国家标准 GB/T35278一2017 信息安全技术移动终端安全保护技术要求 Informationsecuritytechnology Teehmiealrequirementsftormohileterminalseeurityprotection 2017-12-29发布 2018-07-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/35278一2017 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:信息通信研究院(工业和信息化部电信研究院,北京邮电大学、移动通信集团公司、华为技术有限公司本标准主要起草人:翟世俊、宁华潘娟、杨正军、姚一楠、焦四辈、国炜、袁琦、陈泓汲、袁捷、邱勤黄曦、杨光华、何申、彭华熹、梁洪亮、刘书昌
GB/T35278一2017 引言随着移动互联网技术的迅速发展,移动终端得到了广泛的应用,并且在功能上不断扩展伴随着移动终端智能化及网络宽带化的趋势,移动互联网业务层出不穷,日益繁荣与此同时,移动终端也面临着各种安全威胁,如网络窃听、网络攻击、物理访问,恶意应用等,移动终端的安全面临着严峻挑战本标准根据移动终端面临的安全威胁,依据GB/T18336的要求,提出了移动终端的安全目的,规定移动终端的安全功能要求和安全保障要求,为移动终端安全的设计、开发、测试和评估提供指导,有助于提高移动终端的安全水准,降低移动终端面临的风险,保护用户个人安全以及国家安全,防止移动终端对移动互联网安全产生的不利影响,推动整个移动互联网的健康发展
GB/35278一2017 信息安全技术移动终端安全保护技术要求范围本标准规定了移动终端的安全保护技术要求,包括移动终端的安全目的、安全功能要求和安全保障要求本标准适用于移动终端的设计、开发、测试和评估规范性引用文件下列文件对于本文件的应用是必不可少的凡是日期的引用文作,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.12015 信息技术安全技术信息技术安全评估准则第1部分;简介和一般模型术语和定义、缩略语 3.1术语和定义 GB/T18336.1一2015界定的以及下列术语和定义适用于本文件 3.1.1 移动终端mobileterminal 在移动通信网络中使用的移动计算设备,包括移动智能终端及其他具有类似功能的终端设备等 3.1.2 移动终端用户mobileterminaluser 使用移动终端,与移动终端进行交互并负责移动终端的物理控制和操作的对象 3.1.3 用户数据userdata 移动智能终端上存储的用户个人信息,包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进人用户数据区的数据等 3.1.4 应用软件 applicationsofware 移动终端操作系统之上安装的,向用户提供服务功能的软件 3.1.5 accesscontrol 访问控制 -种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段 3.1.6 易失性存储器volatile memory 当电流关掉后,所储存的资料便会消失的电脑或终端存储介质
GB/T35278一2017 3.1.7 授权 auth0rization 在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程 3.1.8 数字签名digitalsignature 附在数据单元后面的数据,或对数据单元进行密码变换得到的数据允许数据的接收者验证数据的来源和完整性,保护数据不被篡改、伪造,并保证数据的不可否认性 3.1.9 vulnerability 漏洞计算机信息系统在需求、设计,实现、配置、运行等过程中,有意或无意产生的缺陷这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行 3.2缩略语下列缩略语适用于本文件 AsLR;地址空间布局随机化(AddressSpaceL.ayoutRandomization) DEK;数据加密密钥(DataEncryptionKey Psee;互联网协议安全性(InternetProtocolSecurity KEK:密钥加密密钥(KeyEncryptionKey) RBG:随机数产生(RandomBitGeneration REK:根加密密钥RootEncryptionKey Target SSL:安全套接层(SecureSocketsLayer TIS:传输层安全协议(TransportILayerSecurity TOE;评估对象(TargetofEvaluation) TSF:TOE安全功能(TOESecurityFunctionality) TSFI;TOE安全功能接口(TSFInterface' VPN;虚拟专用网络(VirtualPrivateNetwork wLAN;无线局域网(wirelesslocalareanetwork) 移动终端概述移动终端可以提供无线连接、安全消息、电子邮件、网络、VPN连接、VoIP等软件,用于访问受保护的数据和应用,以及与其他移动终端进行通信移动终端的网络环境如图1所示在该标准中,移动终端包括移动智能终端及其他具有类似功能的终端设备
GB/35278一2017 移动用户蜂窝网移动终端和其他组件外部网络内部网络 nternet GnraneD) 移动用户B WE 轻动和图1移动终端的网络环境移动终端的架构如图2所示,包括硬件、系统软件、应用软件,接口、用户数据等,硬件包括处理器、存储芯片、输人输出等部件;系统软件包括操作系统、基础通信协议软件等;应用软件包括预置和安装的第三方应用软件;用户数据包括所有由用户产生或为用户服务的数据;接口包括蜂窝网络接口、无线外围接口有线外围接口、外置存储设备等移动终端应提供加密服务、静态数据保护,密钥存储、访问控制、用户认证、软件完整性保护等服务,保证移动终端的保密性、可用性和完整性,降低移动终端所面临的网络攻击、恶意软件等风险,保障用户的移动终端信息安全应用软件用系统软件数据硬件图2移动终端的架构安全问题 5 5.1假设 5.1.1配置(A.coNFIG) 假设正确地配置了移动终端的安全功能,以确保移动终端的所有网络通信都执行了相应的安全策略 5.1.2预防措施(A.PRECAUIoN) 假设移动用户执行了预防措施,以减少移动终端丢失或失窃后用户信息泄露的风险
GB/T35278一2017 5.2安全威胁 5.2.1网络窃听(T.EAVESDRoP) 攻击者监听或者截获移动终端与另一端点进行交互的数据 5.2.2网络攻击(T.NETWORK 攻击者通过发起和移动终端的通信对其进行攻击,或者通过更改移动终端和其他端点之间的通信对其进行攻击 5.2.3物理访问(T.PHYsICAL 移动终端被盗或者丢失后,攻击者可通过对移动终端的物理接人获得移动终端上的数据通常的接人方式包括外部硬件接口、用户接口,或者直接进行破坏性接人到移动终端的存储介质 5.2.4恶意应用软件(T.FLAwAPP) 在移动终端上,可通过多种形式下载并安装应用软件除了正规的应用商店外,还有很多第三方应用商店向用户提供应用软件下载,而这些第三方应用商店为恶意应用软件提供了分发渠道,恶意应用软件可盗取移动终端上的数据恶意应用软件先攻击平台系统软件,获得额外的权限来实施进一步的恶意行为,这些恶意的行为包括控制终端的传感器,如GPS,摄像头、麦克风,以便收集用户的信息,然后将这些信息发送到网络 5.2.5持续攻击(T.PpRSISTENry 移动终端被攻击者持续攻击意味着该终端已经失去了完整性移动终端被攻击者持续访问,对移动终端自身构造了持续的威胁,移动终端及其数据可以被攻击者控制或访问安全目的 o 6.1ToE安全目的 6.1.1通信保护(o.coMIMS) 为了应对网络窃听和网络攻击的威胁,在移动终端和远程网络实体之间通过无线方式传输用户数据以及配置数据时,需使用可信的通信路径移动终端应使用下面标准协议中的一个或多个进行通信: Psec,DTLs,TI.S或HTTPS,实施该要求能够在提供互通性的同时应对网络窃听和网络攻击 6.1.2存储保护(O.STORAGE 为了应对移动终端丢失的情况下用户数据保密性损失的问题,移动终端应提供数据保护功能移动终端应能够对存储在终端上的数据和密钥进行加密,并防止对这些加密数据的非授权访间 6.1.3移动终端安全策略配置(o.coNFIG) 移动终端应对其存储或处理的用户数据进行保护,移动终端应提供配置和应用安全策略的功能如果移动终端配置了安全策略,应按照用户指定的安全策略的优先级应用这些安全策略 6.1.4授权和鉴别(o.AUT) 为了应对移动终端丢失的情况下丧失用户数据的机密性,在访问受保护的功能和数据之前,用户需
