更换密码。
第二,数据加密。
移动智能终端存储的数据需要通过可信的加密算法加密,使得即使终端被盗或遭受攻击,数据也不易被窃取和泄露。
第三,应用程序权限控制。
应用程序权限控制是应用在移动智能终端上的一项重要措施,可以确保应用在访问用户信息时得到用户的授权。
应用程序要明确告知用户所需获取的数据和操作类型,并获得用户的许可才能访问相关数据。
第四,升级及时。
设备的安全漏洞经常被广泛报道,因此在任何时候都保持操作系统和应用软件的最新版本十分重要。
这能够及时消除已知漏洞和弥补系统和软件可能存在的安全隐患。
第五,开启远程锁定/数据清除。
为了在移动智能终端遗失或被窃情况下保护用户信息的隐私和安全,需要开启远程锁定功能。
用户可以通过远程锁定功能要求在设备无法访问后自动锁定屏幕,防止数据泄露。
同时,也可以选择开启远程数据清除功能,以确保在设备被盗用或者丢失的情况下,数据不会落在他人手中。
第六,安装应用程序来源。
用户需要下载应用程序时,应尽量从官方应用商店下载,并注意查看安装应用程序的细节信息。
不要下载未知来源的应用程序并避免以管理员权限安装软件,以此防止恶意软件和病毒的入侵。
总的来说,移动智能终端个人信息保护技术的要求包括强密码策略、数据加密、应用程序权限控制、升级及时、开启远程锁定/数据清除功能以及安装应用程序来源等。
如果用户能够对移动智能终端的保护有一个清晰的认识,并采取适当的措施保证设备的安全,那么个人信息的安全也能得到有效的保障。
《信息安全技术移动智能终端操作系统安全测试评价方法》
《信息安全技术移动智能终端操作系统安全测试评价方法》《信息安全技术移动智能终端操作系统安全测试评价方法》编制说明工作简况任务来源2012年,经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)上海辰锐信息科技公司阿里巴巴网络技术有限公司2012年12月接到标准编制任务后随即组建标准编制组,编制组成员均具有丰富的移动智能终端安全测评经验、操作系统安全加固相关产品检测经验,以及标准编制经验;人员包括张艳、陆臻、俞优、陈妍、邹春明、赵婷、顾玮、胡亚兰、赵戈、李曦等;标准编制协作单位相关技术领域的研发负责人及主要研发人员参与标准的调研与内容研讨。
1.3.2制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料该标准编制过程中,主要参考了:GB17859-1999计算机信息系统安全保护划分准则GB/T18336.3-2015信息技术安全技术信息技术安全性评估准则第3部分:安全保障组件GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T25069-2010信息安全技术术语移动智能终端、操作系统安全加固相关产品及其技术资料1.3.4确定编制内容经标准编制组研究决定,以发改委专项测试要求为理论基础,以现有移动智能终端操作系统的发展动向为研究目标,以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术移动智能终端操作系统安全测试评价方法》标准的编制工作。
图1移动智能终端安全构成操作系统是移动智能终端的安全根基,通过对移动智能终端操作系统的安全风险分析,得到移动智能终端操作系统主要的安全机制应涵盖以下方面:1)应提供访问控制机制,限制对终端的非授权访问(如对系统资源如CPU指令、存储器、通信模块、设备驱动及系统内核等资源实现自主访问控制或强制访问控制,防止非法操作);2)应对系统资源和各类数据进行安全域隔离,对存储空间进行划分,不同存储空间用于存储不同的数据,不同进程所使用的空间和资源也应进行逻辑隔离(如采用沙盒和虚拟机技术);3)应建立数据的分类原则,设计安全级别,针对不同级别采用不同的安全机制。
工业和信息化部信息通信管理局公开征求对《关于进一步规范移动智能终端应用软件预置行为的通告》的意见
工业和信息化部信息通信管理局公开征求对《关于进一步规范移动智能终端应用软件预置行为的通告》的意见文章属性•【公布机关】工业和信息化部,工业和信息化部,工业和信息化部•【公布日期】2022.02.16•【分类】征求意见稿正文公开征求对《关于进一步规范移动智能终端应用软件预置行为的通告》的意见为进一步规范移动智能终端应用软件预置行为,提升移动互联网应用服务供给水平,工业和信息化部信息通信管理局会同国家互联网信息办公室网络安全协调局起草了《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》(见附件)。
