TAF-WG4-AS0015-V1.0.0-2018 移動智能終端安全能力技術(shù)要求

1、電 信 終 端 產(chǎn) 業(yè) 協(xié) 會 標(biāo) 準(zhǔn)TAF-WG4-AS0015-V1.0.0:2018移動智能終端安全能力技術(shù)要求Technical requirements for security capability of smart mobile terminal2018 - 03- 01 發(fā)布2018 - 03- 01 實(shí)施電信終端產(chǎn)業(yè)協(xié)會發(fā) 布目次 HYPERLINK l _TOC_250002 前言II HYPERLINK l _TOC_250001 引言III范圍1規(guī)范性引用文件1術(shù)語、定義和縮略語1術(shù)語和定義1縮略語2移動智能終端安全能力框架及目標(biāo)2移動智能終端安全能力框架2移動智能終端

2、安全目標(biāo)2移動智能終端安全能力技術(shù)要求3基本要求3移動智能終端硬件安全能力要求4移動智能終端操作系統(tǒng)安全能力要求4移動智能終端外圍接口安全能力要求6移動智能終端應(yīng)用層安全要求7移動智能終端用戶數(shù)據(jù)安全保護(hù)能力要求9移動智能終端功能限制性要求10移動智能終端安全能力分級107.1 概述107.2 安全能力分級11附錄 A（資料性附錄） 安全能力等級標(biāo)識13 HYPERLINK l _TOC_250000 參考文獻(xiàn)14前言本標(biāo)準(zhǔn)按照 GB/T 1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標(biāo)準(zhǔn)起草單位：中國信息通信研究院、中國移動通信集團(tuán)公司、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、

3、浙江螞蟻小微金融服務(wù)集團(tuán)有限公司、深圳酷派技術(shù)有限公司。本標(biāo)準(zhǔn)主要起草人： 姚一楠、潘娟、楊正軍、國煒、傅山、翟世俊、焦四輩、王宗岳、孫龍、汪薇薇、詹維驍、謝春霞、袁杰、邱勤、周晶、落紅衛(wèi)、葉瑞權(quán)。引言隨著移動智能終端的廣泛應(yīng)用以及功能的不斷擴(kuò)展，其使用過程中的安全問題被越來越多的用戶所關(guān)注。近年來，惡意吸費(fèi)、竊聽、竊錄、位置信息泄露等安全事件頻發(fā)，使用戶對移動智能終端的安全性產(chǎn)生顧慮，進(jìn)而影響到移動智能終端和移動互聯(lián)網(wǎng)應(yīng)用的發(fā)展。本標(biāo)準(zhǔn)的制定，旨在通過提高移動智能終端的自身的安全防護(hù)能力，防范移動智能終端上的各種安全威脅，避免用戶的利益受到損害，同時防止移動智能終端對移動通信網(wǎng)絡(luò)安全產(chǎn)生不利

4、影響。本標(biāo)準(zhǔn)的基本原則是：移動智能終端上發(fā)生的行為和應(yīng)用要符合用戶的意愿。本標(biāo)準(zhǔn)并不規(guī)定具體的實(shí)現(xiàn)方法和措施，以利于創(chuàng)新和發(fā)展。本標(biāo)準(zhǔn)從硬件安全能力要求、操作系統(tǒng)安全能力要求、外圍接口安全能力要求、應(yīng)用軟件安全要求、用戶數(shù)據(jù)安全保護(hù)能力要求5個層面對移動智能終端的安全能力提出了要求，并從基本的安全保障、實(shí)現(xiàn)難度、特殊安全能力等層面對安全能力進(jìn)行了分級，以便于產(chǎn)品具有特定品質(zhì)，便于消費(fèi)者選擇。通過本標(biāo)準(zhǔn)一方面能夠引導(dǎo)移動智能終端中預(yù)置應(yīng)用軟件更加規(guī)范、安全；另一方面也能引導(dǎo)移動智能終端提高自身的安全防護(hù)能力，可對后下載的第三方應(yīng)用進(jìn)行安全管控；同時也能防范移動智能終端中預(yù)置惡意代碼對網(wǎng)絡(luò)造成安全

5、影響。移動智能終端安全能力技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了移動智能終端安全能力的技術(shù)要求，包括移動智能終端的硬件安全能力、操作系統(tǒng)安全能力、外圍接口安全能力、應(yīng)用層安全要求和用戶數(shù)據(jù)保護(hù)安全能力等，并對安全能力進(jìn)行了分級。本標(biāo)準(zhǔn)適用于各種制式的移動智能終端，個別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用，其他終端也可參考使用。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T 1699-2007YD/T 1760-2012YD/T 3228-2017移動終端信息安全技術(shù)要求數(shù)字移動終端