GB/35278一2017 要向移动终端发起鉴权申请一些非敏感功能如拨打紧急电话,文字提示)可以无需鉴权直接访问移动终端应按照用户配置的时间自动锁定,以确保移动终端丢失或被盗情况下的授权访问通信中,网络节点应经过鉴权建立合法连接以确保无法建立非授权的网络连接 6.1.5移动终端完整性(o.INTEGRIrY 为了确保移动终端的完整性,移动终端应能自检其关键功能、软件、固件和数据的完整性,自检失败的信息应能提示给用户为应对应用程序漏洞和恶意软件攻击,对软件和固件版本升级也应在安装运行前进行完整性检测移动终端应限制应用软件仅能访问授权的系统服务和数据移动终端应对恶意应用软件攻击进行专门保护,防止恶意应用软件获取其非授权访问的数据 6.2环境安全目的 6.2.1配置(oE.coONFG) 移动终端管理员应正确配置移动终端安全功能,以执行预定的安全策略 6.2.2预防措施(OE.PRECAUTION) 移动用户应采取预防措施,以减少移动终端丢失或失窃后用户信息泄露的风险安全功能要求 7.1概述表1列出了移动终端安全功能要求组件,下述各条对各组件给出了详细说明赋值及选择操作用斜体表示表1安全功能要求组件安全功能类安全功能要求组件编号 FAU_GEN.1审计数据产生 FAU_sAR.1审计查阅 FAU_sAR.2有限审计查阅 FAU类;安全审计 FAU_sAR.3可选审计查阅 FAU_SEL.l选择性审计 FAU_STG.1受保护的审计迹存储 FAU_STG.4防止审计数据丢失 Fcs._cKM.l.1密钥生成 Fcs_CKM.2.1密钥分发 10 FCs_CKM_ExT.1密钥支持 11 FCS类:密码支持 FCS_CKM_EXT.2数据加密密钥 FCS_CKM_EXT.3密钥加密密钥 12 FCS_CKM_EXT.4密钥销毁 13 FCS_CKM_EXT.5TSF擦除 l4
GB/T35278一2017 表1续安全功能类安全功能要求组件编号 FCsCKMLEXT.得盐值生成 15 16 FcS_coP.1密码运算 FCS_HTTPs_EXT.1HTTPS协议 17 FCSs_IV_EXT.1初始向量生成 18 FCS_RBG_EXT.1l随机位生成器 19 20 FCS类:密码支持 FCS_SRV_EXT.1密码算法服务 21 FCS_STG_EXT.1密钥存储 STG_ExT.2存储密钥的加密 2 _STG_ExT.3存储密钥的完整性 2 FCSTISCEXT.1EAP-TLS客户端协议 24 25 FCS_TISCEXT.2TLS客户端协议 FDP_ACF_EXT.1访问控制 26 FDP_DAR_EXT.1静态数据保护 27 FDP_IFC_EXT.1子集信息流控制 28 FDP类;用户数据保护 29 FDPSTG _ExT.1用户数据存储 FDPUPC_EXT.1TsF间用户数据传输保护 30 31 FIA_AF_ExT.1鉴别失败处理 FIA_BL.T_EXT.1蓝牙用户鉴别 32 FIA_PMGEXT.1口令管理 33 FIA_TRT_EXT.1鉴别限制 34 35 FIA_UAU.7受保护的鉴别反馈 FIA类;标识和鉴别 UAU_EXT.1加密运算的鉴别 36 37 FIA_UAU_ExT.2鉴别的时机 38 FIA_UAU_EXT.3重鉴别 FIA_X509_EXT.1证书验证 39 40 FIA_X509_EXT.2证书鉴别 41 FIA_X509_EXT.3请求证书验证 42 FMT_MOF,1安全功能行为的管理 FMT类;安全管理 FMT _SMF.1管理功能规范 43 FMT_sMF_ExT.1补教措施规范 44 45 FPT_AEx_EXT.1地址空间布局随机化 46 FPT_AEX_EXT.2存储页权限 FP类;TsF保护 47 FPT_AEX_EXT.3堆栈溢出保护 FPT_AEX_EXT.4域隔离 48
GB/35278一2017 表1(续安全功能要求组件安全功能类编号 FPT_KST_ExT.1密钥存储 49 50 FPT_KST_EXT.2密钥传输 51 FPT_KST_EXT.3明文密钥导出 FPT_NOT_EXT.1自检通知 52 FPT类;TSF保护 FPT_STM.1可靠的时间戳 53 54 FPT_TST_EXT.1TSF加密功能测试 55 FPT_TST_EXT.2TSF完整性测试 _ExT.1可信更新;TsF版本查询 FPTT[UD 56 57 FP_TUD_EXT.2可信更新的验证 58 FTA_ssIL_EXT.1TsF和用户启动的锁定状态 FTA类;TOE访问 59 FTA_wSEEXT.1无线网络接人 60 FTP类;可信路径/信道 FTP_ITC_EXT.1可信通道通信 7.2FAU类:安全审计 7.2.1审计数据产生(FAU_GEN.1 FAU_GEN.1.1TSF应能为下述可审计事件产生可审计记录 a)审计功能的启动和关闭 b) 可审计事件的最小集合; [赋值:其他专门定义的可审计事件] c FAU_GEN.1.2TSF应在每个审计记录中至少记录如下信息事件的日期和事件、事件的类型,事件的主体身份、事件的结果成功或失 a 败); 基于安全功能组件中可审计事件定义的[赋值;其他审计相关信息] 审计查阅(FAU_SAR.1) 7.2.2 TsF应为[赋值:授权用户,审计管理员]提供从审计记录中读取[赋值;审计信息 FAU_SAR.1.l 列表]的能力 FAUSAR.1.2TSF应以便于用户理解的方式提供审计记录 7.2.3有限审计查阅(FAU_SAR.2) FAU_sAR.2.1除具有明确读访问权限的用户外,TSF应禁止所有用户对审计记录的访问可选审计查阅(FAU_SAR.3 7.2.4 FAU_SAR.3.1TSF应根据[赋值:具有逻辑关系的标准]提供对审计数据进行[赋值:搜索,分类,排序]的能力
GB/T35278一2017 7.2.5选择性审计(FAU_SEL.1) FAU_SEL.1.1TsF应能根据以下属性从审计事件集中包括或排除可审计事件 [选择;用户身份,事件类型] a b)[赋值;审计选择所依据的附加属性表] 7.2.6受保护的审计迹存储(FAU_SG.1 FAU_STG.1.1TSF应保护所存储的审计记录,以避免未授权的删除 FAU_sTG.,1.2TsF应能[选择,选取一个;防止、检测]对审计迹中所存储审计记录的未授权修改 7.2.7防止审计数据丢失(FAUSTG.4) FAU_STG.4.l如果审计迹已满,TSF应[选择,选取一个;“忽略可审计事件”“阻止可审计事件，除具有特权的授权用户产生的”“涵盖所存储的最早的审计记录”]和[赋值审计存储失效时所采取的其他动作] 7.3FCS类密码支持 7.3.1密钥生成(FCsCKM.1.1) FCs_CKM.1.1移动终端的安全功能应根据符合下列标准[赋值:标准列表]中的特定的密钥生成算法[赋值;密钥生成算法]和规定的密钥长度[赋值;密钥长度]来生成密钥 7.3.2密钥分发(FCs_CKM.2.1 FCs_CKM.2.1移动终端的安全功能应根据符合下列标准[赋值;标准列表]中的一个特定的密钥分发方法[赋值:密钥分发方法]来分发密钥 7.3.3密钥支持FCSCKMEXT.1 FCS_CKM_EXT.1.1移动终端的安全功能应支持[选择硬件隔离,硬件保护]的密钥大小为[选择;密钥长度]的根加密密钥 FCs_CKM_EXT.1.2移动终端的安全功能上的系统软件应只能通过密钥请求[选择;加密/解密密钥分发],不能够读取,导人,导出根加密密钥 FCS_CKM_EXT.1.3应按照F:CS_RBG_EXT.1的随机位生成器来生成根加密密钥 7.3.4数据加密密钥(FCs_CKNM_EXT.2) FCs_CKM_EXT.2.1所有的数据加密密钥应按照[选择;密钥长度]的[选择;密钥生成算法]的安全强度对应的嫡来随机生成 7.3.5密钥加密密钥(FCs_CKM_EX.3) FCs_CKM_EXT.3.1所有密钥加密密钥(KEKs)应为[赋值:密钥长度]密钥,至少相应于被KEK 加密的密钥的安全强度 FCS_CKM_EXT.3.2移动终端的安全功能应使用以下方法[赋值:方法列表],从一个口令授权因子中导出所有密钥加密密钥
