国家标准 GB/T30284一2020 代替GB/T30284一2013 信息安全技术移动通信智能终端操作系统安全技术要求 Informationseeuritytechniques一 seuritytehmiealrequirementstoruperatingystemsmartmobileterminal 2020-04-28发布 2020-11-01实施国家市场监督管理总局发布国家标涯花警理委员会国家标准
GB/30284一2020 目次前言范围 2 规范性引用文件术语、定义和缩略语 3.1术语和定义 3.2缩略语概述 4.1移动终端操作系统描述 4.2移动终端操作系统安全特征安全问题定义 5.1资产 5,2安全威胁 5.3组织安全策略 5.4假设安全目的 6.1移动终端操作系统安全目的 6.2环境安全目的安全要求 7.1安全功能要求 7.2安全保障要求 19 基本原理 8 34 8.1安全目的基本原理 34 8.2安全要求的基本原理 37 8.3组件依赖关系 41 参考文献 45
GB/30284一2020 前言本标准按照GB/T1.1一2009给出的规则起草本标准代替GB/T302842013《移动通信智能终端操作系统安全技术要求(EAL2级)》本标准与GB/T30284一2013相比,主要技术变化如下修改了标准名称为《信息安全技术移动通信智能终端操作系统安全技术要求》修改了“范围”中安全技术要求级别(见第1章); -修改了第2章规范性引用文件(见第2章和2013年版的第2章) 增加了术语“可信信道”“可信路径”和“TSF数据”及其定义(见3.1.9,3.1.10,3.1.11); 修改了术语“移动通信智能终端”和“用户数据”的定义(见3.1.7、,3.1.12); 删除了部分术语(见2013年版的第3章): -增加了部分缩略语见3.2) 修改了移动通信智能终端操作系统描述(见4.1); 修改了安全问题定义中“威胁”“组织安全策略”和“假设”的规定(见5.2、5.3,5.4); 修改了安全目的的规定(见第6章); 将原标准第7章“安全功能要求”和第8章“安全保障要求”合并为“安全要求”(见第7章); 删除了“安全审计类:FAU”中的“审计查阅FAU_SAR.1)”和“有限审计查阅(FAU_SAR.2)” 见2013年版的7.9.4和7.9.5) 删除了“密码支持类;FCS"中的扩展组件“密码支持基本要求(FCS_CBR_EXT.1)”和“密码操作应用(FCs_cOA_EXT.1)”见2013年版的7.7.2和7.7.3); 删除了“安全管理类;FMT”中的“安全属性撤销(FMT_REV.1)”见2013年版的7.5.10). 删除了“TOE访问类;FTA”中“TOE会话建立(FTA_TSE.1)”和“可选属性范围限定(FTA LsA.l)”(见2013年版的7.6.4和7.6.5); 增加了“安全审计(FAU类)"中的“防止审计数据丢失(FAU_STG.4)”见7.1.2.4); 增加了“密码支持(FCS类)"(见7.1.3); 增加了“用户数据保护(FDP类)”中的“子集残余信息保护(FDP_RIP.1)”和“基本回退(FDP ROL1)”见7.l.4.9和7.l.4.10); 增加了“安全管理(FMT类)”中的“TSF数据限值的管理(FMT_MTD.2)”(见7.1.6.6); 增加了“TSF保护(FPT类)"中的“失效即保持安全状态(FPT_FLS.1)”见7.1.7.1) 增加了“资源利用(FRU类)”(见7.1.8); 增加了EAL.3,EAL4级的安全保障要求(见7.2); 修改了安全目的和安全要求的基本原理的规定(见8.1和8.2) -增加了组件依赖关系的规定(见8.3) 请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任 /Tc260)提出并归口本标准由全国信息安全标准化技术委员会(S AC 本标准起草单位;信息安全测评中心、,兴唐通信科技有限公司、国网思极网安科技(北京)有限公司、北京元心科技有限公司、科学院软件研究所、北京邮电大学、信息通信研究院、展讯通信上海)有限公司本标准主要起草人:张宝峰、贾炜,杨永生、石松,李凤娟许源、股树刚、宁华、饶华一,毕海英、
GB/T30284?2020 硢?????顢???誡????? Ρ?κ??,?骡?,?С??塢???? ???汾? GB/T30284?2013 IN
GB/30284一2020 信息安全技术移动通信智能终端操作系统安全技术要求范围本标准规定了移动通信智能终端(以下简称移动终端)操作系统的安全功能要求和达到EAL.2、 ;AL3和EAL4保障级的安全保障要求本标准适用于移动终端操作系统产品的设计、开发、测试和采购规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分;简介和一般模型 GB/T18336.22015 信息技术安全技术信息技术安全评估准则第2部分:安全功能组件 GB/T18336.32015 信息技术安全技术信息技术安全评估准则第3部分;安全保障组件 GB/T250692010信息安全技术术语 3 术语、定义和缩略语 3.1术语和定义 GB/T18336.1一2015及GB/T25069一2010界定的以及下列术语和定义适用于本文件 3.1.1 管理员 administrator 个授权用户,拥有管理部分或全部移动终端操作系统安全功能的权限,同时可拥有旁路部分移动终端操作系统安全策略的特权 3.1.2 应用软件applieationsofware 移动终端操作系统之外,向用户提供服务功能的软件 3.1.3 鉴别数据authenticationdata 用于验证用户所声称身份的信息 3.1.4 授权用户 authorizeduser 依据安全策略可执行某项操作的用户
GB/T30284一2020 3.1.5 资源 resource -组有限的逻辑或物理实体注操作系统为用户、主体和客体分配或管理资源,如存储空间电源,.CPU,无线通信设备等 3.1.6 会话 session 用户与TSF的一段交互注:会话建立受控于多种因素,如用户鉴别、对TOE访问的时间和方法及允许建立会话的最大数等 3.1.7 移动通信智能终端smartmobileterminal 能接人移动通信网,提供应用软件开发接口,并能安装和运行第三方应用软件的移动终端设备 3.1.8 ToE安全功能ToEseeurityfunetionality 正确执行SFR应依赖的TOE的所有硬件、软件和固件的组合功能 3.1.9 trustedchannel 可信信道 TSF同远程可信IT产品能在必要的信任基础上进行通信的一种通信手段 3.1.10 可信路径trustedpath 用户和TSF能在必要的信任基础上进行通信的一种通信手段 3.1.11 ISF数据TSFdata 实施移动终端操作系统安全功能所依赖的数据 3.1.12 Iserdata 用户数据由用户产生或为用户服务的数据 3.2缩略语下列缩略语适用于本文件 Interface) APl 应用编程接口(ApplicationProgramming cMn 配置管理(ConfigurationManagemen) 评估保障级(EvaluationAssuranceLeve) EAL 互联网协议(InternetP'rotocol 信息技术(Info ormationTechnology) p9 保护轮廓(ProteetionProfile) EFm 安全功能策略(SeurityFunetionPoliey7 sFR 安全功能要求(SecurityFuneionalRequirements) sT 安全目标(Seeurity Targen) ToE评估对象(TugetofEsaluaion) TSFToE安全功能(ToESeeurityFunetionality TSFI TSF接口TSFInterlace)