现面向社会公开征求意见,请于2022年3月3日前反馈意见。
联系单位:工业和信息化部信息通信管理局联系电话:************传真:************邮箱:*****************.cn附件:关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)工业和信息化部信息通信管理局2022年2月16日附件关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)为进一步规范移动智能终端应用软件预置行为,提升移动互联网应用服务供给水平,构建更加安全、更有活力的产业生态,促进移动互联网繁荣发展,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国电信条例》和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号),现将有关事项通告如下:一、移动智能终端预置应用软件是指由移动智能终端生产企业(以下简称生产企业)预置,在移动智能终端主屏幕或辅助屏幕界面内存在用户交互入口,为满足用户不同的应用需求而提供的、可独立使用的软件程序。
二、移动智能终端预置应用软件应遵循依法合规、用户至上、安全便捷、最小必要的原则,按谁预置、谁负责的要求落实企业主体责任,依法维护用户知情权、选择权,保障用户合法权益。
三、生产企业应确保除基本功能软件外的预置应用软件均可卸载,并提供安全便捷的卸载方式供用户选择。
信息安全技术移动智能终端数据存储安全技术要求与测试评价方法
《信息安全技术移动智能终端数据存储安全技术要求与测试评价方法》编制说明一、任务来源根据国家标准化管理委员会2012年信息安全国家标准项目计划,国家标准《信息安全技术移动智能终端数据存储安全技术要求与测试评价方法》由中国移动通信研究院负责主办。
任务参加单位:北京智言金信信息技术有限公司、中科院研究生院委员会。
二、编制原则本标准是全新编制的标准,以自主编写的方式完成。
标准编制参考了《GB/T 20271-2006 信息安全技术信息系统通用安全技术要求》、《GB/T 17859-1999 计算机信息系统安全保护等级划分准则》、《YD/T 2407-2013 移动智能终端安全能力技术要求》《GB/T 20272-2006 信息安全技术操作系统安全技术要求》、《GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南》等国家、行业标准,在进行广泛调研、征求意见的基础上,同时借鉴国外先进理念和技术,以先进性、实用性、兼容性、可操作性为原则,完成国家标准《信息安全技术移动智能终端数据存储安全技术要求与测试评价方法》的研制。
三、主要工作过程1.成立专门标准编写组中国移动通信研究院于2012年筹建标准编制组,进行了前期研究工作。
2013年3月,由中国移动通信研究院牵头,北京智言金信信息技术有限公司、中科院研究生院委员会联合组成编制组,进行标准编写。
2.制定工作计划编制组首先根据调研和收集资料、完成草稿、征求意见稿、送审稿的工作流程,制定了相应的工作计划,并确定定期召开编制组人员会议或组内通报编制情况,以及时征求到意见和交流情况。
3.确定标准内容经编写组多次会议讨论之后,编写完成《信息安全技术移动智能终端数据存储安全技术要求与测试评价方法》标准草稿,“技术要求”部分包括安全框架、安全目标、数据存储安全等级划分、数据存储安全技术要求,“测试方法”部分包括基础级测试评价方法和增强级测试评价方法。
《信息安全技术-WEB应用防火墙安全技术要求与测试评价方法》编制说明
《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明1.编制背景1.1 项目背景随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类WEB应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,提供了极大的便利。
