国家标准 GB/T34976一2017 信息安全技术移动智能终端操作系统安全技术要求和测试评价方法 Informationsecuritytechnoogy一Securitytechnmicalrequirementsandtestingand evaluatioapproachesforoperatingsystemofsmarmobletermnals 2017-11-01发布 2018-05-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T34976一2017 6.1.9运行安全保护 l4 14 6.1.10升级能力 15 6.1.11超时锁定或注销 15 6.1.12运行监控 15 6.1.13可靠时钟 16 6.1.l4可用性 16 6.2安全保障要求测试 l6 6.2.1开发 17 6.2.2指导性文档 18 6.2.3生命周期支持 19 6.2.4测试 20 6.2.5脆弱性评定
GB/34976一2017 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:公安部第三研究所(公安部计算机信息系统安全产品质量监督检验中心)、电子技术标准化研究院、信息安全研究院有限公司、上海交通大学、北京元心科技有限公司、上海辰锐信息科技公司、阿里巴巴北京软件服务有限公司、信息通信研究院本标准主要起草人:张艳、俞优、顾健、陆臻、陈妍、杨晨、许玉娜、沈亮、谷大武、邵旭东、王文杰、白晓媛、姚一椭、顾流
GB/34976一2017 信息安全技术移动智能终端操作系统安全技术要求和测试评价方法范围本标准规定了移动智能终端操作系统的安全技术要求和测试评价方法本标准适用于移动智能终端操作系统的生产及测试规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.32015信息技术安全技术信息技术安全评估准则第3部分;安全保障组件 GB/T250692010信息安全技术术语 GB/T30284一2013移动通信智能终端操作系统安全技术要求(EAL2级) 术语和定义 GB/T18336.32015、GB/T250692010,GB/T30284一2013界定的以及下列术语和定义适用于本文件 3.1 移动智能终端smartmobileterminal 接人移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品 3.2 移动智能终端操作系统operatingsystemofsmartmobilet terminal 移动智能终端最基本的系统软件,控制和管理终端上的各种硬件和软件资源,并提供应用程序开发的接口注:一般包括移动智能终端图形交互系统GU核心功能库、应用框架、安全套件、业务模型组件,sDK.核心业务功能、基础应用软件等多层架构和软件实体 3.3 移动智能终端操作系统安全seeurityofoperatingsystemofsmart mobilet terminal 移动智能终端操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征移动智能终端操作系统安全性描述移动智能终端操作系统的目的是向用户提供良好的操作界面,便于用户使用移动智能终端的功能移动智能终端操作系统通过身份鉴别、访问控制、安全审计等安全功能策略,实现对移动智能终端软、硬件的管理,确保移动智能终端的安全运行其中,硬件包括;通信设备(蜂窝移动通信设备、无线局域网设备),终端信源传感器(麦克风、摄像头、定位导航系统),终端输人输出设备(红外接口、蓝牙、USB接口、SDIO接口)等;软件包括存储用户信息的文件(电话号码本,通信记录、短消息、电子邮件、记事本
GB/T34976一2017 等)以及相关应用软件移动智能终端操作系统保护的资产包括 -用户数据:包含位置信息、账户信息、通信记录、通讯录等移动智能终端敏感资源;包含通信资源、外设接口,如摄像镜头、位置传感器等移动智能终端操作系统安全功能数据:包含鉴别数据、安全属性等此外,移动智能终端操作系统自身的重要数据也是受保护的资产 5 安全技术要求 5.1安全功能要求 5.1.1身份鉴别 5.1.1.1用户标识应具备用户标识功能具体技术要求如下: a) 凡需进人移动智能终端操作系统的用户,宜先建立用户标识账号); 仅允许具有用户标识的移动智能终端操作系统用户访问系统安全功能数据等重要数据 b 在移动智能终端操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、Un c 等之间的一致性鉴别技术手段 5.1.1.2 应具备用户鉴别功能,具体技术要求如下在用户执行任何与移动智能终端操作系统安全功能相关的操作之前对用户进行鉴别 a b) 至少支持口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别(如指纹、虹膜/数字证书鉴别图形鉴别等机制中的一种进行身份鉴别,并在每次用户登录系统时进行鉴别 5.1.1.3鉴别信息保护应具备鉴别信息保护的能力,具体技术要求如下进行用户身份鉴别时,仅将最少的反馈(如;输人的字符数,鉴别的成功或失败)提供给被鉴别 a 的用户; b) 在用户执行鉴别信息修改操作之前,应经过身份鉴别鉴别信息应是不可见的,应采用加密方法对鉴别信息的存储进行安全保护 c 5.1.1.4鉴别失败处理应通过对不成功的鉴别尝试的值(包括尝试次数和时间的阔值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理 5.1.1.5用户-主体绑定应具备用户-主体绑定功能,具体技术要求如下 a将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户; b) 将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户