GB/30284一2020 概述 4.1移动终端操作系统描述移动终端操作系统是运行在智能移动终端上的系统软件,是智能移动终端的组成部分,用于控制、管理移动终端上的硬件、软件和固件,提供用户操作界面和应用软件编程接口(APm) 移动终端操作系统应具备下述特征运行在智能移动终端上; aa 支持多个用户角色; b 支持应用软件安装; c d 应用软件通过操作系统访问数据、传感器及无线通信资源; e 支持基于互联网协议的网络通信; 可与远程信息系统协同工作 4.2移动终端操作系统安全特征移动终端操作系统需要抵御的威胁主要来自非授权用户的访问、授权用户的恶意访问、恶意应用软件的访问和互联网非授权实体的访问等移动终端失去物理保护时,可能受到非授权用户的恶意访问因此移动终端操作系统应利用会话建立、会话锁定、会话解锁、数据备份、备份数据保护、防丢失等功能应对此类威胁,防范用户数据的泄露和丢失移动终端操作系统应通过安全角色划分把对用户数据,通信资源的访问授权管理职能赋予移动终端授权用户移动终端操作系统可选择把复杂的安全管理职能赋予在远程可信信息系统上的专业技术用户,以实现远程可信信息系统对移动终端的管理移动终端授权用户可能有旁路或部分旁路移动终端操作系统安全机制的特权,应通过划分角色对授权用户的权限加以限制.并通过审计对授权用户的操作行为进行记录和跟踪移动终端操作系统应具备数据传输保护,完整性校验等安全特性维系与应用软件责任担保者之间的信任传递链条,抵御恶意软件的安装同时移动终端操作系统应通过实施访问控制策略限制应用软件的访问权限,使应用软件对用户数据、通信资源、传感器的访问均被访问控制策略覆盖移动终端操作系统应对IP网络信息实施信息流控制策略,过滤无法鉴别未经授权的P网络数据包保护移动终端的带宽资源、话费和电源能量移动终端操作系统及其安全功能自身也应得到保护,移动终端安全架构应保证移动终端操作系统不受不可信用户、不可信主体的干扰和破坏移动终端操作系统部分安全功能的实现还应得到密码服务的支持,这些安全功能包括标识与鉴别、可信信道等移动终端操作系统应具备的安全功能如下对用户,应用,进程等进行唯一标识 a b 对用户和远程IT实体进行鉴别执行访问控制和网络信息流控制策略 c 执行应用软件限制策略; d 执行设备安全管理,即具有可配置的安全和管理策略,实现远程可信信息系统对移动终端的安全管理; fD 执行访间授权管理,即管理员能根据需要初始化、配置、修改应用软件的访问权限;
GB/T30284一2020 对用户行为审计; 8 h提供密码支持 5 安全问题定义 5.1资产应保护的评估对象资产: TsF数据(如鉴别数据、安全属性、访问控制列表、安全配置数据等信息); 用户数据(如用户身份标识位置信息、账户信息、,通信记录、,通讯录等信息); -敏感资源(包含通信资源、外设资源,如摄像头,位置传感器等) 注:ST作者宜根据具体的应用情况细化对资产的描述 5.2安全威胁 5.2.1数据传输窃听(T.EAVEsDRoP) 恶意用户或进程可能监听或修改移动终端操作系统之间或者移动终端操作系统与远程可信IT产品间传递的用户数据或TSF数据 5.2.2安全功能失效(T.ISsF_coPROISE) 恶意用户或进程通过攻击手段非法地浏览、修改或删除TSF数据或可执行代码这可能让恶意用户或进程获得移动终端操作系统的配置信息,或可能导致移动终端操作系统的安全功能对于数据资产保护的安全机制不再正常工作 5.2.3授权用户恶意行为(T.AcCESs_MALICIoUS 授权用户因安全意识薄弱或误操作,对移动终端操作系统进行不正确地配置,或授权用户恶意利用权限进行非法操作,使移动终端安全受到威胁 5.2.4非授权网络流量(T.UNAUHoRIzED_NEIFLow) 未授权外部IT实体向移动终端操作系统发送网络数据或接收经由移动终端操作系统传输的网络数据 5.2.5残余信息利用T.RESIDUALDATA 恶意用户或进程可能利用移动终蹦操作系统残留信息的处理缺陷在执行过程中对未删除的残留信息进行利用,以获取敏感信息或滥用移动终端操作系统的安全功能 5.2.6恶意软件(T.MALICIoUSAP) 恶意软件可能通过伪装成授权应用或进程访问用户数据和系统敏感资源 5.2.7非授权访问(T.UNAUTHORIZED_ACCESS 非授权用户或进程访问移动终端操作系统的安全功能数据和用户数据,并对安全功能数据和用户数据进行恶意操作 5.2.8重放攻击(T.REPL.AY 非授权用户利用所截获的授权用户信息,重新提交给移动终端操作系统,以假冒授权用户访问移动
GB/30284一2020 终端操作系统的功能和数据 5.2.9会话冒用(T.UNATTENDED_SESSION 非授权用户可以利用不被使用的会话,假冒授权用户对移动终端操作系统的功能和数据产生威胁 5.2.10设备丢失(T.LOST 移动终端操作系统所运行的物理设备在被出售、交换、遗失的情况下,非授权用户可通过攻击方式获取授权用户数据 5.3组织安全策略组织应为移动终端操作系统提供敏感数据加密存储和通讯功能的密码策略 5.4假设 5.4.1物理安全(A.PHYsCAL 假设移动终端操作系统所依赖的运行环境能提供移动终端操作系统安全运行所需的物理安全保护 5.4.2人员(A.PERSONNEL 假设移动终端操作系统的合法用户能按照管理员指南来管理移动终端操作系统的安全功能,对移动终端操作系统不存在恶意的被坏企图 5.4.3远程设备安全(A.REMorE 假定用于管理移动终端操作系统的远程IT设备、应用设备是安全的安全目的 6.1移动终端操作系统安全目的 6.1.1事件审计(o.AUDIr 移动终端操作系统应记录安全相关的事件,应对记录的事件进行保护并且只允许授权用户查看移动终端操作系统应保证审计迹已满的情况下,不影响审计功能和其他安全功能的执行 6.1.2身份认证(o.AUTH 移动终端操作系统应提供鉴别用户身份的机制,并且在用户使用移动终端操作系统功能前对用户身份进行鉴别和标识移动终端操作系统应只提供有眼的鉴权反馈信息,并且在鉴权失败达到一一定次数时限制用户的鉴权行为 6.1.3数据加密(o.ENCRYPT) 移动终端操作系统应提供加解密机制,保证移动终端操作系统能对其保护的数据采取加密措施 6.1.4残留信息清除(o.RESIUAL_INFo) 移动终端操作系统应保证重要的数据在使用完成后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息
GB/T30284一2020 6.1.5可信信道(o.TRUSTED_CHANNEL) 移动终端操作系统应提供通过受保护的通道向远程可信IT产品提交数据的能力,同时也提供受保护的网络通道供应用使用 6.1.6网络数据流控制(O.NETwoRK_FL.ow 移动终端操作系统应提供基本的网络防护能力,阻止已知的恶意网络攻击行为移动终端操作系统应当控制移动终端操作系统内的IT实体和外部IT实体之间的IP网络数据和移动通信网络数据传输移动终端操作系统控制这些数据传输的规则只能通过授权用户来改变 6.1.7访问控制(o.ACCESs_CoNTRoL) 移动终端操作系统应提供访问控制机制,防止移动终端操作系统重要数据、进程及资源等在未授权情况下被访问、修改或删除 6.1.8会话管理(O.SESSION_MIANAGEMENT) 移动终端操作系统应临时暂停不被使用的用户会话,并且只有在重新验证用户身份后才恢复已暂停的用户会话 6.1.9资源限制O.RESOURCE_QUOTA) 移动终端操作系统应提供移动终端操作系统资源使用的控制机制,防止因应用程序错误或恶意行为无限制消耗资源,导致系统资源被耗尽 6.1.10数据回滚(o.RoLLBACK) 移动终端操作系统应提供用户关键数据备份和回滚的功能,保证用户数据能回到一个备份过的状态这种行为要求应是授权用户,并应保证用户数据的安全性 6.1.11安全管理(o.MANAGE) 移动终端操作系统应划分不同用户角色来管理移动终端操作系统,并对角色赋予的权限进行限制防止授权用户的权限滥用 6.1.12可信时间(o.TIE) 移动终端操作系统应提供设置或获取可信时间的功能,保证系统时间是由授权用户设定或者是从可靠的时钟源同步获得 6.1.13丢失保护(o.LOST_PRoIECT) 移动终端操作系统应提供丢失保护机制保证在物理终端丢失的情况下授权用户对用户敏感数据的控制 6.2环境安全目的 6.2.1物理安全(oE.PHYSICAL 移动终端操作系统的运行环境可提供操作系统运行所需的物理安全保护
