《信息安全技术移动终端安全保护技术要求-编制说明(共5页).doc》由会员分享,可在线阅读,更多相关《信息安全技术移动终端安全保护技术要求-编制说明(共5页).doc(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上信息安全技术 移动终端安全保护技术要求编制说明一、 任务来源根据国家标准化管理委员会2014年下达的国家标准制修订计划,国家标准信息安全技术 移动终端安全保护技术要求由工业和信息化部电信研究院负责主办。二、 编制原则依据GB/T 18336-201X信息技术 安全技术 信息技术安全性评估准则通用准则,使用 GB/T 18336中规定的保护轮廓的结构形式,制定移动终端安全保护技术要求。本标准的制定参考NIAP发布的PPProtection Profile of Mobile Fundamentals2.0版本,结合我国当前移动智能终端的发展现状,针对当前存在的问题,在进
2、行广泛调研、征求意见的基础上,完成国家标准信息安全技术 移动终端安全保护技术要求的研制。本标准旨在GB/T18336 中规定的EAL1级安全要求组件的基础上,适当增加和增强了部分安全要求组件,有效保证移动终端能够抵御中等强度攻击。该标准的制定能够为移动终端采购者、生产厂商、评估机构提供了一个多方认可的,通用的移动终端设计开发安全要求和评估准则,移动终端厂商可参考本标准进行移动终端的设计、开发,评估机构可依据本标准开展对移动终端的评估,移动终端采购者可采信基于本标准的评估结果。同时,为使标准能够满足指导移动终端安全标准体系的建设,规范移动终端相关设计、开发、测试、评估等工作的科学开展,提高标准的
3、可操作性,在标准制定过程中,力求做到符合国家的有关政策法规要求、与已颁布实施的相关标准相协调、与移动智能终端相关的检测要求相适应;并适度考虑目前处于发展成熟过程中的技术,保持一定的前瞻性。三、 主要工作过程(一) 标准制定的主要工作过程如下:1) 2014年12月,标准编制工作组开始启动,项目组调研、分析了国内外关于移动终端安全保护技术要求的编写方法,确定了标准的编制思路。2) 2015年1月,项目组研究了相关参考标准的文章组织结构、表达方法以及移动终端安全保护技术要求的基本结构和特点,初拟了标准文稿的大纲。3) 2015年2月,项目组前往北京邮电大学进行交流,介绍标准的写作思路和写作内容,征
4、求相关专家的意见,以便保证标准文稿的合理性、正确性和完备性。4) 2015年3月,召开项目组内部会议,北邮、中国移动、华为等单位的专家共同对草案多次进行商议,修改,形成信息安全技术 移动终端安全保护技术要求标准草案(初稿)。5) 2015年3月18日,提交WG6/CCSA TC8 WG2第43次会议讨论,通过征求意见稿。项目组汇报了标准制定思路,递交了标准草案。WG6/CCSA TC8 WG2第43次会议对本文稿形成结论:文稿按WG6/CCSA TC8 WG2第43次会议意见修改后继续在TC8征求意见。6) 2015年4月5月,多次召开项目组内部工作会议,根据专家意见商讨,修改标准文稿,形成信
5、息安全技术 移动终端安全保护技术要求标准草案(第一稿)。7) 2015年6月12日,参加了全国信息安全标准化技术委员会组织的重点项目评审会。参会代表对本标准的编制思路、文档结构、编制草案进行评审并提出修改意见。8) 2015年6月,多次召开项目组内部工作会议,根据专家意见商讨,修改标准文稿,形成信息安全技术 移动终端安全保护技术要求标准草案(第二稿)。9) 2015年6月25日,提交WG6/CCSA TC8 WG1&WG2第20次会议讨论,会上项目组介绍了WG6/CCSA TC8 WG2第43次会议意见和项目专家评审会会议意见的处理情况。10) 2015年7月10月,多次召开项目组内部工作会议
6、,根据专家意见商讨,修改标准文稿,形成信息安全技术 移动终端安全保护技术要求标准草案(第三稿)。11) 2015年11月13日,提交WG6/CCSA TC8 WG2第45次会议讨论,会上项目组介绍了WG6/CCSA TC8 WG1&WG2第20次会议意见处理情况。WG6/CCSA TC8 WG2第45次会议对本文稿形成结论:文稿按WG6/CCSA TC8 WG2第45次会议意见修改后可提交TC260。12) 2016年6月14号,提交文稿到全国信息安全标准化技术委员会2016年第一次工作组“会议周”(TC8/WG6)讨论。“会议周”(TC8/WG6)对本文稿形成结论:文稿按“会议周”(TC8/
7、WG6)会议意见修改后可形成征求意见稿征求意见。(二) 标准征求意见的落实情况如下:在标准的编制讨论过程中,参会专家一共提了13条意见,采纳了10条,解释了3条。具体见意见汇总处理表。四、 标准的主要内容及确定内容的依据(一) 本标准的主要内容信息安全技术移动终端安全保护技术要求规定了通用的设计开发安全要求和评估准则,适用于移动智能终端涉及的设计、开发、测试和评估。标准定义移动终端具备以下特征:由硬件平台和系统软件组成,提供无线连接,包含的应用软件可提供安全信息、Email、Web、VPN连接、VOIP等功能,访问受保护的网络、数据和应用,或者与其他移动终端进行通信等。移动终端的类型包含:智能