GB/34976一2017 5.1.2访问控制 5.1.2.1 访问控制属性应按以下要求设计和实现访问控制属性允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问 aa b 主体的访问控制属性至少应包括;读,写执行等; 客体的访问控制属性应包含可分配给主体的读、写和执行等权限 c 5.1.2.2访问授权规则应按以下要求设计和实现访问授权规则: 授权的范围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应 aa 用的类型 b)对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限; 客体的拥有者对其拥有的客体应具有全部控制权,允许客体拥有者把该客体的控制权分配给其他主体 5.1.3安全审计 5.1.3.1 审计内容应对与移动智能终端操作系统安全相关的以下事件生成审计日志;系统运行记录、报警记录、操作日志、网络流量记录、用户行为记录、应用软件运行日志、配置信息等;审计日志的内容至少应包括事件发生的日期,时间、主体标识,事件类型描述和结果(成功或失败,关联的进程 5.1.3.2审计保护应按以下要求设计和实现访问审计保护能力: 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏， a 提供授权管理员一个受保护的打开和关闭审计的机制,该机制能选择和改变审计事件,并在系 b 统工作时处于默认状态; 仅允许授权管理员访问审计日志 5.1.3.3审计跟踪管理应按以下要求设计和实现审计跟踪管理: 操作系统用户应能够定义审计跟踪的闵值; aa b)当为审计系统分配的存储空间耗尽时,应能按操作系统用户的设置决定采取的措施,包括:报警并丢弃未记录的审计信息、暂停审计,覆盖以前的审计记录等 5.1.4用户数据安全 5.1.4.1 用户数据保护应按以下要求设计和实现用户数据保护保证用户数据不被未授权查阅或修改 a b)对应用软件获取用户数据行为进行自动分析、告警和阻断
GB/T34976一2017 5.1.4.2用户数据完整性应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护 5.1.4.3用户数据保密性应对用户敏感数据采用一定强度的加密储存或采用隐藏技术,以减小移动终端丢失所造成的损失 5.1.4.4剩余信息保护应按以下要求设计和实现剩余信息保护 a) 确保非授权用户不能查找使用后返还系统的存储介质中的信息内容; b 确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容 5.1.5数据安全应按以下要求设计和实现数据安全保护能力: 对重要的系统数据(如配置和控制信息、告警和事件数据等)进行存储保护,保证重要系统数据 a 不被泄漏或篡改; 具有用户数据、系统数据的安全备份与恢复功能 b 在数据的存储空间达到闯值时能够向移动智能终端操作系统用户进行报警; c d 当存储空间将要耗尽时,采取一定措施保证重要的数据不丢失 5.1.6存储介质管理应按以下要求设计和实现存储介质管理管理对移动智能终消中的存储设备(包括智能芯片,存储卡等)进行有效监调和统 a 在单用户系统中,系统应防止用户进程影响系统的运行; b) c 在多用户系统中,系统应确保多用户间采取一定隔离机制,防止用户数据的非授权访问 d 在多系统情况下,应确保多系统间采取一定隔离机制,防止系统数据的非授权访问 5.1.7应用软件安全管理应对第三方应用程序的安装、运行、卸载进行安全规范支持用户对应用软件的安装进行授权或阻止; a b) 支持用户修改、指定应用软件的安装位置支持用户对应用软件使用的终端资源(包含通信资源和外设接口)和终端数据进行确认; e d)在应用软件卸载时删除由其生成的资源文件、配置文件和用户数据用户策略管理 5.1.8 应提供以下用户策略管理: 对移动智能终端用户提供初始化策略 a D)支持授权用户对用户策略的添加,删除、修改操作支持用户策略查询、导人、导出策略等操作 c 5.1.9运行安全保护应提供以下运行安全保护系统在设计时不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的 a 人口和文档中未说明的任何模式的人口;