GB/35278一2017 7.3.6密钥销毁(FCs_CKM_EXT.4) FCs_CKM_EXT.4.1移动终端的安全功能应按照规定的密钥销毁方法[选择;密钥销毁方法]销毁密钥 FCs_CKM_ExT.4.2移动终端的安全功能应销毁所有不再需要的明文密钥材料和关键安全参数 7.3.7ISF擦除(FCSCKMEXT.5 FCS_CKM_EXT.5.1移动终端的安全功能应在擦除受保护数据时 EEPROM:销毁应进行单向随机数覆盖,覆盖后应进行读取验证 a b) 闪存:销毁应进行单向全零覆盖或块擦除,覆盖或擦除后应进行读取验证其他非易失存储器:销毁应进行三次或三次以上随机数覆盖,每次覆盖 c 使用的随机数不同 FCS_CKM_EXT.5.2移动终端的安全功能应在擦拭程序结束时重新启动 7.3.8盐值生成(FCs_CKM_EXT.6 FCs_CKM_EXT.6.1移动终端的安全功能应使用满足FCS_RBG_EXT.1的RBG生成所有的盐值 7.3.9密码运算(FCs_coP.1) FCs_coP.1.1(1)移动终端的安全功能应按照满足下列标准[赋值;标准列表]规定的密码算法 [赋值;密码算法]和密钥长度[赋值密钥长度]执行加密/解密 FCS_COP.1.1(2 移动终端的安全功能应按照满足下列标准[赋值;标准列表]规定的密码算法 [赋值;密码算法]和密钥长度[赋值:密钥长度]来执行[赋值:密码散列] FCs_cOP.1.1(3)移动终端的安全功能应按照规定的密码算法[赋值:密码算法]执行密码签名服务(生成和验证》 FC's_COP.1.1(4)移动终端的安全功能应按照满足下列标准[赋值;标准列表]规定的密码算法 [赋值:密码算法]和密钥长度[赋值:密钥长度]来执行散列消息鉴别移动终端的安全功能应按照下列标准[赋值;标准列表]规定的密码算法[赋 FCS_COP.1.l(5 值:密码算法]和输出密钥长度[赋值:密钥长度]来执行基于口令的密钥导出算法 7.3.10HIPs协议(FCSHIIPsEXT.1 FCS_HTTPs_EXT.1.1移动终端的安全功能应执行符合标准的HTTPS协议 FCs_HTTPs_EXT.1.2移动终端的安全功能应执行使用TIS的HTTPS协议 FCSs_HTTPs_EXT.1.3如果对等证书被视为无效,移动终端的安全功能应通知应用程序和[选择:没有建立连接,请求应用程序授权建立连接,没有其他的动作 7.3.11初始向量生成(FCSIV_EXT.1 FCs_IV_EXT.1.1移动终端的安全功能应按照规定的加密模式[赋值:加密模式]的要求来生成初始向量
GB/T35278一2017 7.3.12随机位生成器(FCSs_RBG.1 FCs_RBG_EXT.1.1移动终端的安全功能应产生TSF密码功能中所使用的所有随机数,随机数产生器应符合国家标准和国家密码管理机构相关标准要求 7.3.13密码算法服务(rCs_SRw_EX.1) RCs_sRV_ExT.1.1移动终端的安全功能应向应用提供一种机制来请求移动终端安全功能执行密码运算[赋值;密码运算列表] 7.3.14密钥存储(FCs_SrGEXT.1) FCs_STG_EXT.1.1移动终端的安全功能应为非对称私钥和[选择:对称密钥,持久秘密,没有其他密钥]提供[选择;硬件,硬件隔离,基于软件]的安全密钥存储 FCs_STG_ExT.1.2移动终端的安全功能应能根据[选择;用户,管理员]和[选择;运行在ISr上的应用,无其他项目]请求,将密钥/秘密导人到安全密钥存储中 FCs_STG_ExT.1.3移动终端的安全功能应能根据[选择;用户,管理员]的请求,销毁存储在安全密钥存储中的密钥/秘密 FCs_STG_EXT.1.4移动终端的安全功能应只允许导人了密钥/秘密的应用才能使用密钥/秘密例外的情况只能是被[选择;用户,管理员,普通应用开发者]明确授权 FCs_STG_EXT.1.5移动终端的安全功能应只允许导人了密钥/秘密的应用才能请求销毁密钥/ 秘密例外的情况只能是被[选择;用户,管理员，普通应用开发者]明确授权 7.3.15存储密钥的加密(cs_SrG:Exr.2) FCS_STG_EXT.2.1移动终端的安全功能应通过KEKs加密所有的DEK、和KEKs和[选择;长期信任的信道密钥材料,所有基于软件的密钥存储,没有其他密钥],即是 [选择;通过REK利用[选择:;由REK加密,由链接到REK的KEK加密]来保护,通过REK和口令利用[选择;由REK 和口令派生的KEK加密,由链接到REK的KEK和口令派生KEK加密]来保护] FCs_STG_EXT.2.2应使用下列标准[赋值;标准列表]规定的密码算法[赋值:密码算法]对 DEK、和KEK、和[选择;长期信任的信道密钥材料,所有基于软件的密钥存储,没有其他密钥]进行加密 7.3.16存储密钥的完整性(FCs_SrG:EXT.3) FCs_STG_EXT.3.1移动终端的安全功能应通过以下方式[赋值:方式列表]来保护DEK、和 KEK、和[选择;长期信任的信道密钥材料,所有基于软件的密钥存储,没有其他密钥]的完整性 FCs_STG_EXT.3.2在使用密钥之前,移动终端的安全功能应验证存储密钥的[选择;哈希,数字签名,MAC]的完整性 7.3.17EAP-TIS客户端协议FCS_TISCEXT.1 FCS_TIsC_EXT.1.1移动终端的安全功能应实现支持以下套件[赋值:密码套件列表]的 TLS1.0和[选择:ILs1.1，1Ls1.2，没有其他IL.S版本] 10
GB/35278一2017 FCs_TLSC_EXT.1.2移动终端的安全功能应验证为EAPTLS提供的服务器证书[选择链接到指定的CAs中的一个,包括可接受的鉴别服务器证书的指定FQDN] FCs_TLsc_EXT.1.3如果对方的证书是无效的,移动终端的安全功能应不建立可信信道 FCs_TL.scEXT.1.4移动终端的安全功能应支持使用规定的证书来进行相互验证 7.3.18TLS客户端协议FCS_TLSCEXT.2 FCs_TLsC_EXT.2.1移动终端的安全功能应实现支持以下密码套件[赋值:密码套件列表]的 TLS1.2 FCs_TIL.SC_EXT.2.1移动终端的安全功能应根据标准验证给出的标识与参考标识相匹配 FCs_TI.SC_EXT.2.3如果对等证书无效,移动终端的安全功能不应建立可信信道 FCs_TL.scEXT.2.4移动终端的安全功能应支持使用规定的证书来进行相互验证 7.4FDP类:用户数据保护 7.4.1访问控制FDP_ACFEXT.1) FDP_ACF_EXT.1.1移动终端的安全功能应提供一种机制来限制应用程序访问系统服务 FDP_ACF_EXT.1.2移动终端的安全功能应提供一种访问控制策略来防止[选择;应用程序,应用程序组]访问[选择;应用程序,应用程序组]存储的[选择;全部.隐私]数据例外的只能是被[选择:用户.管理员,普通的应用程序开发者]明确授权用于共享 7.4.2静态数据保护(FDPDAREXT.1 FDP_DAR_EXT.1.1应加密所有受保护数据 FDP_DAR_EXT.1.2应使用密钥长度为[选择:密钥长度],密码算法为[赋值:密码算法]的 DEKs来执行加密 7.4.3子集信息流控制(FDPIFCEXT.1) FDP_IFc_ExT.1.2移动终端的安全功能应提供VPN客户端接口,或数据流直接通过VPN客户端的方式传输,如IPsecVPN或者ssLVPN 7.4.4用户数据存储(FDPSIGEXT.1 FDP_STG_EXT.1.1移动终端的安全功能应为信任锚数据库提供受保护的存储 7.4.5ISF间用户数据传输保护(FDP_UPC_EXT.1) FDP_UPC_EXT.1.1移动终端的安全功能应支持应用IPsec,DTLs,TLs,HTTPS,蓝牙中至少 -种方式进行安全通信 FDP_UPc_EXT.1.2移动终端的安全功能应允许非移动终端安全功能应用通过可信信道发起通信 7.5FIA类;标识和鉴别 7.5.1鉴别失败处理(FIA_AFI_EXT.1 FIA_AFL_EXT.1.1移动终端的安全功能应检测何时发生[赋值;正整数]次相对于该用户最后 11