6、外圍接口數(shù)據(jù)交換技術(shù)要求移動應(yīng)用軟件安全評估方法YD/T 3082-2016移動智能終端上的個人信息保護(hù)技術(shù)要求術(shù)語、定義和縮略語術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1.1移動智能終端 smart mobile terminal能夠接入移動通信網(wǎng)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運(yùn)行應(yīng)用軟件的移動終端。3.1.2安全能力 security capability在移動智能終端上可實(shí)現(xiàn)的，能夠防范安全威脅的技術(shù)手段。3.1.3用 戶 user使用移動智能終端資源的對象，包括人或第三方應(yīng)用程序。3.1.4用戶數(shù)據(jù) user data移動智能終端上存儲的用戶個人信息，包括

7、由用戶在本地生成的數(shù)據(jù)、為用戶在本地生成的數(shù)據(jù)、在用戶許可后由外部進(jìn)入用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等。3.1.5授 權(quán) authorization在用戶身份經(jīng)過認(rèn)證后，根據(jù)預(yù)先設(shè)置的安全策略，授予用戶相應(yīng)權(quán)限的過程。3.1.6數(shù)字簽名 digital signature附在數(shù)據(jù)單元后面的數(shù)據(jù)，或?qū)?shù)據(jù)單元進(jìn)行密碼變換得到的數(shù)據(jù)。允許數(shù)據(jù)的接收者驗證數(shù)據(jù)的來源和完整性，保護(hù)數(shù)據(jù)不被篡改、偽造，并保證數(shù)據(jù)的不可否認(rèn)性。3.1.7代碼簽名 code signature利用數(shù)字簽名機(jī)制，由具有簽名權(quán)限的實(shí)體對代碼全部或部分功能進(jìn)行簽名的機(jī)制。3.1.8移動智能終端操作系統(tǒng) operator system of s

8、mart mobile terminal移動智能終端最基本的系統(tǒng)軟件，它控制和管理移動智能終端各種硬件和軟件資源，并提供應(yīng)用程序開發(fā)接口。3.1.9惡意吸費(fèi)malicious charge在用戶不知情或未授權(quán)的情況下由終端上應(yīng)用軟件造成的用戶經(jīng)濟(jì)損失?？s略語下列縮略語適用于本文件。CNNVD中國國家信息安全漏洞庫China National Vulnerability Database ofInformation SecurityCNVD國家信息安全漏洞共享平臺China National Vulnerability DatabaseLAWMO鎖定/擦除管理對象Lock and Wipe Ma

9、nagement ObjectNFC近場通信Near Field CommunicationWLAN無線局域網(wǎng)Wireless Local Area Network移動智能終端安全能力框架及目標(biāo)移動智能終端安全能力框架移動智能終端安全能力主要由硬件安全能力、操作系統(tǒng)安全能力、應(yīng)用層安全要求、外圍接口安全能力和用戶數(shù)據(jù)保護(hù)安全能力五部分構(gòu)成，具體如圖1所示。外圍接口安全能力涉及操作系統(tǒng)和硬件，用戶數(shù)據(jù)保護(hù)安全能力涉及硬件、操作系統(tǒng)和應(yīng)用軟件3 個層面。應(yīng)用層安全要求用戶數(shù)據(jù)保護(hù)安全能力操作系統(tǒng)安全能力外圍接口安全能力硬件安全能力圖1 移動智能終端安全能力框架移動智能終端安全目標(biāo)硬件安全目標(biāo)移動智

10、能終端硬件安全目標(biāo)是在芯片層保證移動通信終端內(nèi)部閃存和基帶的安全，確保芯片內(nèi)系統(tǒng)程序、終端參數(shù)、安全數(shù)據(jù)、用戶數(shù)據(jù)不被篡改或非法獲取。操作系統(tǒng)安全目標(biāo)操作系統(tǒng)安全目標(biāo)是達(dá)到操作系統(tǒng)對系統(tǒng)資源調(diào)用的監(jiān)控、保護(hù)和提醒，確保涉及安全的系統(tǒng)行為總是在受控的狀態(tài)下，不會出現(xiàn)用戶在不知情情況下某種行為的執(zhí)行，或者用戶不可控行為的執(zhí)行。另外，操作系統(tǒng)還應(yīng)保證自身的升級是受控的。外圍接口安全目標(biāo)外圍接口包括無線外圍接口和有線外圍接口。外圍接口的安全目標(biāo)是確保用戶對外圍接口的連接及數(shù)據(jù)傳輸?shù)目芍涂煽?。?yīng)用層安全目標(biāo)應(yīng)用層安全目標(biāo)是要保證移動智能終端對要安裝在其上的應(yīng)用軟件可進(jìn)行來源的識別，對已經(jīng)安裝在其上的應(yīng)