8、手机、PAD等具有类似特征的个人手持移动通信终端,个人电脑和专用终端不在本标准中所规定的“移动终端”覆盖范围内。本标准主要框架如下:1 范围2 规范性引用文件3 术语、定义和缩略语4 移动终端概述5 安全问题定义6.1 假设6.2 威胁6 安全目的7.1. TOE安全目的7.2. 环境安全目的7 安全功能要求8 安全保证要求9 基本原理参考文献(二) 本标准在确定主要内容时主要基于如下几个方面:1) 移动终端自身的特征移动终端由硬件平台和系统软件组成,提供无线连接,包含的应用软件可提供安全信息、Email、Web、VPN连接、VOIP等功能,访问受保护的网络、数据和应用,或者与其他移动终端进行
9、通信等。2) 移动终端的安全目标;根据移动终端的安全问题定义,提出相适应的安全目的,以保护与移动终端相关的信息及系统资源。安全目的主要有:终端访问、管理员角色、会话锁定、安全管理、用户数据备份、标识与鉴别、应用软件控制、网络信息流控制等。3) 安全功能要求根据安全目标,确定移动终端的安全功能要求,包括标识与鉴别类、用户数据保护类、操作系统访问类、安全管理类、系统安全功能保护类、安全审计类、密码支持类、可信信道类等。4) 安全保证要求根据本标准的适用范围,考虑到安全投入的成本,保证标准叙述的安全功能要求能够正确实施、运行、维护及持续使用,并使安全功能得到保护,免受非可信主体的干扰和破坏,安全功能
10、不被旁路等。五、 与相关法律法规及国家有关规定、国内相关标准的关系1) 与相关法律法规及国家有关规定的关系移动终端智能化让移动终端的处理能力不断增强,存储的信息越来越多,提供的应用越来越丰富,与此同时移动智能终端面临的安全风险越来越多,每一个安全事件造成的危害越来越大。与此同时,移动终端越来越多地涉及商业秘密和个人隐私等敏感信息。随着移动智能终端的大面积普及,其安全问题不但会影响个人用户的安全,而且会影响移动互联网产业的发展,还可能会导致企事业国家安全面临巨大威胁,因此,移动智能终端的安全问题已经成为用户、企业、国家关心的重大问题。2012年12月第十一届全国人民代表大会常务委员会第三十次会议
11、通过关于加强网络信息保护的决定,决定从公民个人电子信息保护出发,对治理垃圾电子信息、网络身份管理以及网络服务提供者和网络用户的义务与责任、政府有关部门的监管职责等作出了明确规定。2013年4月,工业和信息化部基于电信条例、电信设备进网管理办法有关规定,发布了关于加强移动智能终端管理的通知,提出移动智能终端应当符合移动智能终端安全能力技术要求通信行业标准的一级安全能力要求,并要求生产企业不得在移动智能终端中预置具有以下性质的应用软件:一是未向用户明示并经用户同意,擅自收集、修改用户个人信息的;二是未向用户明示并经用户同意,擅自调用终端通信功能,造成流量消耗、费用损失、信息泄露等不良后果的;三是影
12、响移动智能终端正常功能或通信网络安全运行的;四是含有中华人民共和国电信条例禁止发布、传播的信息内容的;五是其他侵害用户个人信息安全和合法权益以及危害网络与信息安全的。该通知要求生产企业应当按照相关标准对产品进行改进完善,以提高移动智能终端安全能力。在大量移动终端接入政府、企业网络的情况下,移动终端的安全问题在威胁个人用户安全的同时,进一步影响了企事业单位、乃至国家的安全。如何有效评估移动终端的安全,已经成为当前用户、机构、国家关心的热点。本标准通过研究制定移动终端安全保护技术要求,为移动终端采购者、生产厂商、评估机构提供一个多方认可的、通用的移动终端设计开发安全要求和评估准则规范,移动终端厂商
13、可参考本标准进行移动终端的设计、开发,评估机构可依据本标准开展对移动终端的评估,移动终端采购者可采信基于本标准的评估结果。2) 与相关国际标准的关系目前国内外对于基于计算机系统的信息安全研究较多,但是对于移动智能终端安全的研究都处于起步阶段,而移动智能终端的安全问题与计算机系统的信息安全问题还有很大的差异,因此需要对移动智能终端安全技术进行全新的分析,形成针对移动智能终端所面临的特有的安全风险的评估准则规范。本标准制定将参考NIAP发布的PPProtection Profile of Mobile Fundamentals,为移动设备采购者、生产厂商、评估机构提供一个多方认可的,通用的移动设备设计开发安全要求和评估准则规范,提高移动智能终端整体的安全性。六、 有关问题的说明本标准规定了移动终端安全保护技术要求,适用于移动终端涉及的设计、开发、测试和评估。建议本标准以推荐性标准发布。现阶段移动智能终端的评估、检测由国家批准的检测机构实施,建议相关机构及行业主管部门依据本标准制定相关行业标准并执行。七、 有关专利的说明本标准不涉及专利。信息安全技术移动终端安全保护技术要求标准编制组 二一六年六月专心-专注-专业