GB/T35278一2017 成功鉴别的未成功鉴别尝试 FIA_AFL_EXT.1.2当超过所定义的未成功鉴别尝试的次数,移动终端的安全功能应擦除所有受保护的数据 FIA_AFI_ExT.1.3移动终端的安全功能应在发生断电后保持不成功的鉴别尝试次数蓝牙用户鉴别(FILT_ExT.1) 7.5.2 FIA_BL.T_EXT.1.1移动终端的安全功能应在与其他蓝牙设备配对前进行用户鉴别 7.5.3口令管理(FIA_P\G_EXT.1) FIA_PMG_EXT1.1移动终端安全功能应支持以下功能口令应可以由大写英文字母、小写英文字母、数字、特殊字符任意组合而成口令长度不低于6位 b 7.5.4鉴别限制(FIA_TRTEXT.1 FIA_TRT_EXT.1.1移动终端的安全功能应通过[选择:防止通过外部端口鉴别.强制执行不正确鉴别尝试之间的时延]对自动用户鉴别进行限制用户认证尝试连续失败次数不超过10次,两次尝试间隔应不小于500ms. 7.5.5受保护的鉴别反馈(FIA_UAU.7) FIA_UAU.7.1移动终端鉴别用户时,移动终端的安全功能应向用户提供隐式显示或提示,如显示关号,不允许明文显示和提示 7.5.6加密运算鉴别(FIA_UAU_EXT.1 FIA_UAU_EXT.1.1在启动时,移动终端的安全功能应要求用户在解密受保护数据和加密 DEKs,KEK、和[选择;长效密钥材料,软件密钥存储,无其他密钥]之前输人身份认证因子口令 7.5.7鉴别的时机(FIA_UAU_EXT.2) FIA_UAU_EXT.2.1在用户被鉴别之前,移动终端的安全功能应允许执行代表用户的[选择;[赋值;动作列表],无其他动作] FIA_UAU_EXT.2.2在允许执行代表用户的任何其他TSF介导之前,移动终端的安全功能应要求每个用户都已被成功鉴别 7.5.8重鉴别(FIA_UAU_EXT.3 FIA_UAU_EXT.3.1当用户更改口令鉴别因子时,移动终端的安全功能应要求用户输人正确的口令鉴别因子,并按照移动终端安全功能和用户发起的锁定过度到解锁状态,和[选择;[赋值;其他条件],无其他条件] 7.5.9证书验证FIAX509_EXT.1 FIA_X509_EXT.1.1TSF应按照下面的规则验证证书国家标准或国际标准规定的证书验证和证书路径验证 a 12
GB/35278一2017 b)移动终端的安全功能应使用[选择;规定的在线证书状态协议,规定的证书撤销列表]来验证证书的吊销状态 7.5.10证书鉴别(FIA_X509_EXI.2) FIA_X509_EXT.2.1移动终端的安全功能应支持特定的认证来支持EAPTLS交换,以及[选择 rsee，L.s，rIs.DrL.s]认证,和[选择;系统软件更新代码签名,移动应用代码签名,完整性验证代码签名，[赋值;其他用途],没有其他用途] FIA_X509_ExT.2.2当移动终端的安全功能无法建立连接以确定证书的有效性时,移动终端的安全功能应[选择:允许管理员在这些情况下选择是否接受证书.允许用户在这些情况下选择是否接受证书,接受证书,不接受证书] 7.5.11请求证书验证(FIA_X509_EXT.2) FIA_X509_EXT.3.1移动终端的安全功能应向应用程序提供证书验证服务 FIA_X509_EXT.3.2移动终端的安全功能应向请求的应用程序提供验证成功或失败的回应 7.6FM类:安全管理 7.6.1安全功能行为的管理(FIr_MoF.1) FMT_MOF.1.1移动终端的安全功能应限制用户执行表2第3列中功能的能力 FMT_MOF.1.2当设备已注册并根据管理员的配置策略,移动终端的安全功能应限制管理员执行表2第5列中功能的能力 7.6.2管理功能规范(Fr_SIr_EXT.1) FMT_SMF_EXT.1.1移动终端的安全功能应能够执行如下管理功能表2管理功能 FMT_sMF-FMT_MoF FMT_MOF 序号管理员管理功能 EXT.1 EXT.11 EXT,1.2 口令配置策略最小口令长度; M M M b) 最小口令复杂度; 最大口令生命周期锁定配置策略屏幕锁定开启和关闭 a M M M b 屏幕锁定启动时间; 最大允许解锁口令输人错误数开启/关闭VPN保护策略" 基于整个设备进行配置; a [选择 M 基于每个应用进行配置; b 无其他方法了开启/关闭[赋值;无线连接列表 M 13
GB/T35278一2017 表2(续 MSMFMMoF FMT_MOE 序号管理功能管理员 EXT.1.1 EXT.1 EXT1.2 启用/禁用[赋值:;音频或视频采集设备列表] 基于整个设备进行配置 M M M [选择基于每个应用进行配置; b 无其他方法] 配置安全功能允许连接的特定的无线网络SSID) M M 为每个无线网络进行安全策略配置: 指定设备接受wL.AN认证服务器验证的cA(s),或 a 指定可接受wLAN认证服务器验证的FQDN(s); M M 指定安全类型的能力; b e 指定认证协议的能力; 指定认证时客户端凭证 d 进人锁定状态的策略 M M 受保护数据全擦除策略配置 M M 应用安装策略配置应用来源限制策略; a M M M 10 b 应用白名单[赋值;应用属性] c 拒绝安装应用 M 将密钥/凭证导人安全密钥存储策略 1l 销毁安全密钥存储中密钥/凭证和[选择;无其他密钥 O 12 M 凭证，[赋值;其他类密钥/凭证的列表]7 M 将数字证书导人信任数据库策略 M 13 删除信任锚数据库中导人的数字证书和[选择;无其他 14 M 数字证书,[赋值其他类数字证书的列表] 15 M 将TOE加人管理 M 16 删除应用策略 N M 系统软件更新策略 M M 18 应用安装策略 M M M M 删除应用策略配置蓝牙可信信道策略 a 开启/关闭发现模式改变蓝牙设备名称 b [选择允许/不允许其他无线技术取代蓝牙 20 M d) 开启/关闭广播; 开启/关闭连接模式; e 开启/关闭设备上可用的蓝牙服务和/或配置; 为每个配对指定最低的安全水平 g 带外配对的允许方法配置策略] 14
GB/35278一2017 表2(续 MTSMF-FMT_MOF FMT MOR 序号管理功能管理员 EXT.1.1 EXT.1 EXT,1.2 锁定状态下提示显示的开启/关闭策略 Email提示; a 日历事件提醒 221 c M 联系人来电提示; d 短消息提示; 其他应用提示: 所有提示开启/关闭所有通过[赋值:外部可访问硬件端口列表] 22 的数据信令 23 开启/关闭[赋值;终端作为服务器的协议列表] 24 开启/关闭开发者模式启动静态数据保护 25 启动可移除媒体的静态数据保护 2 27 开启/关闭本地用户鉴别的绕过 (O 28 擦除用户数据 29 准许由信任错数据库中数字证书申请的[选择;导人,移除] 0 配置是否建立可信通道,以及在安全功能无法建立用于 30 C O 验证证书合法性的连接时是否不允许建立可信通道 31 开启/关闭用于连接蜂窝网基站的蜂窝网协议 0 32 读取由安全功能保存的审计日志 33 配置用于验证应用程序的数字签名的选择;证书,公钥批准例外的被多个应用程序其享使用的密钥/凭证 34 35 批准例外的由没有导人密钥/凭证的应用销毁密钥/凭证 36 配置解锁标识 (O 37 配置审计项目 (O 38 提取TSF-软件的完整性校验值开启关闭 [选择: 39 UsB大容量存储模式; a 用户身份未验证下UsB数据传输: b e)连接系统身份未验证下的USB数据传输 40 开启/关闭备份到[选择;本地连接的系统,远程系统] 开启/关闭 [选择 4 通过选择;预共享密钥,口令,无验证]来认证热点功能; b 通过选择;颜共享密钥,口令,无验证]来热证UsB绑定 15