11、用軟件可以進(jìn)行敏感行為的控制。另外，還要確保預(yù)置在移動智能終端中的應(yīng)用軟件無損害用戶利益和危害網(wǎng)絡(luò)安全的行為，例如惡意吸費(fèi)、未經(jīng)授權(quán)的修改、刪除、向外傳送用戶數(shù)據(jù)等行為。用戶數(shù)據(jù)保護(hù)安全目標(biāo)用戶數(shù)據(jù)保護(hù)安全目標(biāo)是要保證用戶數(shù)據(jù)的安全存儲，確保用戶數(shù)據(jù)不被非法訪問、獲取和篡改， 同時能夠通過備份方式保證用戶數(shù)據(jù)的可靠恢復(fù)。移動智能終端安全能力技術(shù)要求基本要求移動智能終端應(yīng)通過給用戶提示和讓用戶確認(rèn)的方式來防范安全威脅，當(dāng)?shù)谌綉?yīng)用調(diào)用相關(guān)功能時，操作系統(tǒng)應(yīng)具備給用戶提示和讓用戶確認(rèn)的能力；預(yù)置多操作系統(tǒng)的移動智能終端，每一個操作系統(tǒng)在運(yùn)行過程中都應(yīng)具備給用戶提示和讓用戶確認(rèn)的能力。給用戶的提示可

12、以是圖標(biāo)、文字或其他明顯的提示方式。在操作執(zhí)行期間，提示應(yīng)足夠引起用戶的注意，且提示信息應(yīng)易于用戶理解。用戶確認(rèn)應(yīng)使用戶有選擇的權(quán)利，即用戶應(yīng)能確認(rèn)也能取消。用戶確認(rèn)如無特別說明，則認(rèn)為以下三種確認(rèn)方式均可：應(yīng)用軟件每一次調(diào)用行為發(fā)生時進(jìn)行確認(rèn)；應(yīng)用軟件首次調(diào)用行為發(fā)生時確認(rèn)，本確認(rèn)在一定時間內(nèi)有效，確認(rèn)應(yīng)針對每一個調(diào)用行為單獨(dú)確認(rèn)；應(yīng)用軟件首次安裝或調(diào)用行為發(fā)生時確認(rèn)，本確認(rèn)對該軟件長期有效，確認(rèn)應(yīng)針對每一個調(diào)用行為單獨(dú)確認(rèn)。本章所提及的給用戶提示和用戶確認(rèn)，均指由第三方應(yīng)用調(diào)用相關(guān)功能時，操作系統(tǒng)所應(yīng)具備的能力。對于第三方應(yīng)用通過調(diào)用操作系統(tǒng)提供的人機(jī)接口執(zhí)行的操作，認(rèn)為是在用戶知情的情況

13、下執(zhí)行的操作，已經(jīng)給用戶提示并得到用戶的確認(rèn)。對于應(yīng)用軟件安全配置中用戶設(shè)置為允許訪問的操作，也認(rèn)為是在用戶知情的情況下執(zhí)行的操作， 已經(jīng)得到用戶的確認(rèn)。對于移動通信網(wǎng)絡(luò)連接、無線局域網(wǎng)絡(luò)連接、無線外圍接口的開啟操作在任何情況下都應(yīng)給用戶提示并經(jīng)用戶確認(rèn)。5.3 和 5.4 節(jié)所提及的安全能力要求，僅適用于當(dāng)?shù)谌綉?yīng)用調(diào)用操作系統(tǒng)提供的相應(yīng)功能的情況。5.5.1、5.5.2、5.5.3 和 5.5.4 所提及的應(yīng)用軟件是指非預(yù)置的應(yīng)用軟件。若操作系統(tǒng)可安裝的第三方應(yīng)用軟件均為單一來源，且此來源內(nèi)的應(yīng)用軟件符合標(biāo)準(zhǔn)YD/T 3228-2017移動應(yīng)用軟件安全評估方法的3級要求，則操作系統(tǒng)認(rèn)為已經(jīng)