GB/34976一2017 b)将移动智能终端操作系统程序与用户程序进行隔离防止在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进行读、写操作 5.1.10升级能力应提供以下升级能力: 支持操作系统的更新升级; a b) 至少采取一种安全机制保证升级过程的安全性; 保证升级后前的系统安全属性与升级前保持一致; c d)在升级失败时,系统应能够回滚,并保证系统完整性,且安全属性与升级前一致至少采取一种安全机制,保证升级的时效性,例如自动升级,更新通知等手段; e 支持用户获取、统一管理并运用补丁对移动智能终端操作系统的漏洞进行修补 5.1.11超时锁定或注销应按以下要求设计和实现超时处理能力具有登录超时锁定或注销功能 a b 提供用户设定最大超时时间的功能在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新 c 操作; d提供用户主动锁定或注销的功能 5.1.12运行监控应提供对移动智能终端设备运行状态(比如CPU使用率、内存占用率、存储空间等)网络连接、系统环境、敏感数据访问状态、敏感功能使用状态的监测 5.1.13 可靠时钟应提供手工设定系统时钟和远程时钟服务自动时钟同步两种方式的系统时钟设置功能 5.1.14可用性 5.1.14.1稳定性正常工作状态下,移动智能终端操作系统应能稳定运行,功耗低、内存占用少,不应造成移动智能终端死机现象 5.1.14.2兼容性应按以下要求设计和实现兼容性除了自带的应用程序,移动智能终端操作系统应提供良好的第三方软件应用接口,能够支持第三方应用软件的安装、,运行和升级功能; b 具备无线接人互联网的能力 5.2安全保障要求 5.2.1开发 5.2.1.1安全架构开发者应提供终端操作系统安全功能的安全架构描述,安全架构描述应满足以下要求
GB/T34976一2017 与产品设计文档中对安全功能实施抽象描述的级别一致 a b 描述与安全功能要求一致的终端操作系统安全功能的安全域; e 描述终端操作系统安全功能初始化过程为何是安全的证实终端操作系统安全功能能够防止被破坏 d 证实终端操作系统安全功能能够防止安全特性被旁路 e 5.2.1.2功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求 a 完全描述终端操作系统的安全功能; b) 描述所有安全功能接口的目的与使用方法标识和描述每个安全功能接口相关的所有参数 c d 描述安全功能接口相关的安全功能实施行为; 描述由安全功能实施行为处理而引起的直接错误消息; e f 证实安全功能要求到安全功能接口的追溯 5.2.1.3产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求根据子系统描述终端操作系统结构; a b 标识和描述终端操作系统安全功能的所有子系统 c 描述安全功能所有子系统间的相互作用; d 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口 5.2.2指导性文档 5.2.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应满足以下要求: 描述在安全处理环境中被控制的用户可访同的功能和特权,包含适当的警示信息; a b) 描述如何以安全的方式使用终端操作系统提供的可用接口 es 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值; 小明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性; 标识终端操作系统运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与 e 维持安全运行之间的因果关系和联系; 充分实现安全目的所执行的安全策略 5.2.2.2 准备程序开发者应提供终端操作系统及其准备程序,准备程序描述应满足以下要求 a 描述与开发者交付程序相一致的安全接收所交付终端操作系统必需的所有步骤 b) 描述安全安装终端操作系统及其运行环境必需的所有步骤 5.2.3生命周期支持 5.2.3.1 配置管理能力开发者的配置管理能力应满足以下要求
GB/34976一2017 为终端操作系统的不同版本提供唯一的标识 a b 使用配置管理系统对组成终端操作系统的所有配置项进行维护,并唯一标识配置项提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法 c 5.2.3.2配置管理范围开发者应提供终端操作系统配置项列表,并说明配置项的开发者配置项列表至少包含终端操作系统、安全保障要求的评估证据和终端操作系统的组成部分 5.2.3.3交付程序开发者应使用一定的交付程序交付终端操作系统,并将交付过程文档化在给用户方交付终端操作系统的各版本时,交付文档应描述为维护安全所必需的所有程序 5.2.4测试 5.2.4.1 覆盖开发者应提供测试覆盖文档,测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的终端操作系统的安全功能间的对应性 5.2.4.2功能测试开发者应测试终端操作系统安全功能,将结果文档化并提供测试文档测试文档应包括以下内容测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果 a 的任何顺序依赖性; 预期的测试结果,表明测试成功后的预期输出 b c 实际测试结果和预期的测试结果一致 5.2.4.3独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试 5.2.5脆弱性评定开发者应执行脆弱性分析,并提供脆弱性分析文档基于已标识的潜在脆弱性,终端操作系统能够抵抗具有基本攻击潜力攻击者的攻击测试评价方法 6.1安全功能要求测试 6.1.1身份鉴别 6.1.1.1 用户标识用户标识的测试评价方法如下测试方法: a 模拟移动智能终端操作系统用户进行注册和登录操作,检查用户标识是否唯一 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合