GB/30284一2020 6.2.2人员(oE.PERsONNEL) 负责管理移动终端操作系统安全策略和数据的用户是可信的,经过学习和培训的,并且对管理和操作行为负责 6.2.3远程通信(oE.REMoTE) 移动终端操作系统的远程管理设备、应用商店等远程IT实体是安全的且其数据和用户信息是被保护的安全要求 7.1安全功能要求 7.1.1概述移动终端操作系统的安全功能要求由GBT1836.2-2015规定的组件构成,移动终端操作系统的安全功能要求组件见表1,7.1.2一7.1.l0对各组件给出了说明表1安全功能要求组件安全功能要求组件组件分类 FAU_GEN.1审计数据产生 FAU_GEN.2用户身份关联 FAU类;安全审计 FAU_STG.1受保护的审计迹存储 FAU_STG.4防止审计数据丢失 FcsCKM.1密钥生成 FCS类;密码支持 Fcs_coP1密码运算 FDP_Acc.1子集访问控制 FDP_ACF.1基于安全属性的访问控制 FDPETC,1不带安全属性的用户数据输出 FDP_ETC,2带有安全属性的用户数据输出 FDP_IFC.1子集信息流控制 FDP_IFF.1简单安全属性 FDP类:用户数据保护 FDP_ITc.1不带安全属性的用户数据输人 FDP_ITc.2带有安全属性的用户数据输人 FDP_RIP1子集残余信息保护 FDP_ROL1基本回退 FDP_UCT.1基本的数据交换机密性 FDP_UIT.1数据交换完整性
GB/T30284一2020 表1续组件分类安全功能要求组件 FIA_AFL1鉴别失败处理 FIA_ATD.1用户属性定义 FIA_s0os.1秘密的验证 FIA_UAU.1鉴别的时机 FIA类;标识和鉴别 FA_UAU.5多重鉴别机制 FIAUAU.6重鉴别 FIA_UAU.7受保护的鉴别反馈 FIA_UID.l标识的时机 FIA_UsB1用户-主体绑定 FMT_MoF.1安全功能行为的管理 FMT_MSA.1安全属性的管理 FMT_MSA.2安全的安全属性 FMT_MSA.3静态属性初始化 FMT_MTD.1TSF数据的管理 FMT类:安全管理 FMT_MTD.2TSF数据限值的管理 FMT_MTD.3安全的TSF数据 FMT_sMF.1管理功能规范 FMT_sMR.1安全角色 FPT_FLs.1失效即保持安全状态 FPT_ITc.1传送过程中TsF间的机密性 FPT_IT.1TSF间篡改的检测 FPT类:TsF保护 FPT_STM.1可靠的时间戳 FPT_TDC.1TSF间基本的TSF数据一致性 FPT_TST.1TsF测试 FRU类;资源利用 FRU_RSA.1最高配额 SSL.TsF原发会话镇足 FTA FTA类:TOE访问 FTA_ssL.2用户原发会话锁定 FTP类;可信路径/信道 FTP_ITC.1TSF间可信信道 7.1.2安全审计(FAU类) 7.1.2.1审计数据产生(FAU_GEN.1) 从属于;无其他组件依赖关系;FPT_STM.1可信时间戳 FAU_GEN.1.1TSF应能为下述可审计事件产生审计记录
GB/30284一2020 审计功能的开启和关闭; a 有关最小级审计级别的所有可审计事件; b 可审计事件包括L赋值;其他影响移动终端操作系统运行状态的可审计事件】. c FAU_GEN.1.2TSF应在每个审计记录中至少记录下列信息 a 事件的日期和时间、事件类型,主体身份,事件的结果; 对每种审计事件类型,基于sT中功能组件的可审计事件定义,【赋值;其他审计相关信息】. b 7.1.2.2用户身份关联(FAU_GEN.2 从属于;无其他组件依赖关系;FAU_GEN.1审计数据产生; FIA_UID.2任何动作前的用户标识 FAU_GEN.2.1对于已标识身份的用户的行为所产生的审计事件,TsF应能将每个可审计事件与引起该事件的用户身份相关联 7.1.2.3受保护的审计迹存储(FAUSTG.1 从属于;无其他组件依赖关系,FAU_GEN.1审计数据产生 FAU_sTG.1.1TsF应保护所存储的审计记录,以避免未授权的删除 FAU_STG.1.2TSF应能防止对审计迹中所存审计记录的未授权修改 7.1.2.4防止审计数据丢失(FAU_SIG.4 从属于;FAU_STG.3审计数据可能丢失时的行为依赖关系;FAU_STG.1受保护的审计迹存储 FAU_STG.4.1如果审计迹已满,TSF应【选择,选取一个:忽略可审计事件、“阻止可审计事件,除非具有特权的授权用户产生的审计事件”,覆盖所存储的最早的审计记录】和【赋值;审计存储失效时所采取的其他动作】 7.1.3密码支持(FCS类》 7.1.3.1密钥生成(CS_CKM.1) 从属于;无其他组件依赖关系;F:Cs_COP.1密钥运算 F:Cs_CKM.4密钥销毁 FCSs_CKM.1.1TSF应根据符合下列标准【赋值:国家、行业或组织要求的密码管理相关标准或规范】的一个特定的密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值;密钥长度】来生成密钥注若密钥由外部环境生成,则可以不选择此组件该组件仅适用于由移动终端操作系统本身完成的情况,此时 sT作者宜根据密码算法的具体情况,赋值评估对象用户单位主管部门认可的相关标准及参数 7.1.3.2密码运算(FCs_coP.1) 从属于;无其他组件依赖关系:[FDP_ITC.1不带安全属性的用户数据输人,或 FCS_CKM.1密钥生成];
GB/T30284一2020 FCS_CKM.4密钥销毁 :Cs_COP.1.1TSF应根据符合下列标准【赋值;国家、行业或组织要求的密码管理相关标准或规范】的特定的密码算法【赋值;密码算法】和密钥长度【赋值:密钥长度】来执行【赋值:密码运算列表】. 注:密码运算可用于支持一个或多个移动终端操作系统的安全服务,本组件可根据需要重复多次,这取决于不同密码算法或密钥长度的使用 a 所运算数据的类型或敏感度 sT作者宜根据密码算法的具体情况赋值国家、行业或组织主管部门认可的相关标准及参数 7.1.4用户数据保护(FDP类) 7.1.4.1子集访问控制FDP_ACC.1 从属于;无其他组件依赖关系:FDP_ACF.1基于安全属性的访问控制 FDP_ACc.1.1TSF应对【赋值:主体、客体及SFP所涵盖主体和客体之间的操作列表】执行【赋值访问控制策略】. 7.1.4.2基于安全属性的访问控制(FDPACF.1 从属于;无其他组件依赖关系;FDPACc.1子集访问控制 FDP_ACF.1.1TSF应基于【赋值:指定SFP控制下的主体和客体列表以及每个对应的SFP相关安全属性或SFP相关安全属性的已命名组】对客体执行【赋值:访问控制SFP】 FDP_ACF.1.2TSF应执行以下规则以诀定在受控主体与受控客体间的一个操作是否被允许:【赋值:在受控主体和受控客体间,通过对受控客体采取受控操作来管理访问的一些规则】. DP_ACF.1.3TsF应基于以下附加规则[赋值;基于安全属性,明确授权主体访问客体的一些规则】,明确授权主体访问客体 FDP_ACF.1.4TSF应基于【赋值;基于安全属性,明确拒绝主体访问客体的一些规则】,明确拒绝主体访问客体 7.1.4.3不带安全属性的用户数据输出(FDP_EIc.1) 从属于:无其他组件依赖关系;FDP_ACC.1子集访问控制,或 FP_Irc1子集信息流挖制 FDP_ETC.1.1在安全功能策略控制下将用户数据输出到移动终端操作系统之外时,TSF应执行【赋值;访问控制SFP和/或信息流控制sSFP】. FDPETC.1.2TSF应输出用户数据但不带用户数据关联的安全属性 7.1.4.4带有安全属性的用户数据输出(FDP_EIC.2 从属于:无其他组件依赖关系:FDP_ACC.1子集访问控制,或 F:DP_IFC.1子集信息流控制 FDP_ETc.2.1在安全功能策略控制下将用户数据输出到移动终端操作系统之外时,TSF应执行【赋值:;访问控制SFP和/或信息流控制sFP】. 10