14、具備給用戶相關(guān)提示和確認(rèn)的能力。移動智能終端操作系統(tǒng)不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端功能，造成用戶費(fèi)用損失，流量耗費(fèi)，信息泄漏的行為。移動智能終端硬件安全能力要求安全運(yùn)行區(qū)域移動智能終端硬件集成專用的安全運(yùn)行區(qū)域，不與非安全運(yùn)行區(qū)域共享存儲空間，通過物理隔離防止篡改或非法獲取。具備硬件實(shí)現(xiàn)的密碼模塊，實(shí)現(xiàn)密碼算法相關(guān)功能。安全啟動移動智能終端安全啟動代碼應(yīng)進(jìn)行完整性驗證，當(dāng)驗證通過后執(zhí)行安全啟動過程。防止物理攻擊移動智能終端密碼模塊應(yīng)具有抵抗物理攻擊能力，防止敏感信息泄漏。攻擊手段包括但不限于旁路攻擊和故障注入攻擊。安全屬性移動智能終端運(yùn)行在安全環(huán)境下，輸入輸出接口應(yīng)配置為安全屬

15、性，且配置不可更改。根密鑰生成與保護(hù)移動智能終端安全區(qū)域根密鑰應(yīng)隨機(jī)生成，隨機(jī)數(shù)熵值應(yīng)滿足移動智能終端安全要求，且不低于128 比特。根密鑰僅在移動智能終端安全運(yùn)行區(qū)域使用，無法被外部獲取。移動智能終端操作系統(tǒng)安全能力要求安全調(diào)用控制能力通信類功能受控機(jī)制撥打電話應(yīng)用軟件調(diào)用執(zhí)行撥打電話操作時，應(yīng)在用戶確認(rèn)的情況下，撥打操作才能執(zhí)行。應(yīng)用軟件調(diào)用執(zhí)行撥打電話開通呼叫轉(zhuǎn)移業(yè)務(wù)時，移動智能終端應(yīng)明示用戶業(yè)務(wù)內(nèi)容，且在用戶確認(rèn)的情況下方可執(zhí)行操作。三方通話應(yīng)用軟件調(diào)用執(zhí)行三方通話操作時，應(yīng)在用戶確認(rèn)的情況下，三方通話操作才能執(zhí)行。發(fā)送短信應(yīng)用軟件調(diào)用執(zhí)行發(fā)送短信操作時，應(yīng)在用戶確認(rèn)的情況下，發(fā)送短信

16、操作才能執(zhí)行。發(fā)送彩信應(yīng)用軟件調(diào)用執(zhí)行發(fā)送彩信操作時，應(yīng)在用戶確認(rèn)的情況下，發(fā)送彩信操作才能執(zhí)行。發(fā)送郵件應(yīng)用軟件調(diào)用執(zhí)行發(fā)送郵件操作時，應(yīng)在用戶確認(rèn)的情況下，郵件發(fā)送操作才能執(zhí)行。移動通信網(wǎng)絡(luò)數(shù)據(jù)連接移動智能終端通信網(wǎng)絡(luò)數(shù)據(jù)連接，應(yīng)滿足以下安全能力要求：移動智能終端應(yīng)提供開關(guān)，可開啟/關(guān)閉移動通信網(wǎng)絡(luò)數(shù)據(jù)連接；應(yīng)用軟件調(diào)用開啟移動通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開啟；移動通信網(wǎng)絡(luò)當(dāng)移動通信網(wǎng)絡(luò)的數(shù)據(jù)連接處于已連接狀態(tài)，移動智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示；移動智能終端應(yīng)提供數(shù)據(jù)傳輸控制能力，應(yīng)用軟件調(diào)用移動通信網(wǎng)絡(luò)傳送數(shù)據(jù)應(yīng)在用戶確認(rèn)的情況下執(zhí)行；

17、當(dāng)移動通信網(wǎng)絡(luò)正在傳送數(shù)據(jù)時，移動智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。上述c）和e）的兩種狀態(tài)提示應(yīng)不同。WLAN 網(wǎng)絡(luò)連接移動智能終端WLAN網(wǎng)絡(luò)連接應(yīng)滿足以下安全能力要求：移動智能終端應(yīng)提供開關(guān)，可開啟/關(guān)閉WLAN網(wǎng)絡(luò)連接；應(yīng)用軟件調(diào)用開啟WLAN網(wǎng)絡(luò)連接功能時，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開啟； c）當(dāng)WLAN網(wǎng)絡(luò)連接處于已連接狀態(tài)，移動智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示； d）當(dāng)WLAN網(wǎng)絡(luò)正在傳送數(shù)據(jù)時，移動智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。上述c）和d）的兩種狀態(tài)提示應(yīng)不同。本地敏感功能受控機(jī)制定位功能應(yīng)用軟件調(diào)用定位功能時，移動智能終