与此同时,信息安全的重要性也在不断提升。
近年来,政府、企业各类组织所面临的WEB应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等,给组织的信息网络和核心业务造成严重的破坏。
能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。
传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等,由于针对不同的网络安全问题,很难形成完善的防护网,且这些产品的很多功能又存在着冗余,往往造成处理性能和响应速度的下降。
以上这些都为WEB应用防火墙类产品带来了广泛的应用需求,同时也对WEB应用防火墙类产品的提供者提出了更高的要求。
近年来WEB应用防火墙类产品的数量增长迅速,市场不断扩大。
为了规范WEB应用防火墙的研发和应用,《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》,对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法,使得国内的检测机构根据该标准,能够对WEB应用防火墙进行标准化的测试和评价,从而保证测试评价结果的完整性和一致性;同时也可对WEB应用防火墙的开发者提供指导作用。
为此,上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会(以下简称:安标委)提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。
信息安全技术移动智能终端个人信息保护技术要求
信息安全技术移动智能终端个人信息保护技术要求随着移动智能终端的快速普及和使用,个人信息安全问题越来越受到大家的关注。
为了更好地保护用户的个人信息,信息安全技术移动智能终端个人信息保护技术提出了一些要求。
首先,个人信息应该得到加密保护。
对于移动智能终端存在的各种个人信息,如用户名、密码、手机号码、银行卡号等,必须采取加密技术进行保护,防止这些信息被窃取或泄露。
特别是一些应用软件和电商平台,应该在开发阶段就对用户的个人信息进行加密,确保信息传输安全。
其次,要求终端设备具备安全维护能力。
移动智能终端应该具备自我维护能力,能够自动对系统进行升级和修复安全漏洞。
同时,移动智能终端应该允许用户手动更新应用程序,避免安全隐患。
另外,移动智能终端应该有远程锁屏、远程删除、远程定位等防盗措施,以防止手机丢失或被盗。
其次,要求终端应用程序具备许可管理和安全审计机制。
应用程序的许可管理机制可以控制应用程序采集、储存或传输用户信息的范围和条件。
安全审计机制则能够监控应用程序对于用户信息的使用情况,防止数据滥用和资料泄露。
最后,要求移动智能终端有安全防护芯片。
安全防护芯片是一种硬件安全模块,能够对移动智能终端的系统操作和数据进行加密保护。
安全防护芯片可以通过加密算法和数字签名等技术,确保用户的信息在安全有序的网络环境下传输。
总之,信息安全技术的不断进步,移动智能终端的个人信息保护技术也不断得到完善。
我们应该认识到用户的个人信息保护是每个移动智能终端厂商、应用开发者和用户共同的责任,加强个人信息保护,确保信息安全是我们应该具备的意识。
信息安全技术—防火墙安全技术要求和测试评价方法
信息安全技术—防火墙安全技 术要求和测试评价方法
中华人民共和国国家标准
01 制定过程
03 内容范围 05 意义价值
目录
02 标准目次 04 引用文件
基本信息
《信息安全技术—防火墙安全技术要求和测试评价方法》(GB/T -2020)是2020年11月1日实施的一项中华 人民共和国国家标准,归口于全国信息安全标准化技术委员会。
2020年11月1日,国家标准《信息安全技术—防火墙安全技术要求和测试评价方法》(GB/T -2020)实施, 全部代替标准《信息安全技术—防火墙安全技术要求和测试评价方法》(GB/T -2005)、(GB/T -2015)、 (GB/T -2015)、墙安全技术要求和测试评价方法》(GB/T -2020)依据中国国家标准《标 准化工作导则—第1部分:标准的结构和编写》(GB/T 1.1-2009)规则起草。
修订情况