GB/T35278一2017 表2(续 FMTSMF_FMT_MO)F FMT_MOF 序号管理功能管理员 ExT.1 EXT.1.1 EXT 1.2 批准例外的用于[选择;应用程序,应用程序]之间共 42 享数据 43 基于[赋值:应用属性]将应用置于应用程序组中 O 开启/关闭本地服务 a) 基于整个设备进行配置; M [选择 b 基于每个应用进行配置; 无其他方法] [赋值;由安全功能提供的其他管理功能列表注状态标记:M 强制性的;O可选的 7.6.3补救措施规范(FMIr_SMr_EXr.1) FMT_sMF_EXT.TsF应向非注册的终端提供[选择;擦除受保护数据,擦除敏感数据,提醒管理员,移除应用,[赋值;其他可用补救行动的列表]以及[选择;[赋值;其他管理员配置的触发器],没有其他触发器] 7.7FP类:IS保护 7.7.1地址空间布局随机化(FPr_AEx_EXT.1 FPT_AEX_ExT.1.1移动终端安全保护功能应向应用提供位址空间布局随机化 FPT_AEX_EXT.1.2任何用户空间映射的基地址将包括至少8个不可预测的位 7.7.2内存页权限(rFPr_AEx_Exr.2 FPT_AEX_EXT.2.1移动终端安全保护功能应具有强制读取、写人和执行每个物理内存页的权限 7.7.3堆栈溢出保护(FPT_AEX_ExXT.3) FPT_AEX_EXT.3.1在应用处理器上的非特权执行域执行的移动终端安全功能进程应执行基于堆栈的缓冲区溢出保护 7.7.4域隔离(FPT_AEx_EXT.4) FPT_AEX_EXT.4.1移动终端的安全功能应保护自己以免被不可信主体修改 FPT_AEX_EXT.4.2移动终端的安全功能应在应用之间执行地址空间隔离 7.7.5密钥存储(FPT_KST_EXT.1) FPT_KST_EXT.1.1移动终端的安全功能不应将任何明文密钥材料存储在可读非易失性存储器中 16
GB/35278一2017 7.7.6密钥传输(FPT_KST_EXI.2) FPT_KST_EXT.2.1移动终端的安全功能不应在评估对象的安全边界外传输任何明文密钥材料 7.7.7明文密钥导出(FPT_KSr_EXT.3) FPT_KST_EXT.3.1移动终端的安全功能应确保评估对象的用户不可能导出明文密钥 7.7.8自检通知(rPT_No_EXT.1 FPT_NOT_EXT.1.I当下述类型的错误发生时,移动终端的安全功能应转换到非操作模式,并且 [选择:将错误记录到审计日志中,通知管理员,[赋值:其他行动],没有其他行动]: 自检错误; a 安全功能软件完整性验证错误; b) [选择;无其他错误，[赋值;其他错误] 7.7.9可靠的时间戳FPT_STM1.1 FPT_STM.1.1移动终端的安全功能应能够提供可靠的时间戳供它自已使用 7.7.10安全功能加密功能测试(FPI_ISTEXT.1 FPT_TST_EXT.1.1移动终端的安全功能应在初始启动(启动电源)期间运行一套自我测试,来证明所有加密功能的正确操作 7.7.11安全功能完整性测试(FPT_IST_EXr.2) FPT_TsT_EXT.2.1移动终端的安全功能应通过应用处理器操作系统内核和[选择;存储在可变的介质中的所有的可执行代码[赋值:其他执行代码的列表],无其他执行代码]来验证引导链的完整性,通过使用[选择;使用硬件保护的非对称密钥的数字签名,硬件保护的非对称密钥,硬件保护的散列]来执行 7.7.12可信更新:ISr版本查询(FPT_TUD_EXT.1 FPT_TUD_EXT.1.1移动终端的安全功能应向授权用户提供查询移动终端固件/软件当前版本的能力 FPT_TUD_ExT.1.2移动终端的安全功能应向授权用户提供查询终端硬件模式的当前版本的能力 FPT_TUD_EXT.1.3移动终端的安全功能应向授权用户提供查询已安装的移动应用的当前版本的能力 7.7.13可信更新的验证(FPT_TUD_EXT.2) FPT_TUD_EXT.2.1移动终端的安全功能应在安装这些更新之前使用制造商的数字签名来验证应用处理器系统软件和[选择;[赋值其他处理器系统软件],无其他处理器系统软件]的更新 FPT_TUD_EXT.2.2移动终端的安全功能应[选择;从不更新,只被验证的软件更新]安全功能启动的完整性[选择;密钥，散列] 17
GB/T35278一2017 FPT_TUD_EXT.2.3移动终端的安全功能应验证用于移动终端安全功能更新的数字签名验证密钥[选择:被验证为信任锚数据库中的公钥，匹配硬件保护的公钥] FPT_TUD_EXT.2.！移动终端的安全功能应在安装之前使用数字签名机制验证移动应用软件 7.8TA类;ToE访问 7.8.1TS和用户启动的锁定状态(FIA_SSL_EXT.1 FTA_SSIL_EXT.1.1移动终端的安全功能应在一定时间间隔的不活动状态后,转变为锁定状态 FTA_SSLEXT.1.2移动终端的安全功能应在用户或管理员发起后,转变为锁定状态 FTA_SsL_EXT.1.3移动终端的安全功能应在转换到锁定状态时执行以下操作: a)清除或覆盖显示终端,遮挡以前的内容; b[赋值:在转换到锁定状态下执行其他动作] 7.8.2无线网络接入(FT'A_WSE_EXT.1 FTAwSE_EXT.1.1移动终端的安全功能应能够尝试连接到按照在Fr_SMr_EXI.1中被管理员配置的指定为可接受网络的无线网络 7.9TP类可信路径/信道 7.9.1可信通道通信FTPITCEXT.1 FTP_ITC_EXT.1.1移动终端的安全功能应用IPSec,TLs,TIs/HTTPS或者其他安全传输协议提供其与其他受信任的IT产品间的一个可信安全通信通道该通道要与其他通信通道逻辑区分,要提供对通道起点和终点的识别,确保通信数据不被泄露,监测数据不被篡改移动终端的安全功能应允许安全功能通过可信信道发起通信 FTPITC_EXT.1.2 FTP_ITC_EXT.1.3移动终端的安全功能应通过可信信道发起通信,用于无线接人点连接,管理通信,配置连接和[选择:oTA更新,无其他连接] 安全保障要求 8.1概述表3列出了安全保障要求组件下述各条对各组件给出了详细的说明表3安全保障要求组件安全保障类安全保障组件编号 ADV_FSP.1基本功能规范 ADV类;开发 AGD_OPE.1用户操作指南 AGD类;指导性文档 AGD_PRE.1准备过程 .CMc. AIC_ TOE标签 ALc类;生命周期支持 ALc_cMs.1ToEcM覆盖 AL.c_TsU_EXT及时的安全更新 18
GB/35278一2017 表3(续安全保障类安全保障组件编号 ASE_cCL.1符合性声明 ASEECD.1扩展组件定义 ASE_INT.1T引言 ASE类;安全目标评估 ASEOB.1安全目的 10 ASEREQ.1安全要求导出 11 12 ASE_SPD.1安全问题定义 AsE_Tss.1ToE概要规范 13 -致性 14 ATE类;测试 ATE_IND.1独立测试 15 AVA类;脆弱性评估 AVA_VAN.1脆弱性评估 8.2ADV类:开发 8.2.1基本功能规范(AV_FSP.1 开发者行为元素: ADV_FSP1.1D开发者应提供功能规范 ADV_FSP.1.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素 ADvV_FSP.1.1c功能规范应描述所有TSFI的目的和使用方法功能规范应标识和描述与每个TsFI关联的所有参数 ADV_FSP.1.2C ADv_FsP.1.3C功能规范应为作为sFR互不干扰接口的隐分类提供基本原理 ADV_FSP1.4C功能规范应论证安全功能要求到TSFI的追溯评估者行为元素 ADV_FSP1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADv_FSP.1.2E评估者应确定功能规范是安全功能要求的一个准确和完整的具体例证说明 8.3AGD类;指导性文档 8.3.1用户操作指南(AGD_oPp.1) 开发者行为元素: AGD_OPE.1.1D开发者应提供用户操作指南内容和形式元素: AGD_OPE.1.1C用户操作指南应对每个用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权,包含适当的警示信息 AGD_OPE.1.2C用户操作指南应对每个用户角色进行描述,怎样以安全的方式使用TOE提供的可用接口 AGD_oPE.1.3Cc用户操作指南应对每个用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值 AGD_OPE.1.4C用户操作指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有 19