18、端應(yīng)在用戶確認(rèn)的情況下才能調(diào)用。調(diào)用后，移動智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。通話錄音功能通話錄音是指在通話狀態(tài)下錄取線路上雙方的話音。當(dāng)應(yīng)用軟件調(diào)用啟動通話錄音時，應(yīng)在用戶確認(rèn)的情況下才能開啟。本地錄音功能應(yīng)用軟件調(diào)用啟動本地錄音功能時，應(yīng)在用戶確認(rèn)的情況下才能啟動錄音操作。后臺截屏功能后臺截屏是指應(yīng)用軟件后臺運(yùn)行時截取前臺屏幕內(nèi)容。當(dāng)應(yīng)用軟件調(diào)用執(zhí)行后臺截屏?xí)r，應(yīng)在用戶確認(rèn)的情況下才能啟動截屏操作。拍照/攝像功能對于具備攝像頭的移動智能終端，當(dāng)應(yīng)用軟件啟動拍照或攝像功能時，移動智能終端應(yīng)給用戶相應(yīng)的提示（圖像預(yù)覽、指示燈、聲音或圖標(biāo)等），在用戶確認(rèn)的情況下方可執(zhí)行拍照或攝像操作

19、。接收短信功能移動智能終端應(yīng)提供接收短信控制能力，應(yīng)用軟件調(diào)用接收短信功能應(yīng)在用戶確認(rèn)的情況下執(zhí)行。對用戶數(shù)據(jù)的操作移動智能終端操作系統(tǒng)應(yīng)提供對用戶數(shù)據(jù)保護(hù)的功能，具體要求如下：當(dāng)應(yīng)用軟件調(diào)用對電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、日程表數(shù)據(jù)進(jìn)行寫操作時， 移動智能終端應(yīng)在用戶確認(rèn)的情況下方可執(zhí)行；當(dāng)應(yīng)用軟件需要調(diào)用對電話本數(shù)據(jù)、通話記錄、上網(wǎng)記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、日程表數(shù)據(jù)的讀操作時，移動智能終端應(yīng)提示用戶該應(yīng)用將讀取這些用戶數(shù)據(jù)，且在用戶確認(rèn)的情況下方可執(zhí)行。操作系統(tǒng)的更新移動智能終端應(yīng)提供操作系統(tǒng)的更新保護(hù)功能，具體要求如下：當(dāng)移動智能終端提供操作系統(tǒng)的更新機(jī)制時，應(yīng)保證執(zhí)行授權(quán)

20、的操作系統(tǒng)更新；當(dāng)移動智能終端不能保證操作系統(tǒng)安全的更新時，應(yīng)在說明書中明示用戶可能帶來的安全風(fēng)險；操作系統(tǒng)隔離要求預(yù)置多操作系統(tǒng)的移動智能終端，應(yīng)采取隔離機(jī)制對多系統(tǒng)之間的接口和數(shù)據(jù)進(jìn)行保護(hù)，防止操作系統(tǒng)間進(jìn)行非授權(quán)通信。操作系統(tǒng)漏洞要求移動智能終端操作系統(tǒng)應(yīng)保證不含有CNVD與CNNVD6個月前公布的高危漏洞。移動智能終端外圍接口安全能力要求無線外圍接口安全能力要求無線外圍接口開啟/關(guān)閉受控機(jī)制對于具備藍(lán)牙、NFC功能的移動智能終端應(yīng)具備開關(guān)，可開啟/關(guān)閉藍(lán)牙、NFC等終端所支持的無線連接方式。當(dāng)應(yīng)用軟件調(diào)用開啟無線外圍接口時，移動智能終端應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)后連接方可開啟。無線

21、外圍接口連接建立的確認(rèn)機(jī)制當(dāng)通過無線外圍接口（僅適用于藍(lán)牙）與不同設(shè)備進(jìn)行第一次連接時，移動智能終端能夠發(fā)現(xiàn)該連接并給用戶相應(yīng)的提示，當(dāng)用戶確認(rèn)建立連接時，連接才可建立。示例：藍(lán)牙配對機(jī)制。無線外圍接口連接狀態(tài)提示當(dāng)移動智能終端的無線外圍接口藍(lán)牙已開啟，移動終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。當(dāng)移動智能終端通過無線外圍接口藍(lán)牙建立數(shù)據(jù)連接，移動智能終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。當(dāng)移動智能終端的無線外圍接口NFC已開啟，移動終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。當(dāng)移動智能終端通過無線外圍接口NFC建立數(shù)據(jù)連接，移動智能終端應(yīng)給用戶相應(yīng)的提示（圖標(biāo)、聲音或振動等）。如果移動智