GB/T34976一2017 凡需进人移动智能终端操作系统的用户,应先进行用户标识(建立账号); 1 22 应在移动智能终端操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、 UD等之间的一致性结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.1.2鉴别技术手段鉴别技术手段的测试评价方法如下测试方法 a 模拟移动智能终端操作系统用户进行登录操作,并执行安全参数配置、口令修改、数据备 1 份等安全功能相关操作,检查用户在执行任何与移动智能终端操作系统安全功能相关的操作之前是否进行鉴别: 2 检查移动智能终端操作系统提供的用户鉴别机制是否包括提供用户名、口令方式; 33 查看移动智能终端操作系统是否提供其他用户鉴别机制,如基于令牌的动态口令鉴别/生物特征鉴别如指纹、虹膜/数字证书等 b)预期结果记录测试结果并对该结果是否完全符合上述测试预期结果要求作出判断,应符合应在用户执行任何与移动智能终端操作系统功能相关的操作之前至少使用一种鉴别机制进行用户合法性鉴别; 22 应至少提供以下鉴别机制中的一种方式进行身份鉴别:口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别(如指纹、虹膜》/数字证书鉴别等,并在每次用户登录系统时进行鉴别结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.1.3鉴别信息保护鉴别信息保护的测试评价方法如下测试方法 a 模拟用户进行移动智能终端操作系统登录操作,如输人口令,指纹信息等 1) 2) 模拟用户执行鉴别信息修改操作,查看系统是否要求进行用户身份鉴别根据产品资料确定鉴别信息存放路径,分别尝试以授权和非授权的方式读取用户的账号、 3 口令密码信息 b 预期结果若进行身份鉴别时,用户口令明文显示,则本项判为不合格; 1) 2) 若用户鉴别信息修改操作之前,无需进行身份鉴别,则本项判为不合格 3) 若以授权方式或非授权方式能够获得以上鉴别信息的明文内容,则本项判为不合格结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.1,4鉴别失败处理鉴别失败处理的测试评价方法如下测试方法 a) 检查系统是否提供用户鉴别失败处理措施 1 22 对不成功的鉴别尝试的值(包括尝试次数和时间的闵值)及鉴别失败处理措施进行参数设置;
GB/34976一2017 33 模拟移动智能终端操作系统用户进行登录操作,并连续鉴别失败,检查系统是否依据鉴别失败处理措施的参数配置进行相应处理 5 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合: 应通过对不成功的鉴别尝试的值(包括尝试次数和时间的阔值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.1.5用户-主体绑定用户-主体绑定的测试评价方法如下测试方法 a 检查系统是否提供将用户进程与所有者用户相关联的用户主体绑定功能,使用户进程的行为可以追溯到进程的所有者用户 22 检查系统是否提供将系统进程动态地与当前服务要求者用户相关联的用户主体绑定功能,使系统进程的行为可以追溯到当前服务的要求者用户 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合 1) 将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户 22 将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.2访问控制 6.1.2.1访问控制属性访问控制属性的测试评价方法如下测试方法 a 检查系统是否提供访问控制机制,允许用户规定并控制对客体的访问; 1) 2 检查系统提供的访问控制机制是否阻止非授权用户对客体的访问; 3 检查系统提供主体的访问控制属性,是否包括读、写、执行等检查系统提供客体的访问控制属性,是否包括可分配给主体的读、写和执行等权限！ b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访间 1) 22 主体的访问控制属性至少应有读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.2.2访问授权规则访问授权规则的测试评价方法如下
GB/T34976一2017 测试方法 a 检查系统是否提供访问授权规则查看系统提供访问授权规则的授权范围,是否包括主体和客体及相关的访问控制属性,并 2 指出主体和客体对这些规则应用的类型 3 查看系统提供访问授权规则的授权范围,是否覆盖了系统中的每一个客体,并由客体的创建者以用户指定方式确定其对该客体的访问权限; 检查系统中客体的拥有者是否拥有该客体的全部控制权,并允许该客体拥有者把该客体 44 的控制权分配给其他主体预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合授权的范围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规 1 则应用的类型对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体 2 的访问权限; 3 客体的拥有者对其拥有的客体应具有全部控制权,允许客体拥有者把该客体的控制权分配给其他主体结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.3安全审计 