GB/T35278一2017 关的每一种安全相关事件,包括改变TSF所控制实体的安全特性 AGD_OPE.1.5C用户操作指南应标示TOE运行的所有可能状态包括操作导致的失败或操作性错误),它们与维持安全运行之间的因果关系和联系 AGD_OPE.1.6C用户操作指南应对每一种用户角色进行描述,为了充分实现ST中描述的运行环境安全目的所必须执行的安全策略 AGD_OPE.1.7C用户操作指南应是明确和合理的评估者行为元素: AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.3.2准备程序(AGD_PRE 开发者行为元素 AGD_PRE.1.1D开发者应提供TOE,包括它的准备过程内容和形式元素 AGD_PRE.1.1C准备过程应描述按照开发者交付程序安全接收TOE必要的全部步骤 AGD_PRE.1.2C准备过程应描述安全安装TOE以及依据ST中描述的运行环境安全目的安全准备操作环境必要的全部步骤评估者行为元素 AGD_PRE.1.1E评估者应确认提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备过程确认TOE能为操作做好安全准备 8.4ALc类;生命周期支持 8.4.1IoE标签(ALC_CMC.1 开发者行为元素: ALC_CMc.1.1D开发者应提供roE和TOE的参照号内容和形式元素 ALC_CMC.1.1C应给TOE标记唯一的参照号评估者行为元素 ALc_CMC.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.4.2ToE配置管理覆盖部分(AIC_CMISs.2 开发者行为元素: ALC_CMS.2.lD开发者应提供TOE配置列表内容和形式元素 ALc_cMS2.1c配置列表应包括下列内容-ToE本身,安全保障要求所要求的评估证据 AIC_CMS.2.2C配置列表应唯一标识配置项评估者行为元素: ALc_CMS.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.4.3及时的安全更新(ALc_IsU_EXT 开发者行为元素 AL.C_TsU_EXT.1.1D开发者应提供在TSS中及时安全更新是如何给TOE的描述 20
GB/35278一2017 内容和形式元素 ALC_TsU_EXT.1.1C该描述应包括TOE软件/固件的安全更新的创建和部署过程 ALC_TsU_EXT.1.2C该描述应给出漏洞公开披露和ToE安全更新公开可用之间的时间窗的时间长度,以天为单位 ALC_TsU_EXT.1.3C该描述应包括涉及TOE的安全问题报告的公开可用的机制评估者行为元素 ALc_TsU_ExT.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.5ASE类安全目标评估符合性声明(4sE.cL.) 8.5.1 开发者行为元素: ASE_cCL1.1D开发者应提供符合性声明 ASE_CCL.1.2D开发者应提供符合性声明的基本原理内容和形式元素 AsE_CCI.l.1C符合性声明应说明ST及TOE所遵从的标准 ASE_CCL1.2C符合性声明应论证TOE类型与其遵从的标准中的TOE类型是一致的 ASE_CCL.1.3C符合性声明应论证安全问题定义与其遵从的标准中安全问题定义是一致的 ASE_cCL.1.4C符合性声明应论证安全目的与其遵从的标准中的安全目的是一致的符合性声明应论证其安全要求与其遵从的标准中的安全要求是- ASE_CCL.1.5C 致的评估者行为元素: ASE_cCL1.1E评估者应能确认所提供的信息满足证据的内容和形式的所有要求 8.5.2扩展组件定义(ASEECD.1) 开发者行为元素 AsE_ECD.1.lD开发者应提供安全要求的陈述 AsE_ECD.1.2D开发者应提供扩展组件定义内容和形式元素: ASE_CD.1.1c安全要求的陈述应标明所有扩展的安全要求 AsE_ECcD.1.2c扩展组件定义应为每一个扩展的安全要求定义一个扩展组件 ASE_ECD.1.3C扩展组件定义应为描述每一个扩展组件与标准现有组件、族、类的关系 ASE_ECD.1.4C扩展组件定义应使用标准现有组件,族,类及方法作为表达形式 ASE_ECD.1.5C扩展组件应由可度量的和客观的组件组成,以便于论证是否遵从这些组件评估者行为元素评估者应能确认所提供的信息满足证据的内容和形式的所有要求 ASE_ECD.1.1E ASE_ECD.1.2E评估者应确认已有组件无法明确表示扩展组件 8.5.3ST引言(ASE_INT.1 开发者行为元素 AsE_INT.1.1D开发者应提供sT引言内容和形式元素: ASE_INT.1.1CST引言应包含ST实例、ToE实例、TOE概述及TOE描述 21
GB/T35278一2017 ASE_INT.1.2CST实例应唯一标识sT ASEINT.1.3CTOE实例应唯一标识TOE AsE_INT..4cToE概述应简述ToE用途和主要安全特征 ASE_INT.1.5CTOE概述应标识TOE类型 ASE_INT.1.6CTOE概述应标识不属于TOE但TOE需要的任何硬件,软件及固件 AsE_INT.1.7CTOE应陈述TOE的物理范围 ASE_INT.1.8CTOE的描述应陈述TOE的逻辑范围评估者行为元素: ASE_INT.1.1E评估者应能确认所提供的信息满足证据的内容和形式的所有要求 AsE_INT.1.2E评估者应确认TOE实例、ToE概述及ToE描述之间的一致性 8.5.4安全目的(ASE_OB.1 开发者行为元素: ASE_OB.1.1D开发者应陈述安全目的 ASE_OB.1.2D开发者应提供安全目的原理内容和形式元素: ASE_OB.1.1C安全目的应描述TOE安全目的和操作环境安全目的 AsE_OB.l.2C安全目的原理应追溯每一个TOE的安全目的所对应的威胁和要求实施的组织安全策略 ASE_OB.1.3C安全目的原理应追溯每一个操作环境的安全目的所对应的威胁和要求实施的组织安全策略,及其支持的假设 AsE_OB.1.4C安全目的的原理应证明安全目的应对了所有的威胁 ASE_OB.1.5C安全目的原理应证明安全目的实施了所有的组织安全策略 ASE_OB.1.6C安全目的原理应证明操作环境的安全目的支持了所有的假设评估者行为元素 ASE_OB.1.1E评估者应能确认所提供的信息满足证据的内容和形式的所有要求 8.5.5安全要求导出ASEREQ.1 开发者行为元素 AsEREQ.1.1D开发者应陈述安全要求 ASE_REQ.1.2D开发者应提供安全要求原理内容和形式元素 ASE_REQ.1.1C安全要求应描述安全功能要求和安全保障要求 AsEREQ.1.2C应对安全功能要求和安全保障要求中的所有主体、客体、操作、安全属性、外部实体及其他项目进行定义 ASE_REQ.1.3c安全要求陈述应标明安全要求的所有操作 ASE_REQ.1.4C应正确执行所有操作 ASE_REQ.1.5C应满足安全要求见的依赖关系,或者在安全要求原理中说明不满足的理由 ASE_REQ.1.6c安全要求原理应追溯每一安全要求到所对应的TOE的安全目的 ASE_REQ.1.7C安全要求原理应论证安全要求组件实现了所有的TOE安全目的 ASE_REQ.l.8C安全要求原理应解释选择安全保障要求组件的原因 22