22、能終端提供了無線外圍接口的開啟狀態(tài)提示和數(shù)據(jù)連接狀態(tài)提示，該兩種狀態(tài)提示應(yīng)不同。無線外圍接口數(shù)據(jù)傳輸?shù)氖芸貦C(jī)制當(dāng)移動智能終端與其他設(shè)備已經(jīng)通過無線外圍接口（藍(lán)牙或NFC）實(shí)現(xiàn)連接，此時通過無線外圍接口進(jìn)行文件數(shù)據(jù)傳輸時，移動智能終端應(yīng)給用戶相應(yīng)的提示。有線外圍接口安全能力要求有線外圍接口連接建立的確認(rèn)機(jī)制對于僅用于充電或僅用于數(shù)據(jù)連接的有線外圍接口，當(dāng)通過該接口建立連接時，移動智能終端應(yīng)給用戶相應(yīng)的提示。對于既可進(jìn)行充電，又可進(jìn)行數(shù)據(jù)連接的有線外圍接口，當(dāng)連接充電器時應(yīng)給用戶相應(yīng)的提示，當(dāng)連接于既可進(jìn)行充電又可進(jìn)行數(shù)據(jù)連接的設(shè)備時，用戶應(yīng)能夠選擇是否建立數(shù)據(jù)連接模式或者能夠保證數(shù)據(jù)傳輸授權(quán)可控

23、。USB 存儲模式的安全機(jī)制如果移動智能終端支持內(nèi)置式USB存儲模式（U盤模式），則應(yīng)提供訪問控制方式。移動智能終端應(yīng)用層安全要求應(yīng)用軟件安全配置能力要求移動智能終端可提供機(jī)制對所安裝的第三方應(yīng)用軟件的調(diào)用行為進(jìn)行配置，包括對撥打電話、發(fā)起三方通話、發(fā)送短信、接收短信、發(fā)送彩信、調(diào)用移動通信網(wǎng)絡(luò)數(shù)據(jù)連接、調(diào)用定位功能、進(jìn)行通話錄音、本地錄音、后臺截屏、拍照/攝像、訪問電話本、訪問通話記錄、訪問日程表、訪問上網(wǎng)記錄、訪問短信和訪問彩信的控制。對以上調(diào)用行為進(jìn)行控制至少有允許調(diào)用和禁止調(diào)用兩種狀態(tài)。推薦允許調(diào)用、每次調(diào)用時詢問用戶和禁止調(diào)用3種狀態(tài)。移動智能終端應(yīng)支持對以上調(diào)用行為中的3種或3種以

24、上進(jìn)行配置。對于第三方應(yīng)用軟件升級前后共有的調(diào)用行為，移動智能終端應(yīng)保證其安全配置狀態(tài)在升級前后一致。應(yīng)用軟件調(diào)用行為記錄能力要求移動智能終端應(yīng)提供機(jī)制在一定時間內(nèi)記錄并統(tǒng)計第三方應(yīng)用軟件及預(yù)置應(yīng)用軟件調(diào)用行為情況， 且用戶可查看記錄結(jié)果。移動智能終端應(yīng)支持記錄應(yīng)用軟件調(diào)用移動通信網(wǎng)絡(luò)產(chǎn)生的流量數(shù)據(jù)，應(yīng)用軟件運(yùn)行過程中最近一次調(diào)用定位功能的時間。其余應(yīng)用軟件調(diào)用行為記錄數(shù)據(jù)應(yīng)至少包括應(yīng)用軟件每次調(diào)用行為的起始時間，應(yīng)支持記錄3種或3種以上調(diào)用行為，調(diào)用行為包括撥打電話、發(fā)起三方通話、發(fā)送短信、接收短信、發(fā)送彩信、進(jìn)行通話錄音、本地錄音、后臺截屏、拍照/攝像、訪問電話本、訪問通話記錄、訪問日程表

