《信息安全技术 移动智能终端操作系统安
全测试评价方法》编 制 说 明
1 工作简况 1.1
任务来源
2012年,经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定移动智能终端操作系统安全测试评价方法的国家标准。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部计算机信息系统安全产品质量监督检验中心(公安部第三研究所)负责主办。 1.2
协作单位
在接到《信息安全技术 移动智能终端操作系统安全测试评价方法》标准的任务后,公安部计算机信息系统安全产品质量监督检验中心立即与移动智能终端安全技术相关厂商、科研单位等进行沟通,并得到了多家业内知名厂商和研究机构的积极参与和反馈,最终选定由上海交通大学、北京元心科技有限公司、上海辰锐信息科技公司、阿里巴巴网络技术有限公司、中国信息通信研究院泰尔终端实验室作为标准编制协作单位。 1.3
主要工作过程
1
1.3.1成立编制组
2012年12月接到标准编制任务后随即组建标准编制组,编制组成员均具有丰富的移动智能终端安全测评经验、操作系统安全加固相关产品检测经验,以及标准编制经验;人员包括张艳、陆臻、俞优、陈妍、邹春明、赵婷、顾玮、胡亚兰、赵戈、李曦等;标准编制协作单位相关技术领域的研发负责人及主要研发人员参与标准的调研与内容研讨。 1.3.2制定工作计划
编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。 1.3.3参考资料
该标准编制过程中,主要参考了:
? GB 17859-1999 计算机信息系统安全保护划分准则
? GB/T 18336.3-2015 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保障组件
? GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 ? GB/T 25069-2010 信息安全技术 术语
? 移动智能终端、操作系统安全加固相关产品及其技术资料 1.3.4确定编制内容
经标准编制组研究决定,以发改委专项测试要求为理论基础,以
2
现有移动智能终端操作系统的发展动向为研究目标,以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》为主要参考依据,完成《信息安全技术移动智能终端操作系统安全测试评价方法》标准的编制工作。
图1 移动智能终端安全构成
操作系统是移动智能终端的安全根基,通过对移动智能终端操作系统的安全风险分析,得到移动智能终端操作系统主要的安全机制应涵盖以下方面:
1)应提供访问控制机制,限制对终端的非授权访问(如对系统资源如CPU指令、存储器、通信模块、设备驱动及系统内核等资源实现自主访问控制或强制访问控制,防止非法操作);
2)应对系统资源和各类数据进行安全域隔离,对存储空间进行划分,不同存储空间用于存储不同的数据,不同进程所使用的空间和资
3
信息安全技术移动智能终端操作系统安全测试评价方法编制说明
