GB/T 30284-2020 信息安全技术 移动通信智能终端操作系统安全技术要求

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

犐犆犛３５．０４０

犔８０

中华人民共和国国家标准

／—

犌犅犜３０２８４２０２０

代替／—

ＧＢＴ３０２８４２０１３

信息安全技术移动通信智能终端

操作系统安全技术要求

—

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狋犲犮犺狀犻狌犲狊

狔狇

犛犲犮狌狉犻狋狋犲犮犺狀犻犮犪犾狉犲狌犻狉犲犿犲狀狋狊犳狅狉狅犲狉犪狋犻狀狊狊狋犲犿狅狀狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾

狔狇狆犵狔

２０２００４２８发布２０２０１１０１实施

国家市场监督管理总局

发布

国家标准化管理委员会

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

目次

前言…………………………Ⅲ

１范围………………………１

２规范性引用文件…………………………１

３术语、定义和缩略语………………………１

３．１术语和定义…………………………１

３．２缩略语………………２

４概述………………………３

４．１移动终端操作系统描述……………３

４．２移动终端操作系统安全特征………………………３

５安全问题定义……………４

５．１资产…………………４

５．２安全威胁……………４

５．３组织安全策略………………………５

５．４假设…………………５

６安全目的…………………５

６．１移动终端操作系统安全目的………………………５

６．２环境安全目的………………………６

７安全要求…………………７

７．１安全功能要求………………………７

７．２安全保障要求………………………１９

８基本原理…………………３４

８．１安全目的基本原理…………………３４

８．２安全要求的基本原理………………３７

８．３组件依赖关系………………………４１

参考文献……………………４５

Ⅰ

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

信息安全技术移动通信智能终端

操作系统安全技术要求

１范围

本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到ＥＡＬ２、

和保障级的安全保障要求。

ＥＡＬ３ＥＡＬ４

本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

２规范性引用文件

。，

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

／—信息技术安全技术信息技术安全评估准则第部分：简介和一般

ＧＢＴ１８３３６．１２０１５１

模型

／—信息技术安全技术信息技术安全评估准则第部分：安全功能

ＧＢＴ１８３３６．２２０１５２

组件

／—信息技术安全技术信息技术安全评估准则第部分：安全保障组件

ＧＢＴ１８３３６．３２０１５３

／—信息安全技术术语

ＧＢＴ２５０６９２０１０

３术语、定义和缩略语

３．１术语和定义

／—及／—界定的以及下列术语和定义适用于本文件。

ＧＢＴ１８３３６．１２０１５ＧＢＴ２５０６９２０１０

３．１．１

管理员犪犱犿犻狀犻狊狋狉犪狋狅狉

一个授权用户，拥有管理部分或全部移动终端操作系统安全功能的权限，同时可拥有旁路部分移动

终端操作系统安全策略的特权。

３．１．２

应用软件犪犾犻犮犪狋犻狅狀狊狅犳狋狑犪狉犲

狆狆

移动终端操作系统之外，向用户提供服务功能的软件。

３．１．３

鉴别数据犪狌狋犺犲狀狋犻犮犪狋犻狅狀犱犪狋犪

用于验证用户所声称身份的信息。

３．１．４

授权用户犪狌狋犺狅狉犻狕犲犱狌狊犲狉

依据安全策略可执行某项操作的用户。

１

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

３．１．５

资源狉犲狊狅狌狉犮犲

一组有限的逻辑或物理实体。

注：操作系统为用户、主体和客体分配或管理资源，如存储空间、电源、、无线通信设备等。

ＣＰＵ

３．１．６

会话狊犲狊狊犻狅狀