25、、訪問上網(wǎng)記錄、訪問短信和訪問彩信。應(yīng)用軟件安全認(rèn)證機(jī)制要求非認(rèn)證簽名要求如果移動智能終端支持對未經(jīng)認(rèn)證簽名的軟件下載和應(yīng)用，在進(jìn)行應(yīng)用軟件安裝時移動智能終端應(yīng)能夠識別應(yīng)用軟件的簽名狀態(tài)，并能夠根據(jù)簽名狀態(tài)給用戶相應(yīng)的提示。認(rèn)證簽名要求如果移動智能終端采用認(rèn)證簽名機(jī)制，在此情況下，未經(jīng)過認(rèn)證簽名的應(yīng)用軟件僅當(dāng)用戶進(jìn)行確認(rèn)后才能執(zhí)行下一步操作。應(yīng)用軟件自啟動監(jiān)控能力如果移動智能終端具備第三方應(yīng)用自啟動程序的能力，應(yīng)可以瀏覽和配置應(yīng)用程序是否自啟動。預(yù)置應(yīng)用軟件安全要求收集用戶數(shù)據(jù)移動智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自收集用戶數(shù)據(jù)的行為， 包括以下行為：在用戶無確認(rèn)情況

26、下開啟通話錄音、本地錄音、后臺截屏、拍照/攝像、接收短信和定位，讀取用戶本機(jī)號碼、電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息的行為。在用戶無確認(rèn)情況下讀取圖片、音頻和視頻的行為。修改用戶數(shù)據(jù)移動智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為， 包括在用戶無確認(rèn)情況下刪除或修改用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、日程表數(shù)據(jù)的行為。數(shù)據(jù)錄入保護(hù)移動智能終端中預(yù)置的支付應(yīng)用軟件輸入認(rèn)證/支付密碼等敏感信息時，需采取技術(shù)措施防止密碼被截獲，并不得在移動智能終端界面上顯示明文。數(shù)據(jù)加密傳輸移動智能終端中預(yù)置的應(yīng)用軟件通過公共網(wǎng)絡(luò)傳輸終端上的個人信息時

27、，應(yīng)滿足以下安全能力要求：a）預(yù)置應(yīng)用軟件應(yīng)采用密文方式傳輸金融支付類，信息通信類，賬戶設(shè)置類，傳感采集類信息； b）預(yù)置應(yīng)用軟件應(yīng)采用密文方式傳輸媒體影音類信息。個人信息類型定義見YD/T 3082-2016移動智能終端上的個人信息保護(hù)技術(shù)要求。組件訪問控制軟件組件是指軟件自包含的、可編程的、通過接口實(shí)現(xiàn)復(fù)用的軟件單元。移動智能終端中預(yù)置的應(yīng)用軟件應(yīng)對其內(nèi)部包含敏感個人信息的組件及對外接口進(jìn)行保護(hù)，任何未經(jīng)授權(quán)的第三方應(yīng)用軟件不可訪問或調(diào)用。軟件認(rèn)證簽名如果移動智能終端采用認(rèn)證簽名機(jī)制，在此情況下，移動智能終端預(yù)置的應(yīng)用軟件應(yīng)包含簽名信息，且簽名信息真實(shí)可信。升級更新要求移動智能終端預(yù)置的應(yīng)

28、用軟件更新，應(yīng)在用戶授權(quán)的情況下進(jìn)行，當(dāng)升級行為不能保證終端系統(tǒng)、其他應(yīng)用軟件、軟件本身的安全時，應(yīng)在說明中明示用戶可能帶來的安全風(fēng)險。當(dāng)應(yīng)用軟件升級失敗時，應(yīng)保證應(yīng)用軟件能回到更新前的版本且能正常使用。調(diào)用終端通信功能流量耗費(fèi)移動智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶流量消耗的行為，包括在用戶無確認(rèn)情況下通過移動通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接、無線外圍接口傳送數(shù)據(jù)的行為。費(fèi)用損失移動智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶費(fèi)用損失的行為，包括在用戶無確認(rèn)情況下?lián)艽螂娫?、發(fā)送短信、發(fā)送彩信、開

29、啟移動通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)的行為。信息泄露移動智能終端中預(yù)置的應(yīng)用軟件不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶數(shù)據(jù)泄露的行為，包括以下行為：在用戶無確認(rèn)情況下讀取并傳送用戶本機(jī)號碼、電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息的行為；在用戶無確認(rèn)情況下讀取并傳送圖片、音頻和視頻的行為。應(yīng)用軟件漏洞要求移動智能終端預(yù)置應(yīng)用軟件應(yīng)保證不含有CNVD與CNNVD6個月前公布的高危漏洞。移動智能終端用戶數(shù)據(jù)安全保護(hù)能力要求移動智能終端的密碼保護(hù)移動智能終端密碼保護(hù)功能，應(yīng)滿足以下安全能力要求：移動智能終端應(yīng)支持開機(jī)時的密碼保護(hù)和開機(jī)后鎖定狀態(tài)下的密碼保護(hù)，例