6.1.3.1 审计内容审计内容的测试评价方法如下: 测试方法 a 模拟用户对移动智能终端进行连续鉴别失败、数据存储空间耗尽、参数设置、网络访问等 1 操作 22 查看审计日志,检查审计数据是否包括系统运行记录、报警记录、操作日志网络流量记录、用户行为记录,应用软件运行日志、配置信息等; 3 检查日志项是否包括了事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败等预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合: 应能够获取各种类型安全事件的审计数据,如:系统运行记录、报警记录,操作日志、网络 1 流量记录用户行为记录、应用软件运行日志、配置信息等; 每个事件的审计记录,应包括以下信息;事件发生的日期和时间,触发事件的用户或进程主体,事件的类型、事件成功或失败等结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.3.2审计保护审计保护的测试评价方法如下测试方法 a 检测系统是否提供对审计功能的保护措施,限制未授权用户对审计记录的访问; 1 10
GB/34976一2017 22 检测系统是否提供用户打开和关闭审计的机制 33 模拟用户对审计功能进行打开/关闭操作,重启系统,查看系统是否根据用户设置提供默认的审计机制 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据，要严格限制未经授权的用户访问应提供用户一个受保护的打开和关闭审计的机制该机制能选择和改变审计事件,并在系 22 统工作时处于默认状态结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.3.3审计跟踪管理审计跟踪管理的测试评价方法如下测试方法 1) 检测系统是否提供审计存储空间维护功能 22) 模拟操作系统用户设置审计跟踪极限的阔值; 33 当存储空间被耗尽时,检测系统是否依据设定的阀值,按操作系统用户的设置提供指定的措施,如报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合 1操作系统用户应能够定义超过审计跟踪极限的阂值 22 当存储空间被耗尽时,应能按操作系统用户的指定决定采取的措施,包括;报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.4用户数据安全 6.1.4.1用户数据保护用户数据保护的测试评价方法如下测试方法 aa 1)模拟非授权用户尝试对用户数据进行查阅和修改,检测系统能否限制类似非授权行为检测系统能否对应用软件获取用户数据的行为进行自动分析,告警和阻断 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合产品应保证用户数据不被未授权查阅或修改; 22 对应用软件获取用户数据行为进行自动分析、告警和阻断结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.4.2用户数据完整性用户数据完整性的测试评价方法如下 11
GB/T34976一2017 测试方法 a 分别对用户数据在存储传输和处理过程中进行完整性破坏,检测系统是否提供用户数据在存储和处理过程中的完整性保护措施预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.4.3用户数据保密性用户数据保密性的测试评价方法如下测试方法 a 检测系统是否对用户敏感数据(如各类账号、口令、定位信息、通讯录、短信、照片等)采用加密存储或隐藏技术 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合用户敏感数据应采用一定强度的加密储存或采用隐藏技术,以减小移动终端丢失所造成的损失结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.4.4剩余信息保护剩余信息保护的测试评价方法如下测试方法 a 检测系统是否提供剩余信息保护功能,以确保非授权用户无法查找系统现已分配给其的存储介质中以前的信息内容,以及使用后返还系统的存储介质中的信息内容预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合: 应确保非授权用户不能查找使用后返还系统的存储介质中的信息内容; 1 应确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容 2 结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.5数据安全数据安全的测试评价方法如下: 测试方法 a 1 检测系统是否采用访问控制、加密等机制,提供对重要的系统数据如配置和控制信息、告警和事件数据等)的安全保护措施检测系统是否具备对日常数据安全备份与恢复功能,模拟系统用户进行数据备份和恢复 2 操作,验证该项功能的有效性; 33 模拟系统用户设置数据存储空间阔值参数,当数据的存储空间达到阔值时,检测系统能否向系统用户进行自动报警; 12