GB/30284一2020 FDPETC.2.2TSF应输出用户数据且带有用户数据关联的安全属性 FDP_ETc.2.3TSF应确保输出安全属性到移动终端操作系统之外时,与所输出的用户数据确切关联 FDP_ETC.2.4当从移动终端操作系统输出用户数据时,TSF应执行下列规则【赋值:附加的输出控制规则】. 7.1.4.5子集信息流控制(FDPIc.1) 从属于;无其他组件依赖关系:FPT_IFF.1简单安全属性 FDP_IFc.1.1TSF应对【赋值;移动终端处理或传输的信息流,如;IP数据报文、语音呼叫请求、短信息数据】执行【信息流控制策略】. 7.1.4.6简单安全属性(FDP_IF.1) 从属于:无其他组件依赖关系:FDP_IFC.1子集信息流控制 FDP_IFF.1.1TSF应基于下列类型主体和信息的安全属性【赋值:指定SFP控制下的主体和信息列表.以及每个对应的安全属性】执行【赋值:信息流控制SFP] FDP_IFF.1.2如果支持下列规则.【赋值;对每一个操作,主体和信息的安全属性之间应支持基于安全属性的关系】,TSF应允许信息在受控主体和受控信息之间经由受控操作流动 FDP_IFF.1.3TSF应执行【赋值;附加的信息流控制sFP规则】 FDP_IFF.1.4TSF应下列【赋值;附加的sFP能力列表】 FDP_IFF.1.5TSF应根据下列规则【赋值;基于安全属性,明确批准信息流的规则】明确批准- 信息流 FDP_IFF.1.6TSF应根据下列规则:【赋值;基于安全属性,明确拒绝信息流的规则】明确拒绝个信息流 7.1.4.7不带安全属性的用户数据输入(FDP_IIc.1 从属于;无其他组件依赖关系;[FDP_AcC.1子集访问控制,或 FDP_IFC.1子集信息流控制]; FMT_MSA.3静态属性初始化 FDP_ITc.1.1在安全功能策略控制下从移动终端操作系统之外输人用户数据时,TsF应执行【赋值;访问控制sFP和/或信息流控制sSFP】 FDP_ITC.1.2从移动终端操作系统外部输人用户数据时,TSF应忽略任何与用户数据相关的安全属性 FDP_ITc.1.3在SFP控制下从移动终端操作系统之外输人用户数据时,TsF应执行下面的规则【赋值:;附加的输人控制规则】 7.1.4.8带有安全属性的用户数据输入(FDPITc.2) 从属于;无其他组件依赖关系:;[FDP_ACC.1子集访问控制,或 11
GB/T30284一2020 FDP_IFC.1子集信息流控制] F:DP_ITC.1TSF间的可信信道 FPT_TDC.1TSF间基本的TSF数据一致性 FDP_ITC.2.1在安全功能策略控制下从移动终端操作系统之外输人用户数据时,TSF应执行【赋值;访问控制SFP和/或信息流控制sFP】 FDP_ITc.2.2TSF应使用与锁输人数据相关的安全属性 FDP_ITC.2.3TSF应确保所使用的协议在安全属性和接收到的用户数据之间进行了明确的关联 FDP_ITC.2.4TSF应确保对所输人用户数据的安全属性的解释与用户源数据所预期的安全属性 -样的是 FDP_ITC.2.5当在SFP控制下从移动终端操作系统之外输人用户数据时.TSF应执行【赋值:附加的输人控制规则】 7.1.4.9子集残余信息保护(FDPRIP.1 从属于;无其他组件依赖关系:无依赖关系 FDP_RIP.1.1TSF应确保一个资源的任何先前信息内容,在【选择;分配资源到、释放资源自】下列客体.【赋值;客体列表】时不再可用 7.1.4.10基本回退(FDPRoL.1) 从属于:无其他组件依赖关系;FDPACc.1子集访问控制 FDP_ROL1.1TSF应执行【自主访问控制和强制访问控制】,以允许对【赋值;用户数据及配置数据】的【修改】进行回退 FDP_ROL.1.2TSF应允许用户对【赋值;用户数据及配置数据选择;基于时间、其他可选择的条件】进行回退操作 7.1.4.11基本的数据交换机密性(FDP_UCI.1) 从属于;无其他组件依赖关系;FTP_ITC.1TsF间的可信信道; [[FDP_ACC.1子集访问控制,或 FDP_IFC.1子集信息流控制] FDP_UcT.1.1TsF应执行【赋值;访问控制sFP和/或信息流控制sFP,以便能【选择;传送,接收】用户数据,并保护其免遭未授权泄露 7.1.4.12数据交换完整性(FDP_UIr.1 从属于;无其他组件依赖关系;FDP_ACC.1子集访问控制 FTPITC.1TSF间的可信信道 FDP_UIT.1.1TSF应执行【访问控制策略】,以便能【选择:传送、接收】用户数据,并保护数据避免带来【选择篡改、制除、插人,重放】错误 FDP_UIT.1.2TSF应能判断用户数据的接收过程,是否发生了【选择:篡改、删除,插人、重放】 12
GB/30284一2020 7.1.5标识和鉴别FIA类) 7.1.5.1鉴别失败处理(FIA_AFL.1) 从属于;无其他组件依赖关系:FIA_UAU.1鉴别的时机 FA_AFLl.1TsF应检测发生【赋值;错误次数】与【身份鉴别】相关的未成功鉴别尝试 FIA_AFL.1.2当不成功鉴别尝试的指定次数达到所定义的未成功鉴别尝试次数时,TSF应采取【选择;延时登录、锁定终端、【赋值;其他保护措施】. 7.1.5.2用户属性定义(FIA_ATD.1 7.1.5.2.1用户属性定义[FIA_ATD.1(1]终端操作用户) 从属于;无其他组件依赖关系;无依赖关系 FA_ATD.1().1TsF应维护属于单个用户的下列安全属性列表.【用户标识,用户鉴权信息】 7.1.5.2.2用户属性定义[FIA_ATD.1(2)]应用程序) 从属于无其他组件依赖关系;无依赖关系 FIA_ATD.1(2).1TSF应维护属于单个用户的下列安全属性列表【应用标识、应用鉴权信息】 7.1.5.2.3用户属性定义[FIA_AID.1(3)]远程管理用户)y 从属于;无其他组件依赖关系;无依赖关系 FIA_ATD.1(3).1TSF应维护属于单个用户的下列安全属性列表【用户标识、用户鉴权信息】. 7.1.5.3秘密的验证(FIA_sOs.1 从属于;无其他组件依赖关系;无依赖关系 FIA_SOS.1.1TSF应提供一种机制以验证秘密满足【选择 a)口令形式字符不少于【赋值:正整数】,并且满足【赋值字符和数字组合的规则】 b)其他秘密形式【赋值:其他验证方式. 7.1.5.4鉴别的时机FIAUAU.1 从属于;无其他组件依赖关系:FIA_UID.1标识的时机 FIA_UAU.1.1在用户被鉴别前,TSF应允许执行代表用户的以下行为显示消息状态; a 显示未接来电; b 显示时间/日期信息 c d 显示移动终端状态信息; 显示移动用户信息(如;运营商信息等) 13