《信息安全技术—防火墙安全技术要求和测试评价方法》(GB/T -2020)以《信息安全技术—防火墙安全 技术要求和测试评价方法》(GB/T -2015)为主,整合了《信息安全技术—防火墙安全技术要求和测试评价方法》 (GB/T -2005)、《信息安全技术—防火墙安全技术要求和测试评价方法》(GB/T -2015)和《信息安全技 术—防火墙安全技术要求和测试评价方法》(GB/T -2016)的部分内容,与《信息安全技术—防火墙安全技术要 求和测试评价方法》(GB/T -2015)相比,除编辑性修改外主要技术变化如下:
信息安全技术 移动智能终端用户数据存储安全技术要求和测试评价方法
信息安全技术移动智能终端用户数据存储安全技术要求和测试评价方法下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!一、引言随着移动智能终端的普及,用户对数据安全的需求日益增强。
移动智能终端的移动互联网应用程序个人信息处理活动管理指南(编制说明2022)
国家标准《信息安全技术移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》(征求意见稿)编制说明一、工作简况1、任务来源根据国家标准化管理委员会2021年下达的国家标准制修订计划,《信息安全技术移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》由华为技术有限公司承办,计划号:XXXXXXXX-T-469。
该标准由全国信息安全标准化技术委员会归口管理。
2、标准编制的主要成员单位华为技术有限公司负责起草,中国电子技术标准化研究院、中国网络安全审查技术与认证中心、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京小米移动软件有限公司、荣耀终端有限公司、北京三星通信技术研究有限公司等单位共同参与了该标准的起草工作。
3、主要工作过程2020年12月,撰写组成立,召开第一次小组讨论会,明确本规范对象和主要内容,确定了以移动终端操作系统为对象,以操作系统上涉及的APP收集使用个人信息相关管控为主要内容,并分配了相关工作。
2021年1月,编制组在“四部委APP治理小组”的工作基础上,分析APP 在个人信息保护方面常见问题,梳理出可通过操作系统增强的问题点;分析、梳理近年来主流操作系统在个人信息保护方面的增强点。
2021年3月,起草标准草案。
2021年8月15日,华为技术有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心等共同组成标准编制组,召开该标准编制启动工作会议。
会上讨论了对标准撰写思路的想法和意见;2021年9月至11月,标准编制组讨论并修改国家标准《信息安全技术移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》(草案);2021年11月11日,TC260 SWG-BDS工作组在北京组织召开了组内专家评审会。
专家组听取了标准编制组的工作汇报,审阅了相关文档,质询了有关问题。
2021年12月至2022年3月,根据2021年第二次会议讨论意见、以及编制组成员线下反馈意见形成征求意见稿,并组织编制组成员讨论征求意见稿。
信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求编制说明
《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》编制说明一、任务来源随着移动互联技术的不断发展和使用,越来越多的单位使用移动终端设备进行业务访问,为了适应新技术的发展,加强对采用移动互联技术的等级保护对象的安全防护。
2014年,公安部十一局组织召开了4个领域12项标准的新技术研讨会,准备在云计算、移动互联、物联网、工业控制4个领域开展新技术新标准的制定工作。
其中,为了指导测评人员对采用移动互联技术的等级保护对象进行测试评估,准备开展《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》的标准制定。
2014年,公安部第三研究所联合国家信息中心、中国移动通信有限公司研究院及北京鼎普科技有限公司、北京洋浦伟业科技发展有限公司、东巽科技(北京)有限公司等单位向安标委申请制定《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》。
