GB/T 34976-2017 信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法

ICS35.040

L80(3B

中华人民共和国国家标准

GB/T34976—2017

信息安全技术移动智能终端操作

系统安全技术要求和测试评价方法

Informationsecuritytechnology—Securitytechnicalrequirementsandtestingand

evaluationapproachesforoperatingsystemofsmartmobileterminals

2017-11-01发布2018-05-01实施

发布

GB/T34976—2017

目次

前言in

i范围1

2规范性引用文件1

3术语和定义1

4移动智能终端操作系统安全性描述1

5安全技术要求2

5.1安全功能要求2

5.1.1身份鉴别2

5.1.2访问控制3

5.1.3安全审计3

5.1.4用户数据安全3

5.1.5数据安全4

5.1.6存储介质管理4

5.1.7应用软件安全管理4

5.1.8用户策略管理4

5.1.9运行安全保护4

5.1.10升级能力5

5.1.11超时锁定或注销5

5.1.12运行监控5

5.1.13可靠时钟5

5.1.14可用性5

5.2安全保障要求5

5.2.1开发5

5.2.2指导性文档6

5.2.3生命周期支持6

5.2.4测试7

5.2.5脆弱性评定7

6测试评价方法7

6.1安全功能要求测试7

6.1.1身份鉴别7

6.1.2访问控制9

6.1.3安全审计10

6.1.4用户数据安全11

6.1.5数据安全12

6.1.6存储介质管理13

6.1.7应用软件安全管理13

6.1.8用户策略管理14

T

GB/T34976—2017

6.1.9运行安全保护14

6.1.10升级能力14

6.1.11超吋锁定或注销15

6.1.12运行监控15

6.1.13可靠吋钟15

6.1.14可用性16

6.2安全保障要求测试16

6.2.1开发16

6.2.2指导性文档17

6.2.3生命周期支持18

6.2.4测试19

6.2.5脆弱性评定20

D

GB/T34976—2017

■1Z■—1—

刖百

本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:公安部第三研究所(公安部计算机信息系统安全产品质量监督检验中心)、中国电

子技术标准化研究院、中国信息安全研究院有限公司、上海交通大学、北京元心科技有限公司、上海辰锐

信息科技公司、阿里巴巴北京软件服务有限公司、中国信息通信研究院。

本标准主要起草人：张艳、俞优、顾健、陆臻、陈妍、杨晨、许玉娜、沈亮、谷大武、邵旭东、王文杰、

白晓媛、姚一楠、顾流。

m

GB/T34976—2017

信息安全技术移动智能终端操作

系统安全技术要求和测试评价方法

1范围

本标准规定了移动智能终端操作系统的安全技术要求和测试评价方法。

本标准适用于移动智能终端操作系统的生产及测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T25069—2010信息安全技术术语