GB/T30284一2020 显示某些通知(低电量通知等); f 输人鉴别数据; g 拨打紧急电话 h 接收来电接收短信息 j k3 【赋值;其他TsF促成的动作列表】. FIA_UAU.1.,2在允许执行代表该用户的任何其他由TSF促成的动作前,TsF应要求每个用户都已被成功鉴别 7.1.5.5多重鉴别机制FIAUAU.5 从属于:无其他组件依赖关系;无依赖关系 FIA_UAU.5.1TSF应提供【选择:口令、指纹、图案、【赋值:ST作者提供的其他鉴别机制】以支持用户鉴别 FIA_UAU.5.2TSF应根据【选择;口令匹配、指纹匹配、图案匹配、【赋值:ST作者提供的其他鉴别规则]鉴别任何用户所声称的身份 7.1.5.6重鉴别(FIA_UAU.6) 从属于;无其他组件依赖关系;无依赖关系 FIA_UAU.6.1TsF应在【选择;用户变更鉴权信息、【赋值;其他需要鉴别的时机1条件下重新鉴别用户 7.1.5.7受保护的鉴别反馈(FIA_UAu.7) 从属于;无其他组件依赖关系.FIA_UAU.1鉴别的时机 FIA_UAU.7.1终端操作用户身份鉴别进行时,TSF应仅向用户提供受保护的鉴别反馈口令解锁时反馈为占位符; a b)图案解锁时不反馈解锁图案路径【赋值:其他受保护的鉴别反馈方式】 c 7.1.5.8标识的时机(FIA_UID.1 从属于;无其他组件依赖关系;无依赖关系 FIA_UID.1.1在应用程序被识别之前,TSF应允许执行应用程序的安装 FIA_UID,1.2在允许执行代表该用户的任何其他TS仲裁动作之前,TSF应要求每个应用程序都已被成功识别注应用程序安装成功后,移动终端操作系统为应用程序分配唯一代表其身份的标识 7.1.5.9用户主体绑定(FIA_UUSB.1 7.1.5.9.1用户-主体绑定[FIA_UUSB.1(1)](终端操作用户从属于:无其他组件 14
GB/30284一2020 依赖关系FIA_ATD.1用户属性定义 FIA_USB.1.1(1TSF应将下列用户安全属性:【用户标识、鉴权信息】与代表用户活动的主体相关联; FIAUSB,l.2(1 TsF应对用户安全属性与代表用户活动的主题初始关联关系执行下列规则【财值:属性初始关联规则】 FIA_USB.1.3(1TSF应执行下列规则管理与代表用户活动的主体见的关联关系的变化【赋值属性更改规则】 7.1.5.9.2用户-主体绑定[FIA_LUSB.1(2]应用程序从属于;无其他组件依赖关系;FIA_ATD.1用户属性定义 FIA_USB.1.1(2TSF应将下列用户安全属性:【赋值;应用标识、应用鉴权信息】与代表用户活动的主体相关联; FIAUSB,l.2(2 TsF应对用户安全属性与代表用户活动的主题初始关联关系执行下列规则[时值:属性初始关联规则】; FIA_USB.1.3(2)TSF应执行下列规则管理与代表用户活动的主体见的关联关系的变化.【赋值属性更改规则. 7.1.5.9.3用户-主体绑定[FIA_LISB.1(3)]远程管理用户从属于无其他组件依赖关系;FIA_ATD.1用户属性定义 FIA_USB.1.1(3TSF应将下列用户安全属性:【赋值:用户标识、用户鉴权信息】与代表用户活动的主体相关联; IAUsB..2(3)TsF应对用户安全属性与代表用户活动的主题初始关联关系执行下列规则【赋值:属性初始关联规则】; FIA_USB.1.3(3TsF应执行下列规则管理与代表用户活动的主体见的关联关系的变化【赋值属性更改规则】 7.1.6安全管理(FM类) 7.1.6.1安全功能行为的管理(FMI_MOF.1 从属于;无其他组件依赖关系:FMT_SMR.1安全角色; FMT_SMF.1管理功能规范 FMT_MOF.1.1TsF应仅限于【授权用户】对功能【赋值;定义的管理功能列表】具有【赋值;操作动作】的能力 7.1.6.2安全属性的管理(FMT_MSA.1 从属于;无其他组件依赖关系:;[FDP_Acc.1子集访问控制,或 FDP_IFC.1子集信息流控制] FMT_SMR.1安全角色; 15
GB/T30284一2020 FMT_SMF.1管理功能规范 FMT_MSA.1.1TSF应执行【赋值;访问控制SFP、信息流控制sFP】,以仅限于【赋值;已标识的授权角色】能对安全属性【赋值:安全属性列表】进行【选择;改变默认值、查询、修改、删除、【赋值:;其他操作】】 7.1.6.3安全的安全属性(FMr_MSA.2) 从属于;无其他组件依赖关系:ADV_SPM.1非形式化的TOE安全策略模型; [FDP_ACC.1子集访问控制,或 F:DP_IFC.1子集信息流控制] FMT_MSA.1安全属性的管理， FMT_SMR.1安全角色 FMT_MSA.2.1TSF应确保安全属性【赋值;安全属性列表】只接受安全的值 7.1.6.4静态属性初始化(FMT_MSA.3 从属于:无其他组件依赖关系;FMT_MSA.1安全属性的管理; FMT_SMR.1安全角色 FMT_MSA.3.1TSF应执行【赋值;访问控制SFP、信息流控制SFP].以便为用于执行SFP的安全属性提供【选择,从中选取一个;受限的、许可的、【赋值;其他特性]默认值 FM_MsA.3.2TsF应允许【赋值;已标识的授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值 7.1.6.5ISF数据的管理(FMT_MD.1 从属于;无其他组件依赖关系:FMT_SMIR.1安全角色; FMT_SMF.1管理功能规范 FMT_MTD.1.1TSF应仅限于【授权用户】能对【赋值:TSF数据列表选择;查询、修改、删除、【赋值:其他的数据管理操作1. 7.1.6.6TSF数据限值的管理FMT_MTD.2 从属于:无其他组件依赖关系;FMT_SMR.1安全角色; FMT_SMF.1管理功能规范 FMT_MTD.2.1TSF应仅限于【赋值;已标识的授权角色】规定【赋值;TSF数据列表】的限值 FMT_MTD.2.2如果TSF数据达到或超过了设定的限值.TSF应采取下面的动作【赋值:要采取的动作】. 安全的IS数据(FMr_MID.3) 7.1.6.7 从属于;无其他组件依赖关系:FMT_MTD.1TSF数据的管理 FMT_MTD.3.1TSF应确保TSF数据【赋值:TSF数据列表】只接受安全的值 16
GB/30284一2020 7.1.6.8管理功能规范(FMT_SMF.1 从属于;无其他组件依赖关系;无依赖关系 FMT_SMF.1.1TSF应能执行如下安全管理功能【赋值;安全管理功能列表】其中【赋值;远程管理功能列表】只能由远程管理员执行;【赋值:远程管理功能】可以由远程管理员执行;其他功能由终端操作员执行 7.1.6.9安全角色(FMTSMIR.1 从属于;无其他组件依赖关系;FIA_UID.1标识的时机 FMT_SMR.1.1TsF应维护角色【赋值:已标识的授权角色】 FMT_sMR.1.2TsF应能把用户和角色关联起来 7.1.7ISF保护(F类) 7.1.7.1失效即保持安全状态(FP_FIs.1 从属于:无其他组件依赖关系;无依赖关系 FPT_FLS.1.1TSF在下列失效发生时应保持一种安全状态【赋值:TSF的失效类型列表】. 7.1.7.2传送过程中ISF间的机密性(FPT_IC.1 从属于:无其他组件依赖关系;无依赖关系 FPT_ITc.1.1TSF应保护所有从TSF传送到另一个可信IT产品的TSF数据在传送过程中不会被未授权泄漏 7.1.7.3ISr间篡改的检测(FPT_ITL.1) 从属于;无其他组件依赖关系:无依赖关系 FPT_ITI.1.1TSF应提供能力,以检测在下列度量下【赋值:一个既定的修改度量】TSF与另一个可信IT产品间所传送的所有TSF数据是否被修改 FPT_ITI.1.2TSF应提供能力,以验证TSF与另一个可信IT产品间所传送的所有TSF数据的完整性,以及如果检测到修改将执行【赋值;采取的动作】 7.1.7.4可靠的时间戳(FPTSTM.1) 从属于;无其他组件依赖关系;无依赖关系 FPT_STM.1.1TSF应能为它自己的使用提供可靠的时间戳,这个时间的来源【赋值:时间获取的方式】 17
