信息安全技术移动终端安全保护技术要求-编制说明
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术移动终端安全保护技术要求》
编制说明
一、任务来源
根据国家标准化管理委员会2014年下达的国家标准制修订计划,国家标准《信息安全技术移动终端安全保护技术要求》由工业和信息化部电信研究院负责主办。
二、编制原则
依据《GB/T 18336-201X信息技术安全技术信息技术安全性评估准则》通用准则,使用GB/T 18336中规定的保护轮廓的结构形式,制定移动终端安全保护技术要求。本标准的制定参考NIAP发布的PP《Protection Profile of Mobile Fundamentals》2.0版本,结合我国当前移动智能终端的发展现状,针对当前存在的问题,在进行广泛调研、征求意见的基础上,完成国家标准《信息安全技术移动终端安全保护技术要求》的研制。本标准旨在GB/T18336 中规定的EAL1级安全要求组件的基础上,适当增加和增强了部分安全要求组件,有效保证移动终端能够抵御中等强度攻击。该标准的制定能够为移动终端采购者、生产厂商、评估机构提供了一个多方认可的,通用的移动终端设计开发安全要求和评估准则,移动终端厂商可参考本标准进行移动终端的设计、开发,评估机构可依据本标准开展对移动终端的评估,移动终端采购者可采信基于本标准的评估结果。
同时,为使标准能够满足指导移动终端安全标准体系的建设,规范移动终端相关设计、开发、测试、评估等工作的科学开展,提高标准的可操作性,在标准制定过程中,力求做到符合国家的有关政策法规要求、与已颁布实施的相关标准相协调、与移动智能终端相关的检测要求相适应;并适度考虑目前处于发展成熟过程中的技术,保持一定的前瞻性。
三、主要工作过程
(一)标准制定的主要工作过程如下:
1)2014年12月,标准编制工作组开始启动,项目组调研、分析了国内外关于移动终
端安全保护技术要求的编写方法,确定了标准的编制思路。
2)2015年1月,项目组研究了相关参考标准的文章组织结构、表达方法以及移动终
端安全保护技术要求的基本结构和特点,初拟了标准文稿的大纲。
3)2015年2月,项目组前往北京邮电大学进行交流,介绍标准的写作思路和写作内
容,征求相关专家的意见,以便保证标准文稿的合理性、正确性和完备性。
4)2015年3月,召开项目组内部会议,北邮、中国移动、华为等单位的专家共同对
草案多次进行商议,修改,形成《信息安全技术移动终端安全保护技术要求》标
准草案(初稿)。
5)2015年3月18日,提交WG6/CCSA TC8 WG2第43次会议讨论,通过征求意见
稿。项目组汇报了标准制定思路,递交了标准草案。WG6/CCSA TC8 WG2第43
次会议对本文稿形成结论:文稿按WG6/CCSA TC8 WG2第43次会议意见修改后
继续在TC8征求意见。
6)2015年4月~5月,多次召开项目组内部工作会议,根据专家意见商讨,修改标准
文稿,形成《信息安全技术移动终端安全保护技术要求》标准草案(第一稿)。
7)2015年6月12日,参加了全国信息安全标准化技术委员会组织的重点项目评审会。
参会代表对本标准的编制思路、文档结构、编制草案进行评审并提出修改意见。
8)2015年6月,多次召开项目组内部工作会议,根据专家意见商讨,修改标准文稿,
形成《信息安全技术移动终端安全保护技术要求》标准草案(第二稿)。
9)2015年6月25日,提交WG6/CCSA TC8 WG1&WG2第20次会议讨论,会上项
目组介绍了WG6/CCSA TC8 WG2第43次会议意见和项目专家评审会会议意见的
处理情况。
10)2015年7月~10月,多次召开项目组内部工作会议,根据专家意见商讨,修改标准
文稿,形成《信息安全技术移动终端安全保护技术要求》标准草案(第三稿)。
11)2015年11月13日,提交WG6/CCSA TC8 WG2第45次会议讨论,会上项目组介
绍了WG6/CCSA TC8 WG1&WG2第20次会议意见处理情况。WG6/CCSA TC8
WG2第45次会议对本文稿形成结论:文稿按WG6/CCSA TC8 WG2第45次会议
意见修改后可提交TC260。
12)2016年6月14号,提交文稿到全国信息安全标准化技术委员会2016年第一次工
作组“会议周”(TC8/WG6)讨论。“会议周”(TC8/WG6)对本文稿形成结论:文稿
按“会议周”(TC8/WG6)会议意见修改后可形成征求意见稿征求意见。
(二) 标准征求意见的落实情况如下:
在标准的编制讨论过程中,参会专家一共提了13条意见,采纳了10条,解释了3条。具体见意见汇总处理表。
四、标准的主要内容及确定内容的依据
(一) 本标准的主要内容
《信息安全技术移动终端安全保护技术要求》规定了通用的设计开发安全要求和评估
准则,适用于移动智能终端涉及的设计、开发、测试和评估。
标准定义移动终端具备以下特征:由硬件平台和系统软件组成,提供无线连接,包含的应用软件可提供安全信息、Email、Web、VPN连接、VOIP等功能,访问受保护的网络、数据和应用,或者与其他移动终端进行通信等。移动终端的类型包含:智能手机、PAD等具有类似特征的个人手持移动通信终端,个人电脑和专用终端不在本标准中所规定的“移动终端”覆盖范围内。
本标准主要框架如下:
1范围
2规范性引用文件
3术语、定义和缩略语
4移动终端概述
5安全问题定义
6.1假设
6.2威胁
6安全目的
7.1.TOE安全目的
7.2.环境安全目的
7安全功能要求
8安全保证要求
9基本原理
参考文献
(二) 本标准在确定主要内容时主要基于如下几个方面:
1) 移动终端自身的特征
移动终端由硬件平台和系统软件组成,提供无线连接,包含的应用软件可提供安全信息、Email、Web、VPN连接、VOIP等功能,访问受保护的网络、数据和应用,或者与其他移动终端进行通信等。
2) 移动终端的安全目标;
根据移动终端的安全问题定义,提出相适应的安全目的,以保护与移动终端相关的信息及系统资源。安全目的主要有:终端访问、管理员角色、会话锁定、安全管理、用户数据备份、标识与鉴别、应用软件控制、网络信息流控制等。
3) 安全功能要求
根据安全目标,确定移动终端的安全功能要求,包括标识与鉴别类、用户数据保护类、