GB/34976一2017 查看系统在存储空间将要耗尽时,是否提供相应措施保证未及时保存的数据不丢失 4 b 预期结果: 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合应提供有效,合理,安全的数据存储方案,对重要的系统数据(如配置和控制信息、告警和事件数据等)进行存储保护,保证重要系统数据不被泄漏或篡改 22 应具有日常数据安全备份与恢复功能; 33 应在数据的存储空间达到值时能够向移动智能终端操作系统用户进行报警 4)当存储空间将要耗尽时,应采取一定措施保证从数据源传来的未及时保存的数据不丢失结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.6存储介质管理存储介质管理的测试评价方法如下 a 测试方法: 检测系统是香提供对移动智能终端中的存储设备(包括智能芯片、存储卡等)的统- 1 一管理和检测功能; 在多用户系统中,分别模拟不同用户A,用户B登录操作系统,操作终端并各自生成用户数据存储于存储介质上-尝试以用户A非授权访问存储介质中由用户B生成的用户数据,查看是否能否访问成功预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合可对移动智能终端中的存储设备(包括智能芯片、,存储卡等)进行有效监测和统一管理 1 2 在单用户系统中,应防止用户进程影响系统的运行在多用户系统中,系统对多用户间采取一定隔离机制,用户无法非授权访问其他用户的 3 数据结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.7应用软件安全管理应用软件安全管理的测试评价方法如下: 测试方法 a 1在移动智能终端上安装终端应用软件,检查是否提示用户对应用软件的安装进行授权: 检查用户是否能够修改默认安装位置,并设置应用软件的安装位置 22) 3 检查用户是否能够对应用软件使用的终端资源(如网络通信模块、摄像头、导航定位等)和终端数据(如相册、通讯录等)进行确认卸载终端应用软件,检查其安装及使用生成的数据是否被完全删除 4 5 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合系统依据用户对应用软件的安装授权正确在移动智能终端上安装应用软件,并生成相应图标; 22 安装位置可由终端操作系统用户指定; 33 提示终端操作系统用户对其使用的终端资源和终端数据进行确认 4 终端应用软件安装后,终端操作系统和其他应用软件仍能正常使用 13
GB/T34976一2017 卸载时能够将其安装及使用过程产生的资源文件,配置文件和用户数据全部删除 5 结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.8用户策略管理用户策略管理的测试评价方法如下测试方法 a 1 检测系统是否为系统用户提供了初始化策略; 2)模拟用户对于策略进行添加、删除、修改、查询、导人、导出等操作,查看能否操作成功 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合应对移动智能终端用户提供初始化策略 1) 22 支持授权用户对用户策略的添加、删除、修改操作; 3 支持用户策略分发、查询、导人、导出策略等操作结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.9运行安全保护运行安全保护的测试评价方法如下测试方法 a 查看操作系统设计文档,检查系统设计时是否有违反或绕过安全规则的任何类型的人口 1 和文档中未说明的任何模式的人口; 查看操作系统设计文档,检查系统是否将系统程序与用户程序进行隔离预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合系统在设计时不应以维护,支持或操作需要为借口,设计有违反或绕过安全规则的任何类 1 型的人口和文档中未说明的任何模式的人口; 应将移动智能终端操作系统程序与用户程序进行隔离 2 3 应防止在用户模式下运行的进程对系统段进行写操作;而在系统模式下运行时,应允许进程对所有的虚存空间进行读、,写操作结果判定 c 上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.10升级能力升级能力的测试评价方法如下测试方法 a 检查产品的升级更新方式,进行相应策略配置,验证升级功能的有效性 1 检查产品的升级频率,验证升级功能的及时性 2 33 对系统进行安全属性配置后进行升级更新操作,查看升级后的系统安全属性是否与升级前一致; 在系统更新升级过程中,通过断网、关机等操作导致升级失败,查看系统是否具备回滚机制,确保系统安全属性与升级操作前一致; 对升级包进行篡改,检查产品能否升级成功 14
GB/34976一2017 b)预期结果 1)系统应具有及时更新、升级功能,并确保升级前后的系统安全属性一致性; 22 系统应通过签名验证等机制确保升级包的完整性结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.11超时锁定或注销超时锁定或注销的测试评价方法如下测试方法: 检测系统是否提供用户登录超时锁定或注销功能; 1) 22 模拟系统用户设置最大超时时间阔值,并在设定的时间段内没有任何操作,检测系统能否终止用户会话,检测用户是否需进行身份鉴别后才能继续系统操作 b)预期结果: 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合 I)应具有登录超时锁定或注销功能应提供用户设定最大超时时间的功能; 22 在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新 