二、目的与意义国内近几年在部分行业领域针对移动终端制定了一些行业标准,如:《移动智能终端数据存储安全技术要求与测试评价方法》、《YD/T2408-2013 移动智能终端安全能力测试方法》、《YD/T 2407-2013 移动智能终端安全能力技术要求》、《中国金融移动支付客户端技术规范》等,2011年12月工信部发布了《移动互联网恶意程序监测与处置机制》等标准。
开展移动互联信息安全等级保护工作需要有统一的国家标准,因此,正在制定《信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求》。
为了评价等级保护对象是否符合《信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求》,有必要针对采用移动互联技术的等级保护对象制定等级保护测评要求。
通过参考国内外标准与移动互联的最佳实践,制定移动互联等级保护测评要求,对采用移动互联技术的等级保护对象进行安全等级保护测试评估的技术活动提出要求。
为评价等级保护对象是否符合移动互联安全扩展要求提供获取证据的途径和方法。
全国信息安全标准化技术委员会关于国家标准《信息安全技术边缘计算安全技术要求》征求意见稿征求意见的通知
全国信息安全标准化技术委员会关于国家标准《信息安全技术边缘计算安全技术要求》征求意见稿征求意
见的通知
文章属性
•【公布机关】全国信息安全标准化技术委员会,全国信息安全标准化技术委员会,全国信息安全标准化技术委员会
•【公布日期】2021.04.12
•【分类】征求意见稿
正文
关于国家标准《信息安全技术边缘计算安全技术要求》征求
意见稿征求意见的通知
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术边缘计算安全技术要求》征求意见稿。
为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。
并将意见于2021年06月11日前反馈给信安标委秘书处。
联系人:王姣136****5214****************
全国信息安全标准化技术委员会秘书处
2021年04月12日。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》编制说明(征求意见稿)1 工作简况1.1任务来源经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定移动智能终端应用软件安全技术要求和测试评价方法的国家标准。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部计算机信息系统安全产品质量监督检验中心(公安部第三研究所)负责主办。
1.2协作单位在接到《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》标准的任务后,公安部计算机信息系统安全产品质量监督检验中心立即与相关厂商进行沟通,并得到了多家业内知名厂商的积极参与和反馈。
经过层层筛选之后,最后确定由新能聚信(北京)科技有限公司、北京奇虎科技有限公司作为标准编制协作单位。
1.3主要工作过程1.3.1成立编制组2012年12月接到标准编制任务,组建标准编制组,由本检测中心、新能聚信及北京奇虎联合编制。
检测中心的编制组成员均具有资深的产品检测经验、有足够的标准编制经验、熟悉CC;其他厂商的编制成员均为移动智能终端应用软件的研发负责人及主要研发人员。
检测中心人员包括俞优、顾健、陈妍、陆臻、张笑笑、沈亮等。
1.3.2制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料该标准编制过程中,主要参考了:•GB 17859-1999 计算机信息系统安全保护划分准则•GB/T 18336.3-2015 信息技术安全技术信息技术安全性评估准则第3部分:安全保障组件•GB/T 20271-2006 信息安全技术信息系统通用安全技术要求•GB/T 25069-2010 信息安全技术术语1.3.4确定编制内容移动智能终端应用有着自身的特点,在测试策略上不能完全照搬传统应用软件的测试策略、方法和内容,需要分析其使用特点以及使用过程中可能存在的一些安全性隐患,针对这些隐患提出针对性的安全要求,可以有效提高移动智能终端应用软件的安全性和可靠性,从而保证终端用户的软件使用安全。