GB/T30284-2013移动通信智能终端操作系统安全技术要求（EAL2级）

3术语和定义

GB/T18336.3—2015,GB/T25069—2010.GB/T30284—2013界定的以及下列术语和定义适用

于本文件。

3.1

移动智能终端smartmobileterminal

接入移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。

3.2

移动智能终端操作系统operatingsystemofsmartmobileterminal

移动智能终端最基本的系统软件，控制和管理终端上的各种硬件和软件资源，并提供应用程序开发

的接口。

注：一般包括移动智能终端图形交互系统GUI、核心功能库、应用框架、安全套件、业务模型组件、SDK、核心业务功

能、基础应用软件等多层架构和软件实体。

3.3

移动智能终端操作系统安全securityofoperatingsystemofsmartmobileterminal

移动智能终端操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

4移动智能终端操作系统安全性描述

移动智能终端操作系统的目的是向用户提供良好的操作界面，便于用户使用移动智能终端的功能。

移动智能终端操作系统通过身份鉴别、访问控制、安全审计等安全功能策略，实现对移动智能终端软、硬

件的管理，确保移动智能终端的安全运行。其中，硬件包括:通信设备（蜂窝移动通信设备、无线局域网

设备），终端信源传感器（麦克风、摄像头、定位导航系统），终端输入输出设备（红外接口、蓝牙、USB接

口、SDI接口）等；软件包括存储用户信息的文件（电话号码本、通信记录、短消息、电子邮件、记事本

1

GB/T34976—2017

等）以及相关应用软件。

移动智能终端操作系统保护的资产包括：

——用户数据:包含位置信息、账户信息、通信记录、通讯录等。

-移动智能终端敏感资源:包含通信资源、外设接口，如摄像镜头、位置传感器等。

——移动智能终端操作系统安全功能数据:包含鉴别数据、安全属性等。

此外，移动智能终端操作系统自身的重要数据也是受保护的资产。

5安全技术要求

5.1安全功能要求

5.1.1身份鉴别

5.1.1.1用户标识

应具备用户标识功能，具体技术要求如下:

a)凡需进入移动智能终端操作系统的用户，宜先建立用户标识（账号）；

b)仅允许具有用户标识的移动智能终端操作系统用户访问系统安全功能数据等重要数据；

c)在移动智能终端操作系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID

等之间的一致性。

5.1.1.2鉴别技术手段

应具备用户鉴别功能，具体技术要求如下:

a)在用户执行任何与移动智能终端操作系统安全功能相关的操作之前对用户进行鉴别；

b)至少支持口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别（如指纹、虹膜）/数字证书鉴别/

图形鉴别等机制中的一种进行身份鉴别，并在每次用户登录系统吋进行鉴别。

5.1.1.3鉴别信息保护

应具备鉴别信息保护的能力，具体技术要求如下:

a)进行用户身份鉴别时，仅将最少的反馈（如：输入的字符数，鉴别的成功或失败）提供给被鉴别

的用户；

b)在用户执行鉴别信息修改操作之前，应经过身份鉴别；

c)鉴别信息应是不可见的，应采用加密方法对鉴别信息的存储进行安全保护。

5.1.1.4鉴别失败处理

应通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该

值吋应采取的措施来实现鉴别失败的处理。

5.1.1.5用户-主体绑定

应具备用户-主体绑定功能，具体技术要求如下：

a）将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户；

b）将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务的

要求者用户。

2

GB/T34976—2017

5.1.2访问控制

5.1.2.1访问控制属性

应按以下要求设计和实现访问控制属性:

a)允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问；

b)主体的访问控制属性至少应包括:读、写、执行等；

c)客体的访问控制属性应包含可分配给主体的读、写和执行等权限。

5.1.2.2访问授权规则

应按以下要求设计和实现访问授权规则:

a)授权的范围应包括主体和客体及相关的访问控制属性，同吋应指出主体和客体对这些规则应

用的类型；

b)对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访

问权限；

c)客体的拥有者对其拥有的客体应具有全部控制权，允许客体拥有者把该客体的控制权分配给

其他主体。

5.1.3安全审计

5.1.3.1审计内容

应对与移动智能终端操作系统安全相关的以下事件生成审计日志：系统运行记录、报警记录、操作

日志、网络流量记录、用户行为记录、应用软件运行日志、配置信息等；审计日志的内容至少应包括事件

发生的日期、吋间、主体标识、事件类型描述和结果（成功或失败）、关联的进程。

5.1.3.2审计保护

应按以下要求设计和实现访问审计保护能力:

a)能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏；

b)提供授权管理员一个受保护的打开和关闭审计的机制，该机制能选择和改变审计事件，并在系

统工作吋处于默认状态；

c)仅允许授权管理员访问审计日志。

5.1.3.3审计跟踪管理

应按以下要求设计和实现审计跟踪管理：

a）操作系统用户应能够定义审计跟踪的阈值；

b）当为审计系统分配的存储空间耗尽吋，应能按操作系统用户的设置决定采取的措施，包括：报

警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。

5.1.4用户数据安全

5.1.4.1用户数据保护

应按以下要求设计和实现用户数据保护：

a）保证用户数据不被未授权查阅或修改；

b）对应用软件获取用户数据行为进行自动分析、告警和阻断。

3

GB/T34976—2017

5.1.4.2用户数据完整性

应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护。

5.1.4.3用户数据保密性

应对用户敏感数据采用一定强度的加密储存或采用隐藏技术，以减小移动终端丢失所造成的损失。

5.1.4.4剩余信息保护

应按以下要求设计和实现剩余信息保护：

a）确保非授权用户不能查找使用后返还系统的存储介质中的信息内容；

b）确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容。

5.1.5数据安全

应按以下要求设计和实现数据安全保护能力：

a）对重要的系统数据（如配置和控制信息、告警和事件数据等）进行存储保护，保证重要系统数据

不被泄漏或篡改；

b）具有用户数据、系统数据的安全备份与恢复功能；

c）在数据的存储空间达到阈值吋能够向移动智能终端操作系统用户进行报警；

d）当存储空间将要耗尽吋，采取一定措施保证重要的数据不丢失。

5.1.6存储介质管理

应按以下要求设计和实现存储介质管理：

a）对移动智能终端中的存储设备（包括智能芯片、存储卡等）进行有效监测和统一管理；

b）在单用户系统中，系统应防止用户进程影响系统的运行；

c）在多用户系统中，系统应确保多用户间釆取一定隔离机制，防止用户数据的非授权访问；

d）在多系统情况下，应确保多系统间釆取一定隔离机制，防止系统数据的非授权访问。

5.1.7应用软件安全管理

应对第三方应用程序的安装、运行、卸载进行安全规范：

a）支持用户对应用软件的安装进行授权或阻止；

b）支持用户修改、指定应用软件的安装位置；

c）支持用户对应用软件使用的终端资源（包含通信资源和外设接口）和终端数据进行确认；

d）在应用软件卸载时删除由其生成的资源文件、配置文件和用户数据。

5.1.8用户策略管理

应提供以下用户策略管理：

a）对移动智能终端用户提供初始化策略；

b）支持授权用户对用户策略的添加、删除、修改操作；

c）支持用户策略查询、导入、导出策略等操作。

5.1.9运行安全保护

应提供以下运行安全保护：

a）系统在设计时不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的

入口和文档中未说明的任何模式的入口；

4

GB/T34976—2017

b）将移动智能终端操作系统程序与用户程序进行隔离；

c）防止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所

有的虚存空间进行读、写操作。

5.1.10升级能力

应提供以下升级能力：

a）支持操作系统的更新升级；

b）至少采取一种安全机制，保证升级过程的安全性；

c）保证升级后前的系统安全属性与升级前保持一致；

d）在升级失败吋，系统应能够回滚，并保证系统完整性，且安全属性与升级前一致；

e）至少采取一种安全机制，保证升级的时效性，例如自动升级，更新通知等手段；

f）支持用户获取、统一管理并运用补丁对移动智能终端操作系统的漏洞进行修补。

5.1.11超时锁定或注销

应按以下要求设计和实现超吋处理能力：

a）具有登录超时锁定或注销功能；

b）提供用户设定最大超时吋间的功能；

c）在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新

操作；

d）提供用户主动锁定或注销的功能。

5.1.12运行监控

应提供对移动智能终端设备运行状态（比如CPU使用率、内存占用率、存储空间等）、网络连接、系

统环境、敏感数据访问状态、敏感功能使用状态的监测。

5.1.13可靠时钟

应提供手工设定系统吋钟和远程吋钟服务自动吋钟同步两种方式的系统吋钟设置功能。

5.1.14可用性

5.1.14.1稳定性

正常工作状态下，移动智能终端操作系统应能稳定运行，功耗低、内存占用少，不应造成移动智能终

端死机现象。

5.1.14.2兼容性