GB/T30284一2020 7.1.7.5TSF间基本的TS数据一致性(FPT_TDC.1 从属于:无其他组件依赖关系;无依赖关系 FPT_TDC.1.1当TsF与其他可信IT产品共享TSF数据时,TsF应提供对【赋值:TSF数据类型列表】进行一致性解释的能力 FPT_TDC.1.2当解释来自其他可信IT产品的TSF数据时,TSF应使用【赋值;TSF使用的解释规则列表】. 7.1.7.6ISF测试(FPT_IST.1 从属于无其他组件依赖关系;无依赖关系 FPT_TST.1.1TSF应在【选择初始化启动期间、正常工作期间周期性地、在【赋值:产生自检的条件】条件时】运行一套自检程序以证明【选择【赋值:TsF的组成部分】、TsF运行的正确性 FPT_TST.1.2TSF应为授权用户提供验证【选择【赋值:TSF的组成部分】、TSF数据】完整性的能力 FPT_TST.1.3TSF应为授权用户提供验证所存储的TSF可执行代码完整性的能力 7.1.8资源利用(FRU类) 最高配额(FRU_RSA.1 从属于;无其他组件依赖关系:无依赖关系 FRU_RSA.1.1TSF应对以下资源【选择;存储空间、内存,带宽、【赋值;ST定义指定的资源列表2 分配最高配额,以便【赋值;主体列表】能【选择;同时、在规定的时间间隔内】使用 7.1.9ToE访问(FTA类 7.1.9.1ISF原发会话锁定(FTA_SSL.1 从属于;无其他组件依赖关系;FIA_UAU.1鉴别的时机 FTA_SSL1.1TSF应在达到【赋值:用户不活动的时间间隔】后,通过以下方式锁定一个交互式会话清除或覆写显示设备,使当前的内容不可读; a b除了会话解锁活动之外,终止用户数据存取/显示设备的任何活动,但允许短信数据写人,允许电话呼人并显示来电信息界面且在通话结束后应恢复锁定,允许使用相机.【赋值;其他允许的操作】 FTA_SSL1.2TSF应要求在解锁会话之前成功地完成对终端用户的鉴别 7.1.9.2用户原发会话锁定(FTASSL.2 从属于;无其他组件依赖关系;FIA_UAU.1鉴别的时机 FTA_sSL.2.1TSF应允许移动终端用户通过赋值:锁定方式列表】实现对自已拥有的交互会话进 18
GB/30284一2020 行用户原发锁定清除或覆写显示设备,使当前的内容不可读; a b)除了会话解锁活动之外,终止用户数据存取/显示设备的任何活动但允许短信数据写人,允许电话呼人并显示来电信息界面且在通话结束后应恢复锁定,允许使用相机,【赋值;其他允许的操作】 FTA_SSL2.2TSF应要求在解锁会话之前成功地完成对终端用户的鉴别 7.1.10可信路径/信道(FIP类 Is间可信信道(FTP_IIc.1) 从属于;无其他组件依赖关系:无依赖关系 FTP_ITC.1.1TsSF应在它自己和一个远程可信I产品之间提供一条通信信道,此信道在逻辑上与其他通信信道截然不同,其端点是具有保证标识,并且能保护数据免遭修改或泄露 FTP_ITc.1.2TSF应允许【选择;TSF、【赋值:;ST作者指定的另一个可信IT产品】经由可信信道发起通信 FTP_ITC.1.3对于【赋值:需要可信信道的功能列表】,TSF应经由可信信道发起通信 7.2安全保障要求 7.2.1概述移动终端操作系统的安全保障要求由GB/T18336.32015规定的安全保障组件组成,移动终端操作系统EAL2、EAL3和EAL4保障级的安全保障要求组件见表2,7.2.2至7.2.7对各组件给出了说明表2安全保障要求组件备注保障组件保障类 EAL.2EAL.3 EAI4 ADN_ARC1安全架构描述 ADv_FsP.2安全执行功能规范 ADv_FSsP3带完整摘要的功能规范 ADV_FSP.4完备的功能规范开发 ADV_IMP.1TSF实现表示 ADV_TDS.1基础设计 ADv_TDs.2结构化设计 ADV_TDs.3基础模块设计 AGD_oPE.1操作用户指南指导性文档 AGD_PRE.1准备程序 19
GB/T30284一2020 表2(续备出保障类保障组件 EAL2EAL3 EAL4 ALC_CMC.2CM系统的使用 AICCMC.3授权控制 AI.C_CMC.4生产支持和接受程序及其自动化 AlC_CMS.2部分TOECM覆盖 _CMs3实现表示cM覆盖生命周期支持 ALc_CMs.4问题跟踪CM覆盖 AIc_DEL1交付程序 ALc_DVS,1安全措施标识 ALC_LCD.1开发者定义的生命周期模型 ALC_TAT.1明确定义的开发工具 ASE_CCL1符合性声明 AsE_ECD.1扩展组件定义 ASE_INT.sT引部安全目标评估 AsE_oB.2安全目的 ASE_REQ.2推导出的安全要求 ASE_SPD,1安全问题定义 ASE_TSS.1TOE概要规范 ATE_COV.1覆盖证据 ATE_cov.2覆盖分析 ATE_DPT.1测试;基本设计测试 ATE_DPT.2测试;安全执行模块 ATE_FUN.1功能测试 ATE_IND.2独立测试抽样 AVA_VAN.2脆弱性分析脆弱性评估 AVA_VAN.3关注点脆弱性分析 7.2.2开发(AD类 7.2.2.1安全架构描述(ADv_AC.1) 依赖关系:ADv_FsP1基本功能规范; ADV_TDs.1基础设计开发者行为元素: ADv_ARc.1.ID开发者应设计并实现移动终端操作系统,确保Ts的安全特性不可旁路 ADV_ARC.1.2D开发者应设计并实现TSF,以防止不可信主体的破坏 20
GB/30284一2020 ADV_ARC.1.3D开发者应提供TSF安全架构描述内容和形式元素 ADV_ARC.1.1C 安全架构的描述应与在移动终端操作系统设计文档中对sFR执行的抽象描述的级别一致 ADV_ARC.1.2C安全架构的描述应描述与安全功能要求一致的TSF安全域 ADV_ARC.1.3C安全架构的描述应描述TSF初始化过程为何是安全的 ADV_ARC.1.4C安全架构的描述应证实TSF可防止被破坏 ADV_ARC.1.5C安全架构的描述应证实TSF可防止SFR-执行的功能被旁路评估者行为元素 ADv_ARC.1.IE评估者应确认提供的信息符合证据的内容和形式要求 7.2.2.2安全执行功能规范(ADy_FSP.2) 依赖关系;ADV_TDs.1基础设计开发者行为元素 ADV_FSP.2.ID开发者应提供一个功能规范 ADV_FSP.2.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素 ADV_FSP.2.1C功能规范应完全描述TsF ADV_FSP.2.2C功能规范应描述所有TSFI的目的和使用方法 ADv_FSP.2.3C功能规范应识别和描述每个TSF相关的所有参数 ADv_FsP.2.4C对于每个sFR-执行TsF1,功能规范应描述TsFI相关的sFR-执行行为 ADV_FSP.2.5C对于SFR-执行TSFI,功能规范应描述由sFR-执行行为相关处理而引起的直接错误消息 ADv_FSP.2.6C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素 ADV_FSP.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.2.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 7.2.2.3带完整摘要的功能规范(ADV_FSP.3 依赖关系;ADV_TDS.1基础设计开发者行为元素 ADV_FSP.3.1D开发者应提供一个功能规范 ADV_FSP.3.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素: ADV_FSP3.1C功能规范应完全描述TsF ADv_FSP.3.2C功能规范应描述所有TSFI的目的和使用方法 ADV_FSP.3.3C功能规范应识别和描述每个TSFI相关的所有参数 ADV_FSP.3.4C对于每个sSFR-执行TsFI,功能规范应描述TSFI相关的SFR-执行行为 ADv_FSP.3.5C对于SFR-执行TSFI,功能规范应描述与TSFI的调用相关的安全实施行为和异常而引起的直接错误消息 ADV_FSP.3.6C功能规范应总结与每个TSFI相关的SFR-支撑和SFR-无关的行为 21