用户与ＴＳＦ的一段交互。

注会话建立受控于多种因素如用户鉴别对访问的时间和方法及允许建立会话的最大数等

：，、ＴＯＥ。

３．１．７

移动通信智能终端狊犿犪狉狋犿狅犫犻犾犲狋犲狉犿犻狀犪犾

能接入移动通信网，提供应用软件开发接口，并能安装和运行第三方应用软件的移动终端设备。

３．１．８

犜犗犈安全功能犜犗犈狊犲犮狌狉犻狋犳狌狀犮狋犻狅狀犪犾犻狋

狔狔

正确执行ＳＦＲ应依赖的ＴＯＥ的所有硬件、软件和固件的组合功能。

３．１．９

可信信道狋狉狌狊狋犲犱犮犺犪狀狀犲犾

同远程可信产品能在必要的信任基础上进行通信的一种通信手段。

ＴＳＦＩＴ

３．１．１０

可信路径狋狉狌狊狋犲犱犪狋犺

狆

用户和ＴＳＦ能在必要的信任基础上进行通信的一种通信手段。

３．１．１１

犜犛犉数据犜犛犉犱犪狋犪

实施移动终端操作系统安全功能所依赖的数据。

３．１．１２

用户数据狌狊犲狉犱犪狋犪

由用户产生或为用户服务的数据。

３．２缩略语

下列缩略语适用于本文件。

应用编程接口（）

ＡＰＩＡｌｉｃａｔｉｏｎＰｒｏｒａｍｍｉｎＩｎｔｅｒｆａｃｅ

ｐｐｇｇ

配置管理（）

ＣＭＣｏｎｆｉｕｒａｔｉｏｎＭａｎａｅｍｅｎｔ

ｇｇ

评估保障级（）

ＥＡＬＥｖａｌｕａｔｉｏｎＡｓｓｕｒａｎｃｅＬｅｖｅｌ

互联网协议（）

ＩＰＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ

信息技术（）

ＩＴＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏ

ｇｙ

保护轮廓（）

ＰＰＰｒｏｔｅｃｔｉｏｎＰｒｏｆｉｌｅ

安全功能策略（）

ＳＦＰＳｅｃｕｒｉｔＦｕｎｃｔｉｏｎＰｏｌｉｃ

ｙｙ

安全功能要求（）

ＳＦＲＳｅｃｕｒｉｔＦｕｎｃｔｉｏｎａｌＲｅｕｉｒｅｍｅｎｔｓ

ｙｑ

安全目标（）

ＳＴＳｅｃｕｒｉｔＴａｒｅｔ

ｙｇ

评估对象（）

ＴＯＥＴａｒｅｔｏｆＥｖａｌｕａｔｉｏｎ

ｇ

安全功能（）

ＴＳＦＴＯＥＴＯＥＳｅｃｕｒｉｔＦｕｎｃｔｉｏｎａｌｉｔ

ｙｙ

接口（）

ＴＳＦＩＴＳＦＴＳＦＩｎｔｅｒｆａｃｅ

２

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

４概述

４．１移动终端操作系统描述

移动终端操作系统是运行在智能移动终端上的系统软件，是智能移动终端的组成部分，用于控制、

、，（）。

管理移动终端上的硬件软件和固件提供用户操作界面和应用软件编程接口ＡＰＩ

移动终端操作系统应具备下述特征：

ａ）运行在智能移动终端上；

ｂ）支持多个用户角色；

）支持应用软件安装；

ｃ

ｄ）应用软件通过操作系统访问数据、传感器及无线通信资源；

）支持基于互联网协议的网络通信；

ｅ

）可与远程信息系统协同工作。

ｆ

４．２移动终端操作系统安全特征

、、

移动终端操作系统需要抵御的威胁主要来自非授权用户的访问授权用户的恶意访问恶意应用软

件的访问和互联网非授权实体的访问等。

移动终端失去物理保护时，可能受到非授权用户的恶意访问。因此，移动终端操作系统应利用会话建立、

、、、、，。

会话锁定会话解锁数据备份备份数据保护防丢失等功能应对此类威胁防范用户数据的泄露和丢失

移动终端操作系统应通过安全角色划分，把对用户数据、通信资源的访问授权管理职能赋予移动终

端授权用户。移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术

用户，以实现远程可信信息系统对移动终端的管理。移动终端授权用户可能有旁路或部分旁路移动终

端操作系统安全机制的特权，应通过划分角色对授权用户的权限加以限制，并通过审计对授权用户的操

作行为进行记录和跟踪。

、

移动终端操作系统应具备数据传输保护完整性校验等安全特性维系与应用软件责任担保者之间

的信任传递链条，抵御恶意软件的安装。同时移动终端操作系统应通过实施访问控制策略限制应用软

件的访问权限，使应用软件对用户数据、通信资源、传感器的访问均被访问控制策略覆盖。

移动终端操作系统应对网络信息实施信息流控制策略，过滤无法鉴别、未经授权的网络数据

ＩＰＩＰ

包，保护移动终端的带宽资源、话费和电源能量。

移动终端操作系统及其安全功能自身也应得到保护，移动终端安全架构应保证移动终端操作系统

不受不可信用户、不可信主体的干扰和破坏。