GB/35278一2017 ASE_REQ.1.9C安全要求的陈述应是内部一致的评估者行为元素: ASE_REQ.1.1E评估者应能确认所提供的信息满足证据的内容和形式的所有要求 8.5.6安全问题定义(ASE_SPD.1) 开发者行为元素 AsE_SPD.1.lD开发者应提供安全问题定义内容和形式元素: ASE_SPD.1.1C安全问题定义应描述威胁 ASE_SPD.1.2C所有威胁应按照威胁主体,资产及攻击行为进行描述 ASE_SPD.1.3C安全问题定义应描述组织安全策略 AsE_SPD.1.4C安全问题定义应描述有关TOE操作环境的建设评估者行为元素 ASE_SPD.1.1E 评估者应能确认所提供的信息满足证据的内容和形式的所有要求 8.5.7ToE概要规范(ASE_ISS.1 开发者行为元素: ASE_TSs.1.1D开发者应提供TOE概要规范内容和形式元素: ASE_Tss.1.1cToE概要规范应描述ToE如何满足每一个安全功能要求评估者行为元素 AsE_Tss.1.1IE评估者应能确认所提供的信息满足证据的内容和形式的所有要求 ASE_TSs.1.2E评估者应确认TOE概要规范与TOE概述和TOE描述一致 8.6ATE类;测试 8.6.1独立测试致性(AIE_IND) 开发者行为元素: ATE_IND.1.1D开发者应提供用于测试的TOE 内容和形式元素 ATE_IND.1.1CTOE应适合测试评估者行为元索: ATE_IND.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ATE_IND1.2E评估者应测试TSF的一个子集以确认TSF按照规定运行 8.7 AVA类;脆弱性评估 8.7.1脆弱性评估(AVA_VAN.1) 开发者行为元素 AVA_VvAN.1.1D开发者应提供用于测试的ToE 内容和形式元素: AVA_VAN.1.1CTOE应适合测试评估者行为元素: 23
GB/T35278一2017 AVA_VAN.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.1.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.1.3E评估者应基于已标识的潜在的脆弱性实施穿透性测试,确认TOE能抵抗具有基本攻击潜力的攻击者的攻击 g 基本原理 g.1安全目的基本原理表4描述了移动终端的安全目的能应对所有可能的威胁、假设和组织安全策略每一种威胁、组织安全策略和假设都至少有一个或一个以上安全目的与其对应,因此是完备的表4威胁与安全目的序号威胁或假设安全目的配置(A.CONFIG 配置(OE.cONFIG 预防措施(A.PRECAUTIO) 预防措施(OE.PRECAUTOND 通信保护(O.cCONMNMSy 网络窃听(T,EAVESDR(OP) 移动终端配置(O.cONFIG) 授权和鉴别O).AUTHH 通信保护(o.cOMMIS) 移动终端配置(o.cONFIG) 网络攻击(T.NETwoRK 授权和鉴别O).AUTHH 存储保护(O),STORAGE) 物理访问T.PHYSICAL 授权和鉴别(o.AUTH) 通信保护o.COMMS) 恶意或有缺陷的应用(T.FLA-移动终端配置(O.C(ONFIG WAPP 授权和鉴别O).AUTHH 移动终端的完整性(o.INTEGRITY) 持续访间(T.PERsIsTENT 移动终端的完整性(o.INTEGRIrY) 9.2安全要求基本原理表5描述了针对每一个安全目的所对应的安全功能要求或安全保障要求,以说明安全目的得到正确实施 24
GB/35278一2017 表5安全要求原理表序号安全功能要求(SFRs) 安全目的为应对网络窃听和网络攻击的威胁,利用密码支持类(FCS类)、用户数据保护类(FDP 类,标示和鉴别类(FIA类),TsF保护类(FPT类),ToE访问类(FTA类)和可信路径/信道类(FTP类)相关组件建立可信的通信路径,通过可信路径在移动终端和远程网络实体之间传输用户数据和配置数据 ),Fcs._cKML_ExT.7. FCS CSCKM.2(" 通信保护(O.COM FCS FCS_DTIS_EXT.1，FCS_HTTPS_EXT.1l. MS _ExT.1，Fcs_TIL.SC_ExT.1. FCSRBGEXT.l，FCSSRV FCS_TISC_EXT.2，FDP_BT_EXT.l，FDP_IFC_EXT.l FDPSTGEXT.1，FDP_UPC_EXT.1，IABLTEXT.1， PAE_EXT.l，FIA_X509_EXT.l FIA_X509 FIAX509_EXT.3，FIA_X509_EXT,4 wSEEXT.1，FTPITcEXT FPT 动终端利用密码支持类(Fcs类用户数据保护类(FDP类),标示和鉴别类(FIAN TSF保护类(FPT类)的相关组件对存储在终端上的数据和密钥进行加密,并防止对这些加密数据的非授权访问 FCS FCS_CKM_EXT.2，FCS_CKM_EXT.3 存储保护(o.sToR FCs FCS_CKM_EXT.5，FCS_CKM_EXT.6 AGE) FCSRBG _EXT.1 FCS_STG FCS_STGEXT.2，FCs_STG_EXT.3. FDP FDPDAREXT.2，FIAUAUEXT.1， FPT_KST_EXT.1，FPT_KST_EXT.2，FPT_KST_EXT.3 移动终端利用安全管理类(FMT类)组件提供配置和应用被用户和管理者定义的安全移动终端配置策略的能力,确保移动终蹦对存储或处理的用户数据进行保护 (O. CONFIG FMT_MO)F_EXT.1.1，FMT_MOF_EXT,1.2 FMT_SMF_EXT.1，FMT_SMFEXT.2，FTATAB.1 移动终端利用密码支持类(FCs类)标示和鉴别类(FIA类),ToE访问类(FTA类)的相关组件提供授权和鉴别能力,以防止非法用户对受保护的功能和数据的非法访问 FCsCKM.2(1 ，FlA_AHl.ExT.1，FHIAH.TExT1. 授权和鉴别O. FIA_BLT_EXT.2，FA_PMG_EXT.1l，FIA_TRT_EXT.1 AUTH) FIA_UAU_ExT.1，FIA_UAU_ExT.2,FIA_UAU_EXT.3 FIA_UAU.7，FIA_X509_E:xT.2，FIA_X509_EXT.4. FTA_SSLEXT.1 移动终端利用安全审开类FAU类、密码支持类(FCS类、用户数据保护类FD 类)、TSF保护类(FPT类)相关组件提供自测试能力来确保关键功能、软件/固件和数据的完整性 FAU_GEN.1，FAU_SAR，FAU_SELl，FAU_STG.1，移动终端的完整性 FAU_sTG.4，Fcs_coP.1(2)，Fcs_coP.1(3). O.INTEGRITY FDP_ACF_EXT.l，FPT_AEX_EXT.l，FPT_AEX_EXT.2 FPT_AExX_ExT.3，FPT_AEx_ExT.4，FPT_BBDEXT.1. FPT_NOT_EXT.l，FPT_STM.1，FPT_TST_EXT.1， FPTTST_EXT.2，FPT_TUD_EXT.l，FPT_TUD_EXT.2 25
GB/T35278一2017 参考文献 [[1]GB/T18336.2一2015信息技术安全技术信息技术安全评估准则第2部分;安全功能组件 [2]GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分;安全保障组件 [3幻 YD/T1699一2007移动终端信息安全技术要求 [打 YD/T18862015移动终端芯片安全技术要求和测试方法 [5]YD/T2407一2013移动智能终端安全能力技术要求 [G]YD/T2408一2013移动智能终端安全能力测试方法 [7]ProteetionProfleforMobileDevieeFundamental，Version2.0,17.09.2014 26