移动智能终端号称永远在线,可以随时联机公共网络和专用网络,并基本具有了桌面计算机所具有的功能。
终端应用软件多数是通过无线网络下载到终端用户的便携式设备上的,包括通过E-mail、Internet下载、多媒体通讯服务、WAP下载、红外或蓝牙传输、PC 同步及可移动存储介质获得并安装各种最新的软件(其典型应用见图1显示)。
图1 移动智能终端J2M2程序的应用过程然而,大部分智能终端用户并不将它看作一台计算机,并不认同终端和计算机一样存在巨大的安全风险,认为终端比PC机更加安全、可靠,而是将其当作一部安全和没有任何风险的通信设备,这给一些黑客直接或间接(例如通过互联网)的破坏用户利益创造了可乘之机。
终端应用软件在不同设备都可通过网络进行下载和执行。
如果没有正确的防范机制, 用户将面临程序被破坏,数据丢失和信息窃取等安全威胁。
目前威胁移动智能终端安全的主要形式包括通过蓝牙、红外、彩信等方式传递的手机病毒, 垃圾邮件/短信(包括诈骗短信),骚扰电话,恶意程序,黑客,木马,手机后门,监听软件/私密数据窃取等。
移动智能终端应用软件在使用过程中往往存在一些安全性隐患,其面临的常见安全风险如下所述:1)故意行为非受权访问:即使设备不丢失,局外人会使用盗取的密码进人设备,导致数据被修改或数据丢失。
电子窃听和修改数据:局外人可能会窃取网络上传输或转换的数据,并导致数据的更改。
敏感信息泄露:软件在未经用户许可的情况下,泄露和破坏用户个人信息和敏感数据。
后门和陷门:主要是指用于调试用的人口,如直接存取硬编码的口令。
逻辑炸弹、木马、病毒。
病毒和蠕虫。
2)管理疏忽如设备丢失,导致存储在设备内、SIM卡和存储卡内信息被别人存取,以及通过设备接收的信息如email等相关信息。
3)用户故障比如删除关键数据或输人错误。
4)技术故障导致数据中断、删除和不可存取。
5)其他其他不可预期和预防的失效和事件。
移动智能终端应用软件在设计、开发过程中如果存在导致上述安全漏洞的缺陷和弱点,将影响用户数据和信息的安全。
此外,由于在移动智能终端上运行的应用软件更是由众多独立的软件开发商或开发组织甚至是个人所研发的,其开发过程缺乏行之有效的安全监管。
综上所述,移动智能终端应用软件不应局限于功能的正常运行,而应对移动智能终端应用软件安全评估需求分析,确立应用软件安全性衡量指标,主要考虑软件应用的安全性和应用程序的自身安全。
研究范畴主要包括:软件授权、访问控制等安全功能建模与测试研究;形式化安全测试方法的研究、基于风险的安全测试及其在软件工程实践中的应用、模糊测试、语法测试、基于属性的安全测试方法研究。
1.3.5编制工作简要过程按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2013年1月,完成了对移动终端应用软件安全相关技术文档和前期基础调研。
编制组充分调研了移动智能终端应用软件在使用过程中面临的安全隐患,借鉴传统PC平台的安全防护思路,结合移动智能终端的特点,提出了移动终端应用软件安全防护要求。
2013年3月完成了标准草案的编制工作。
以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准草案。
2013年5月,编制组在检测中心内部对标准草案进行了讨论,修改完成后形成草稿(第一稿)。
2013年6月,编制组以邮件方式征求了新能聚信、奇虎360等参与编制厂商的意见。
编制组根据反馈意见,积极修改,形成了草稿(第二稿)。
2013年12月,编制组以现场研讨方式征求了信大捷安、上海辰锐和上海交大等单位的意见。
编制组根据反馈意见进行修改,形成了草稿(第三稿)。
2014年3月,CCSA在成都召开了标准工作组会议,与会专家对文本进行了认真审议,并提出了相关意见和建议。
编制组根据专家意见进行修改完善。
2014年10月,编制组在检测中心广泛征求意见,编制组根据意见进行了修改,形成了征求意见稿(第一稿)。
2014年12月,CCSA在北京召开了标准工作组会议,与会专家对文本进行了认真审议,并提出了相关意见和建议。
编制组根据专家意见进行修改完善,形成了征求意见稿(第二稿)。