移动终端操作系统部分安全功能的实现还应得到密码服务的支持，这些安全功能包括：标识与鉴

别、可信信道等。

移动终端操作系统应具备的安全功能如下：

ａ）对用户、应用、进程等进行唯一标识；

）对用户和远程实体进行鉴别；

ｂＩＴ

）执行访问控制和网络信息流控制策略；

ｃ

ｄ）执行应用软件限制策略；

）执行设备安全管理，即具有可配置的安全和管理策略，实现远程可信信息系统对移动终端的安

ｅ

全管理；

）执行访问授权管理，即管理员能根据需要初始化、配置、修改应用软件的访问权限；

ｆ

３

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

）对用户行为审计；

ｇ

ｈ）提供密码支持。

５安全问题定义

５．１资产

应保护的评估对象资产：

———ＴＳＦ数据（如鉴别数据、安全属性、访问控制列表、安全配置数据等信息）；

———用户数据（如用户身份标识、位置信息、账户信息、通信记录、通讯录等信息）；

———（、，、）。

敏感资源包含通信资源外设资源如摄像头位置传感器等

注：作者宜根据具体的应用情况细化对资产的描述。

ＳＴ

５．２安全威胁

数据传输窃听（）

５．２．１犜．犈犃犞犈犛犇犚犗犘

恶意用户或进程可能监听或修改移动终端操作系统之间或者移动终端操作系统与远程可信产

ＩＴ

品间传递的用户数据或ＴＳＦ数据。

安全功能失效（＿）

５．２．２犜．犜犛犉犆犗犕犘犚犗犕犐犛犈

恶意用户或进程通过攻击手段非法地浏览、修改或删除ＴＳＦ数据或可执行代码。这可能让恶意用

户或进程获得移动终端操作系统的配置信息，或可能导致移动终端操作系统的安全功能对于数据资产

保护的安全机制不再正常工作。

授权用户恶意行为（＿）

５．２．３犜．犃犆犆犈犛犛犕犃犔犐犆犐犗犝犛

授权用户因安全意识薄弱或误操作，对移动终端操作系统进行不正确地配置，或授权用户恶意利用

权限进行非法操作，使移动终端安全受到威胁。

非授权网络流量（＿）

５．２．４犜．犝犖犃犝犜犎犗犚犐犣犈犇犖犈犜犉犔犗犠

未授权外部实体向移动终端操作系统发送网络数据或接收经由移动终端操作系统传输的网络

ＩＴ

数据。

残余信息利用（＿）

５．２．５犜．犚犈犛犐犇犝犃犔犇犃犜犃

恶意用户或进程可能利用移动终端操作系统残留信息的处理缺陷，在执行过程中对未删除的残留

信息进行利用，以获取敏感信息或滥用移动终端操作系统的安全功能。

恶意软件（）

５．２．６犜．犕犃犔犐犆犐犗犝犛犃犘犘

恶意软件可能通过伪装成授权应用或进程访问用户数据和系统敏感资源。

非授权访问（＿）

５．２．７犜．犝犖犃犝犜犎犗犚犐犣犈犇犃犆犆犈犛犛

非授权用户或进程访问移动终端操作系统的安全功能数据和用户数据，并对安全功能数据和用户

数据进行恶意操作。

重放攻击（）

５．２．８犜．犚犈犘犔犃犢

非授权用户利用所截获的授权用户信息，重新提交给移动终端操作系统，以假冒授权用户访问移动

４

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

终端操作系统的功能和数据。

会话冒用（＿）

５．２．９犜．犝犖犃犜犜犈犖犇犈犇犛犈犛犛犐犗犖

非授权用户可以利用不被使用的会话，假冒授权用户对移动终端操作系统的功能和数据产生威胁。

设备丢失（）

５．２．１０犜．犔犗犛犜

移动终端操作系统所运行的物理设备在被出售、交换、遗失的情况下，非授权用户可通过攻击方式

获取授权用户数据。

５．３组织安全策略

组织应为移动终端操作系统提供敏感数据加密存储和通讯功能的密码策略。

５．４假设

物理安全（）

５．４．１犃．犘犎犢犛犐犆犃犔

假设移动终端操作系统所依赖的运行环境能提供移动终端操作系统安全运行所需的物理安全

保护。

人员（）

５．４．２犃．犘犈犚犛犗犖犖犈犔

假设移动终端操作系统的合法用户能按照管理员指南来管理移动终端操作系统的安全功能，对移

动终端操作系统不存在恶意的破坏企图。

远程设备安全（）

５．４．３犃．犚犈犕犗犜犈

、。

假定用于管理移动终端操作系统的远程设备应用设备是安全的

ＩＴ

６安全目的

６．１移动终端操作系统安全目的

事件审计（）

６．１．１犗．犃犝犇犐犜

移动终端操作系统应记录安全相关的事件，应对记录的事件进行保护并且只允许授权用户查看。

移动终端操作系统应保证审计迹已满的情况下，不影响审计功能和其他安全功能的执行。