信息安全技术移动终端安全保护技术要求GB/T35278-2017解读

GB/T35278-2017是我国推出的针对移动终端安全保护的标准。该标准主要包括以下几方面内容：

一、基本要求

移动终端设备必须具备完善的安全保护机制，包括数据加密、访问控制、身份认证等。同时，移动终端应具备灵活可控的安全策略，可以根据不同的应用场景进行定制化设置。

二、数据保护

移动终端设备应采用加密技术，对存储在设备中的重要数据进行加密保护，以防止信息泄露。同时，移动终端应具有能力对恶意软件进行检测和清除，在保证数据安全的同时提高用户体验。

三、网络安全

移动终端设备应该具有防火墙、入侵检测等网络安全机制，以保障网络通信的安全稳定。此外，移动终端还应支持VPN等安全通信协议，保证用户数据在传输过程中的安全性。

四、身份认证与访问控制

移动终端应该具备可靠的身份认证和权限管理机制，以防止不法分子冒充合法用户的身份进行攻击。此外，移动终端还应为用户提供灵活且安全的远程访问方式，如虚拟专用网（VPN）等。

五、应急响应及安全管理

移动终端应该具有完善的安全事件响应机制，及时发现并处理安全威胁。同时，移动终端还应建立健全的安全管理制度，明确安全责任和管理流程，确保系统的安全稳定。

六、其他安全要求

标准还对移动终端的其他安全要求进行了详细规定，包括密码学技术、数据备份与恢复、安全审计等内容。

通过GB/T35278-2017的要求，可以有效提高移动终端设备的安全性能。同时，用户也应该增强安全意识，定期更新系统和软件，加强密码管理等措施，共同维护移动终端设备的安全。