GB/T30284一2020 ADV_FSP.3.7C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素: ADv_FsP.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.3.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 7.2.2.4完备的功能规范(ADY_SP4) 依赖关系:ADv_TDs.1基础设计开发者行为元素: ADV_FSP.4.lD开发者应提供一个功能规范 ADV_FSP.4.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素: ADV_FSP.4.1C功能规范应完全描述TSF ADV_FSP.4.2C功能规范应描述所有TsSFI的目的和使用方法 AD_FsP4.3C功能规范应识别和描述每个TsF相关的所有参数 ADV_FSP.4.4C对于每个SFR执行TSFI,功能规范应描述TSFI相关的所有行为 ADV_FSP.4.5C功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息 ADv_FsP4.5C功能规范应证实安全功能要求到TsFI的追溯评估者行为元素 ADV_FSP.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.4.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 7.2.2.5ISF实现表示(ADV_IMIP.1 依赖关系:ADV_TDs.3基础模块设计; ALC_TAT.1明确定义的开发工具开发者行为元素 ADV_IMP.1.1D开发者应为全部TSF提供实现表示 ADV_IMP1.2D开发者应提供移动终端操作系统设计描述与实现表示实例之间的映射内容和形式元素: ADv_IMPl.1c实现表示应按详细缓别定义TsF,且详细程度达到无须进一步设计就能生成Tsr 的程度 ADV_IMP.1.2C实现表示应以开发人员使用的形式提供 ADv_IMP1.3C移动终端操作系统设计描述与实现表示示例之间的映射应能证实它们的一致性评估者行为元素: ADV_IMP1.1E对于选取的实现表示示例,评估者应确认提供的信息满足证据的内容和形式的所有要求 7.2.2.6基础设计(ADv_TDS.1) 依赖关系:ADV_FSP.2安全执行功能规范开发者行为元素: ADv_TDSs.1.ID开发者应提供移动终端操作系统的设计 ADV_TDS.1.2D开发者应提供从功能规范的TSF到移动终端操作系统设计中获取到的最低层分 22
GB/30284一2020 解的映射内容和形式元素设计应根据子系统描述移动终端操作系统的结构 ADV_TDS.1.1C ADV_TDs.1.2C设计应标识TSF的所有子系统 ADV_TDs.1.3C设计应对每一个SFR支撑或SFR-无关的TSF子系统的行为进行详细的描述,以确定它不是SFR执行 ADv_TDs.1.C设计应概括sFR执行子系统的sFR执行行为 ADV_TDs.1.5C设计应描述TSF的SFR-执行子系统间的相互作用和TSF的SFR-执行子系统与其他TSF子系统间的相互作用 ADv_-TDs.1.6C映射关系应证实移动终端操作系统设计中描述的所有行为能映射到调用它的 TSFI 评估者行为元素 ADv_TDs.1.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDs.1.2E评估者应确定设计是所有安全功能要求的正确且完备的实例 7.2.2.7结构化设计(ADV_TDs.2 依赖关系;ADv_FSP.3带完整摘要的功能规范开发者行为元素 ADV_TDS,2.1D开发者应提供移动终端操作系统的设计 ADV_TDs.2.2D开发者应提供从功能规范的TSFI到移动终端操作系统设计中获取到的最低层分解的映射内容和形式元素: ADV_TDS.2.1C设计应根据子系统描述移动终端操作系统的结构 ADVv_TDs.2.2C设计应标识TSF的所有子系统 ADv_TDs.2.3C设计应对每一个 TsF的SFR无关子系统的行为进行足够详细的描述,以确定它是SFR-无关 ADV_TDS.2.4C设计应描述SFR-执行子系统的SFR执行行为 ADv_TDs.2.5C设计应概括SFR-执行子系统的sFR支撑和SFR-无关行为 ADV_TDs.2.6C设计应概括SFR支撑子系统的行为 ADV_TDs.2.7c设计应描述TSF所有子系统间的相互作用 ADV_TDS.2.8C映射关系应证实移动终端操作系统设计中描述的所有行为能映射到调用它的 TSFI 评估者行为元素: ADV_TDS.2.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADv_TDs.2.2E评估者应确定设计是所有安全功能要求的正确且完备的实例 7.2.2.8基础模块设计(ADV_TDS.3 依赖关系:ADV_FSP.4完备的功能规范开发者行为元素 ADv_TDSs.3.ID开发者应提供移动终端操作系统的设计 ADV_TDs.3.2D开发者应提供从功能规范的TsFI到移动终端操作系统设计中获取到的最低层分 23
GB/T30284一2020 解的映射内容和形式元素: ADV_TDS.3.1C设计应根据子系统描述移动终端操作系统的结构 ADV_TDS.3.2C设计应根据模块描述TSF ADV_TDS.3.3C设计应标识TSF的所有子系统 ADV_TDS.3.4C设计应描述每一个TSF子系统 ADV_TDS.3.5C设计应描述TSF所有子系统间的相互作用 ADv_TDs.3.6C设计应提供TSF子系统到TSF模块间的映射关系 ADv_TDs.3.7C设计应描述每一个sFR-执行模块,包括它的目的及与其他模块间的相互作用 AD_TDS.3.8C设计应描述每一个SFR执行模块,包括它的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口 ADv_TDs.3.9C设计应描述每一个SFR支撑或sFR-无关模块,包括它的目的及与其他模块间的相互作用 ADV_TDS.3.10C映射关系应论证实TOE设计中描述的所有行为能映射到调用它的TSFI 评估者行为元素: ADVv_TDS.3.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDS.3.