2015年4月,编制组以邮件方式征求了金山软件、华为等单位的意见,编制组根据意见进行了修改,形成了征求意见稿(第三稿)。
2016年3月,CCSA在北京召开了标准工作组会议,与会专家对文本进行了认真审议,并提出了相关意见和建议。
编制组根据专家意见进行修改完善,形成了送审稿。
2016年6月,WG6工作组在北京召开了标准工作组会议,与会专家对文本进行了认真审议,并提出了相关意见和建议。
编制组根据专家意见进行修改完善。
1.3.6起草人及其工作标准编制组具体由俞优、顾健、陈妍、陆臻、张笑笑、沈亮等人组成。
俞优全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;陆臻和张笑笑主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;沈亮负责标准校对审核等工作;顾健主要负责标准编制过程中的各项技术支持和整体指导。
2 标准主要内容2.1编制原则为使标准的内容从一开始就与国家标准保持一致,符合我国的实际情况,遵从我国有关法律、法规的规定。
编制过程中遵循下述几个原则:(1)符合国家的有关政策法规要求;(2)与已颁布实施的相关标准相协调;(3)充分考虑我国移动智能终端应用软件的现状;(4)适度考虑目前处于发展成熟过程中的技术,保持一定的前瞻性。
2.2编制思路标准将从安装与卸载、访问权限控制、数据安全、运行安全等方面规范移动智能终端应用软件的开发、设计。
一、安装与卸载的安全为了防止移动智能终端应用软件对原有系统内的应用造成不当的影响或破坏,使其得到认可并被安装,应用软件应具备供应者或开发者的数字签名信息, 其安装过程只能运行在特定环境中且不能破坏其运行环境,需要检查相应的授权和数字签名。
卸载时应将其安装进去的文件全部卸载,自动运行权限需要得到用户的明确授权等。
二、访问权限控制移动智能终端应用软件的权限,包括网络访问、信息发送、自动启动、媒体录制、读取\写入用户数据等权限,关系到用户个人信息和隐私的保护,需要对应用软件的权限和访问安全机制进行要求。
三、数据安全从密码的显示、存储,敏感数据处理的预期行为,数据备份和恢复、安全性提示等等方面进行要求,确保用户数据的安全性。
四、运行安全从程序的实现安全、稳定性和容错性等方面进行要求,保证程序的正常工作。
2.3标准内容2.3.1标准结构本标准的编写格式和方法依照GB/T1.1-2009 标准化工作导则第一部分:标准的结构和编写规则。
本标准主要结构包括如下内容:1.范围2. 规范性引用文件3. 术语和定义4. 安全技术要求5. 测试评价方法2.3.2主要内容2.3.2.1范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围,所引用的其它标准情况,及以何种方式引用,术语和定义部分明确了该标准所涉及的一些术语。
2.3.2.3 安全技术要求一、安全要求1) 安装与卸载的安全安装要求:应具备供应者或开发者的数字签名信息,其安装过程只能运行在特定环境中且不能破坏其运行环境, 需要检查相应的授权和数字签名。
——应能正确安装到相关终端上,并生成相应的图标;——应包含数字签名信息、软件属性信息;——应用软件启动前应得到用户的许可;——不应对系统软件和其他应用软件造成影响。
卸载要求:卸载时应将其安装进去的文件全部卸载,自动运行权限需要得到用户的明确授权等。
——安装的文件应能完全移除;——修改的系统配置信息(如注册表)应能复原;——卸载用户使用过程中产生的数据时应有提示;——不应影响其他软件的功能。
2) 鉴别机制身份鉴别:若终端应用软件本身涉及敏感数据,则应对访问用户提供有效的身份鉴别机制。
——在用户访问应用业务前,终端应用软件对其身份进行鉴别,并提供鉴别失败处理措施;——具备登录超时后的锁定或注销功能。
口令安全机制:若终端应用软件使用过程中涉及用户口令,应提供完善的口令保护机制。
——在使用过程中不应以明文形式显示和存储;——不应默认保存用户上次的账号及口令信息;——具备口令强度检查机制;——具备口令时效性检查机制;——修改或找回口令时,具备验证机制。
3) 访问控制基于用户的控制:若终端应用软件本身涉及敏感数据,则应对访问用户提供有效的授权机制。
——授权用户访问的内容不能超出授权的范围;——限制应用用户账号的多重并发会话。