身份认证（）

６．１．２犗．犃犝犜犎

移动终端操作系统应提供鉴别用户身份的机制，并且在用户使用移动终端操作系统功能前对用户

身份进行鉴别和标识。移动终端操作系统应只提供有限的鉴权反馈信息，并且在鉴权失败达到一定次

数时限制用户的鉴权行为。

数据加密（）

６．１．３犗．犈犖犆犚犢犘犜

移动终端操作系统应提供加解密机制，保证移动终端操作系统能对其保护的数据采取加密措施。

残留信息清除（＿）

６．１．４犗．犚犈犛犐犇犝犃犔犐犖犉犗

移动终端操作系统应保证重要的数据在使用完成后会被删除或被安全处理，不会留下可被攻击者

利用的残留数据信息。

５

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

可信信道（＿）

６．１．５犗．犜犚犝犛犜犈犇犆犎犃犖犖犈犔

移动终端操作系统应提供通过受保护的通道向远程可信产品提交数据的能力，同时也提供受

ＩＴ

保护的网络通道供应用使用。

网络数据流控制（＿）

６．１．６犗．犖犈犜犠犗犚犓犉犔犗犠

移动终端操作系统应提供基本的网络防护能力，阻止已知的恶意网络攻击行为。移动终端操作系

统应当控制移动终端操作系统内的实体和外部实体之间的网络数据和移动通信网络数据传

ＩＴＩＴＩＰ

输。移动终端操作系统控制这些数据传输的规则只能通过授权用户来改变。

访问控制（＿）

６．１．７犗．犃犆犆犈犛犛犆犗犖犜犚犗犔

，、

移动终端操作系统应提供访问控制机制防止移动终端操作系统重要数据进程及资源等在未授权

情况下被访问、。

修改或删除

会话管理（＿）

６．１．８犗．犛犈犛犛犐犗犖犕犃犖犃犌犈犕犈犖犜

移动终端操作系统应临时暂停不被使用的用户会话，并且只有在重新验证用户身份后才恢复已暂

停的用户会话。

资源限制（＿）

６．１．９犗．犚犈犛犗犝犚犆犈犝犗犜犃

犙

移动终端操作系统应提供移动终端操作系统资源使用的控制机制，防止因应用程序错误或恶意行

为无限制消耗资源，导致系统资源被耗尽。

数据回滚（）

６．１．１０犗．犚犗犔犔犅犃犆犓

移动终端操作系统应提供用户关键数据备份和回滚的功能，保证用户数据能回到一个备份过的状

态。，。

这种行为要求应是授权用户并应保证用户数据的安全性

安全管理（）

６．１．１１犗．犕犃犖犃犌犈

移动终端操作系统应划分不同用户角色来管理移动终端操作系统，并对角色赋予的权限进行限制，

防止授权用户的权限滥用。

可信时间（）

６．１．１２犗．犜犐犕犈

移动终端操作系统应提供设置或获取可信时间的功能，保证系统时间是由授权用户设定或者是从

可靠的时钟源同步获得。

丢失保护（＿）

６．１．１３犗．犔犗犛犜犘犚犗犜犈犆犜

。

移动终端操作系统应提供丢失保护机制保证在物理终端丢失的情况下授权用户对用户敏感数据

的控制。

６．２环境安全目的

物理安全（）

６．２．１犗犈．犘犎犢犛犐犆犃犔

移动终端操作系统的运行环境可提供操作系统运行所需的物理安全保护。

６

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

GBT30284-2020信息安全技术移动通信智能终端操作系统安全技术要求，本标准规定了移动通信智能终端（以下简称移动终端）操作系统的安全功能要求和达到

EAL2、EAL3和EAL4保障级的安全保障要求。本标准适用于移动终端操作系统产品的设计、开发、测试和采购。

／—

犌犅犜３０２８４２０２０

人员（）

６．２．２犗犈．犘犈犚犛犗犖犖犈犔

负责管理移动终端操作系统安全策略和数据的用户是可信的，经过学习和培训的，并且对管理和操

作行为负责。

远程通信（）

６．２．３犗犈．犚犈犕犗犜犈

移动终端操作系统的远程管理设备、应用商店等远程实体是安全的且其数据和用户信息是被

ＩＴ

保护的。

７安全要求

７．１安全功能要求

７．１．１概述

／—，

移动终端操作系统的安全功能要求由ＧＢＴ１８３３６．２２０１５规定的组件构成移动终端操作系统

的安全功能要求组件见表，对各组件给出了说明。

１７．１．２７．１．１０

～

表１安全功能要求组件

组件分类安全功能要求组件

＿审计数据产生

ＦＡＵＧＥＮ．１

＿用户身份关联

ＦＡＵＧＥＮ．２

ＦＡＵ类：安全审计

＿受保护的审计迹存储

ＦＡＵＳＴＧ．１

＿防止审计数据丢失

ＦＡＵＳＴＧ．４