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.2.3指导性文档AGD类 7.2.3.1操作用户指南(AGD_oPE.1 依赖关系;ADV_FSP.1基本功能规范开发者行为元素 AGD_OPE.1.1D开发者应提供操作用户指南内容和形式元素 AGD_OPE.1.1C操作用户指南应对每一种用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权,包含适当的警示信息 AGD_OPE.1.2C操作用户指南应对每一种用户角色进行描述,怎样以安全的方式使用移动终端操作系统提供的可用接口 AGD_OPE.1.3C操作用户指南应对每一种用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值 AGD_OPE.1.4C操作用户指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变TSF所控制实体的安全特性 AGD_OPE.1.5C操作用户指南应标识移动终端操作系统运行的所有可能状态(包括操作导致的失败或者操作性错误),它们与维持安全运行之间的因果关系和联系 AGD_OPE.1.6C操作用户指南应对每一种用户角色进行描述,为了充分实现ST中描述的运行环境安全目的应执行的安全策略 AGD_OPE.1.7C操作用户指南应是明确和合适的评估者行为元素: AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.3.2准备程序(AGD_PRE.1 依赖关系;无依赖关系 24
GB/30284一2020 开发者行为元素 AGD_PRE.1.1D开发者应提供移动终端操作系统,包括它的准备程序内容和形式元素 AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付移动终端操作系统所需的所有步骤 AGD_PRE.1.2C准备程序应描述安全安装移动终端操作系统以及安全准备与ST中描述的运行环境安全目的一致的运行环境所需的所有步骤评估者行为元素 AGD_PRE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备程序确认移动终端操作系统运行能被安全的准备 7.2.4生命周期支持(ALC类》 7.2.4.1cM系统的使用(ALc_CMc.2) 依赖关系;ALc_CMs.1TOECM覆盖开发者行为元素: ALC_CMC.2.1D开发者应提供移动终端操作系统及其参照号 ALC_CMC.2.2D开发者应提供CM文档 ALC_CMC.2.3D开发者应使用CM系统内容和形式元素 AIC_CMC.2.1C应给移动终端操作系统标注唯一参照号 ALC_CMC.2.2CCM文档应描述用于唯一标识配置项的方法 ALC_CMC.2.3CCM系统应唯一标识所有配置项评估者行为元素 ALc_cMc.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.2授权控制AI.C_CMC.3 依赖关系:ALC_CMS.1TOECM覆盖; ALC_DVS.1安全措施标识; ALc_LCD.1开发者定义的生命周期模型开发者行为元素: ALC_CMC.3.1D开发者应提供移动终端操作系统及其参照号 ALC_CMC.3.2D开发者应提供CM文档 ALC_CMC.3.3D开发者应使用CM系统内容和形式元素 ALc_cMC.3.1C应给移动终端操作系统标注唯一参照号 ALC_CMC.3.2cCM文档应描述用于唯一标识配置项的方法 ALC_CMC.3.3CCM系统应唯一标识所有配置项 ALc_CMC.3.4cCM系统应提供措施使得只能对配置项进行授权变更 ALe_.cMc..ccM文档应包括一个cM计划. AIC_CMC.3.6CCM计划应描述CM系统是如何应用于移动终端操作系统的开发过程 ALC_CMC.3.7C证据应证实所有配置项都正在CM系统下进行维护 25
GB/T30284一2020 ALC_CMC.3.8C证据应证实CM系统的运行与CM计划是一致的评估者行为元素: AIe_.cMc.a1E详估者应确认所提供的信息满足证鹅的内容和形式的所有要求 7.2.4.3生产支持和接受程序及其自动化(AL.C_CMC.4) 依赖关系:ALc_CMS.1TOECM覆盖; ALc_DVs,1安全措施标识 ALC_LCD.1开发者定义的生命周期模型开发者行为元素 ALc_CMC.4.1D开发者应提供移动终端操作系统及其参照号 AIC_CMC.4.2D开发者应提供CM文档 ALC_CMC.4.3D开发者应使用CM系统内容和形式元素: ALC_CMc.4.1c应给移动终端操作系统标注唯一参照号 ALC_CMC.4.2CCM文档应描述用于唯一标识配置项的方法 ALc_CMc.4.3ccM系统应唯一标识所有配置项 ALcCMC.4.4CCM系统应提供措施使得只能对配置项进行授权变更 AIC_CMC.4.5CCM系统应以自动化的方式支持移动终端操作系统的生产 ALC_CMC.4.6CcCM文档应包括CM计划 ALc_CMC.4.7cCM计划应描述CM系统是如何应用于移动终端操作系统的开发的 ALc_CMC.4.8CcM计划应描述用来接受修改过的或新创建的作为移动终端操作系统组成部分的配置项的程序 ALc_CMC.4.9C证据应证实所有配置项都正在CM系统下进行维护 ALc_CMc.4.10cC证据应证实CM系统的运行与CcM计划是一致的评估者行为元素: ALC_CMC.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.4部分ToEcM覆盖(AIccMs.2 依赖关系;无依赖关系开发者行为元素: ALc_CMS.2.1D开发者应提供移动终端操作系统配置项列表内容和形式元素 AL.C_CMS.2.1C配置项列表应包括:移动终端操作系统本身、安全保障要求的评估证据和移动终端操作系统的组成部分 ALc_CMs,2.2C配置项列表应唯一标识配置项 AIC_CNMS.2.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALc_CMs,2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.4.5实现表示CM覆盖(ALC_CMIS.3) 依赖关系:无依赖关系 26

GB/T30284-2020信息安全技术移动通信智能终端操作系统安全技术要求解析

随着移动互联网时代的到来，移动通信智能终端成为人们生活中不可或缺的一部分。然而，由于智能终端操作系统的复杂性和开放性，使得其面临着来自网络攻击、恶意软件等安全威胁。因此，保障智能终端操作系统的安全性显得尤为重要。

GB/T30284-2020是针对移动通信智能终端操作系统安全领域的一项标准，旨在提高智能终端操作系统的安全性水平，保护用户的个人隐私和数据安全。

标准内容

GB/T30284-2020主要围绕智能终端操作系统的安全要求展开，内容分为以下几个方面：

一、安全性能要求

该部分主要涉及终端设备的安全隔离、数据保护、身份认证等方面的要求。例如，要求终端设备必须具有完整性保护和访问控制机制，确保终端设备上的用户数据不会被未经授权的第三方访问。

二、安全管理要求

该部分涉及智能终端的安全管理机制，包括管理策略、事件响应、安全审计等方面的要求。例如，要求终端设备必须具有有效的安全管理策略和灵敏的安全事件响应机制，以及完善的安全审计功能，监控终端设备的安全状态。

三、安全技术要求

该部分主要涉及智能终端操作系统的安全技术要求，围绕加密算法、认证协议、安全传输等方面进行规定。例如，要求终端设备应支持足够强度的加密算法和认证协议，同时具备安全传输能力，确保数据在传输过程中不会被窃取。

总结

GB/T30284-2020标准的制定，对于保障移动通信智能终端操作系统的安全性具有重要意义。在实际应用中，终端设备厂商和服务提供商应当严格按照该标准要求进行产品设计和开发，并加强用户教育，提高用户信息安全意识。