33 操作结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.12运行监控运行监控的测试评价方法如下测试方法 a 检测系统是否提供对移动智能终端设备运行状态(比如CPU使用率、内存占用率、存储空间等、网络连接、系统环境的状态实时监测预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合应提供对移动智能终端设备运行状态(比如CPU使用率、内存占用率、存储空间等),网络连接、系统环境的监测结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.13可靠时钟可靠时钟的测试评价方法如下测试方法 a 检测系统是否提供手工、自动时钟设置功能; 手动更改系统日期和时间,查看界面显示日期和时间是否更新为所设日期和时间 2 3 选择自动设置日期和时间,查看界面显示时间是否更新为当前实际日期和时间 4 手动更改系统时区,查看界面显示系统时区是否更新 b 预期结果记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合应提供手工设定系统时钟和远程时钟服务自动时钟同步两种方式的系统时钟设置功能 15
GB/T34976一2017 结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.14可用性 6.1.14.1稳定性稳定性的测试评价方法如下: 测试方法 a 模拟用户在智能终端上部署并使用操作系统,进行各种功能操作预期结果 b 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合 1产品在智能终端正常工作状态下应工作稳定,不应造成移动智能终端死机现象; 产品的运行不应影响移动智能终端的正常网络通信 22 结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.1.14.2兼容性兼容性的测试评价方法如下测试方法 a 1 检测系统是否提供了第三方软件应用接口; 22 模拟用户在操作系统上安装并使用第三方应用软件,并进行软件升级操作 b 预期结果: 记录测试结果并对该结果是否完全符合上述测试方法要求作出判断,应符合 1) 除了自带的应用程序,移动智能终端操作系统应提供良好的第三方软件应用接口能够支持第三方应用软件的安装、运行和升级功能 2 结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2安全保障要求测试 6.2.1开发 6.2.1.1安全架构安全架构的测试评价方法如下测试方法 a 审查安全架构文档是否准确描述如下内容与产品设计文档中对安全功能实施抽象描述的级别一致; 12 描述与安全功能要求一致的终端操作系统安全功能的安全域; 3 描述终端操作系统安全功能初始化过程为何是安全的 4 证实终端操作系统安全功能能够防止被破坏; 5 证实终端操作系统安全功能能够防止安全特性被旁路 b 预期结果: 开发者提供的文档内容应满足上述要求结果判定 16
GB/34976一2017 上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.1.2功能规范功能规范的测试评价方法如下测试方法 aa 审查功能规范文档是否准确描述如下内容: 完全描述终端操作系统的安全功能描述所有安全功能接口的目的与使用方法 2 3 标识和描述每个安全功能接口相关的所有参数描述安全功能接口相关的安全功能实施行为！描述由安全功能实施行为处理而引起的直接错误消息 5 6 证实安全功能要求到安全功能接口的追溯预期结果 b 开发者提供的文档内容应满足上述要求结果判定: 上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.1.3产品设计产品设计的测试评价方法如下测试方法 a 审查产品设计文档是否准确描述如下内容根据子系统描述终端操作系统结构 1) 标识和描述终端操作系统安全功能的所有子系统 2 3)描述安全功能所有子系统间的相互作用 4)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口预期结果 b 开发者提供的文档内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.2指导性文档 6.2.2.1操作用户指南操作用户指南的测试评价方法如下测试方法 a 审查操作用户指南是否准确描述如下内容描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息描述如何以安全的方式使用终端操作系统提供的可用接口 33 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值; 4 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性; 5 标识终端操作系统运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系; 17
GB/T34976一2017 充分实现安全目的所执行的安全策略 6 b 预期结果: 开发者提供的文档内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.2.2准备程序准备程序的测试评价方法如下测试方法 a 审查准备程序文档是否准确描述如下内容描述与开发者交付程序相一致的安全接收所交付终端操作系统必需的所有步骤; 1) 描述安全安装终端操作系统及其运行环境必需的所有步骤 2) 预期结果 b 开发者提供的文档内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.3生命周期支持 6.2.3.1配置管理能力配置管理能力的测试评价方法如下 a 测试方法审查开发者是否为不同版本的终端操作系统提供唯一的标识; 1) 22 现场检查配置管理系统是否对所有的配置项作出唯一的标识,且配置管理系统是否对配置项进行了维护; 33 审查开发者提供的配置管理文档,是否描述了对配置项进行唯一标识的方法预期结果 b 开发者提供的文档和现场活动证据内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.3.2配置管理范围配置管理范围的测试评价方法如下测试方法 a 审查开发者提供的配置项列表; 1) 2 配置项列表是否描述了组成终端操作系统的全部配置项及相应的开发者 b 预期结果开发者提供的文档和现场活动证据内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.3.3交付程序交付程序的测试评价方法如下 18
GB/34976一2017 测试方法 a 1 现场检查开发者是否使用一定的交付程序交付终端操作系统; 22 审查开发者是否使用文档描述交付过程,文档中是否包含以下内容;在给用户方交付系统的各版本时,为维护安全所必需的所有程序预期结果 b 开发者提供的文档和现场活动证据内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.4测试覆盖 6.2.4.1 覆盖的测试评价方法如下测试方法 a 审查开发者提供的测试覆盖文档,在测试覆盖证据中,是否表明测试文档中所标识的测试与功能规范中所描述的终端操作系统的安全功能是对应的预期结果 b 开发者提供的文档内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.4.2功能测试功能测试的测试评价方法如下测试方法 a 审查开发者提供的测试文档,是否包括测试计划、预期的测试结果和实际测试结果 1) 2 审查测试计划是否标识了要测试的安全功能,是否描述了每个安全功能的测试方案(包括对其他测试结果的顺序依赖性); 审查期望的测试结果是否表明测试成功后的预期输出; 3 审查实际测试结果是否表明每个被测试的安全功能能按照规定进行运作 4 预期结果 b 开发者提供的文档内容应满足上述要求结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.4.3独立测试独立测试的测试评价方法如下测试方法 a 评价者应审查开发者提供的测试资源; 1) 22 评价者应抽查并测试开发者提供的测试集合是否与其自测系统功能时使用的测试集合相 -致 b 预期结果开发者提供的资源应满足上述要求结果判定 19
GB/T34976一2017 上述预期结果均满足判定为符合,其他情况判定为不符合 6.2.5脆弱性评定脆弱性评定的测试评价方法如下: 测试方法 1 审查开发者提供的脆弱性分析文档,是否对所标识的每个具有安全功能强度声明的安全机制进行了安全功能强度分析 22 从用户可能破坏安全策略的明显途径出发,按照安全机制定义的安全强度级别,对终端操作系统进行脆弱性分析; 3 利用相关工具、脚本及人工渗透测试方法,参照CNNVD等权威漏洞发布平台公布的高中危漏洞,对被测操作系统进行攻击测试和漏洞验证 b 预期结果渗透性测试结果应表明终端操作系统能够抵抗具有基本攻击潜力攻击者的攻击结果判定上述预期结果均满足判定为符合,其他情况判定为不符合 20

信息安全技术移动智能终端操作系统安全技术要求和测试评价方法GB/T34976-2017解读

随着移动互联网时代的到来，人们越来越依赖于移动智能终端。这些设备不仅提供了便利，也带来了风险。为了保护用户的个人信息和数据安全，我国制定了一系列与信息安全相关的标准，其中包括移动智能终端操作系统安全技术要求和测试评价方法GB/T34976-2017。

信息安全技术要求

GB/T34976-2017规定了移动智能终端操作系统的安全技术要求。具体要求如下：

身份认证：操作系统应该支持多种认证方式，如密码、指纹、面部识别等；
数据保护：操作系统应该采用加密技术保护用户数据的传输和存储，同时支持数据备份和恢复；
网络安全：操作系统应该支持防火墙、VPN等安全协议，以及针对网络攻击的检测和防范技术；
应用程序管理：操作系统应该有完善的应用程序管理机制，包括权限控制、黑白名单等；
远程访问管理：操作系统应该支持远程访问权限控制、数据加密传输等功能。

测试评价方法

GB/T34976-2017还规定了移动智能终端操作系统的测试评价方法。主要测试项目包括：

启动速度：测试操作系统的启动速度，并与同类产品进行比较；
稳定性：测试操作系统的稳定性，比如在不同环境下运行的情况等；
资源消耗：测试操作系统的资源消耗情况，如CPU占用率、内存占用率等；
安全性：测试操作系统是否存在漏洞、后门等问题；
兼容性：测试操作系统在不同设备上的兼容性，如平板电脑、手机等；
易用性：测试操作系统的界面友好程度、交互设计等。

结论

GB/T34976-2017标准的制定，为移动智能终端操作系统的安全提供了有力支持。未来，相关部门还将加强对移动智能终端操作系统的监督和管理，进一步完善移动智能终端信息安全技术体系，保障用户的个人信息和数据安全。