30、如口令、圖案、生物特征識別等多種形態(tài)的密碼。其中，口令密碼為必選的保護(hù)形式，其他形式為可選?？诹钫J(rèn)證的要求見YD/T 1699-2007 中5.5.2.1，生物特征認(rèn)證的要求見YD/T 1699-2007 中5.5.2.3。移動智能終端在鎖定狀態(tài)下，用戶應(yīng)不可訪問系統(tǒng)內(nèi)已存儲的用戶數(shù)據(jù)（至少包括電話本、短信、圖片）。文件類用戶數(shù)據(jù)的授權(quán)訪問移動智能終端提供文件類用戶數(shù)據(jù)的授權(quán)訪問能力，當(dāng)?shù)谌綉?yīng)用訪問被保護(hù)的用戶數(shù)據(jù)時，應(yīng)在用戶確認(rèn)的情況下才能訪問。文件類用戶數(shù)據(jù)包括圖片、視頻、音頻和文檔等。用戶數(shù)據(jù)的加密存儲未經(jīng)授權(quán)的任何實(shí)體應(yīng)不能從移動智能終端的加密存儲區(qū)域的數(shù)據(jù)中還原出用戶私密數(shù)據(jù)的真實(shí)

31、內(nèi)容。用戶數(shù)據(jù)的徹底刪除移動智能終端提供數(shù)據(jù)徹底刪除功能，以保證被刪除的用戶數(shù)據(jù)不可再恢復(fù)出來。一般的刪除功能僅會刪除數(shù)據(jù)在存儲器件中放置位置的索引，而該區(qū)域內(nèi)實(shí)際存儲的數(shù)據(jù)沒有完全清空，在數(shù)據(jù)被刪除之后，非法程序通過讀取該區(qū)域的內(nèi)容，仍有可能從讀取到的數(shù)據(jù)中恢復(fù)被刪除的私密數(shù)據(jù)。徹底刪除功能應(yīng)把該區(qū)域內(nèi)實(shí)際存儲的數(shù)據(jù)徹底消除。例如，當(dāng)終端用戶數(shù)據(jù)被刪除時，在該數(shù)據(jù)對應(yīng)的存儲區(qū)域使用全“0”或全“1”進(jìn)行多次填充。用戶數(shù)據(jù)的遠(yuǎn)程保護(hù)移動智能終端應(yīng)提供用戶數(shù)據(jù)的遠(yuǎn)程保護(hù)能力，以便用戶在手機(jī)遺失或其他情況下，終端中的用戶數(shù)據(jù)不被泄露。遠(yuǎn)程保護(hù)能力包括遠(yuǎn)程鎖定移動智能終端和遠(yuǎn)程銷毀用戶數(shù)據(jù)。移動智能

32、終端提供的遠(yuǎn)程保護(hù)功能也應(yīng)具備安全設(shè)置，確保遠(yuǎn)程保護(hù)功能僅在達(dá)到了用戶預(yù)設(shè)條件的情況下才會啟動。該功能可參考開放移動聯(lián)盟（OMA）組織發(fā)布的標(biāo)準(zhǔn)OMA-TS-LAWMO鎖定和徹底刪除管理對象。用戶數(shù)據(jù)的轉(zhuǎn)移備份移動智能終端應(yīng)具備用戶數(shù)據(jù)（至少包括電話本、短信、多媒體數(shù)據(jù)）的轉(zhuǎn)移及備份能力。用戶數(shù)據(jù)的轉(zhuǎn)移備份包括本地備份和遠(yuǎn)程備份兩種：本地備份是通過移動智能終端的外圍接口實(shí)現(xiàn)的數(shù)據(jù)備份；遠(yuǎn)程備份是通過無線網(wǎng)絡(luò)實(shí)現(xiàn)的用戶數(shù)據(jù)在服務(wù)器側(cè)的備份。本地備份適用于支持外圍接口的移動智能終端。移動智能終端應(yīng)至少支持一種備份方式。用戶數(shù)據(jù)的轉(zhuǎn)移和備份應(yīng)符合YD/T 1760-2012的相關(guān)要求。移動智能終端功

33、能限制性要求移動智能終端應(yīng)真實(shí)傳送信息，不得通過對傳送信息的處理或傳送虛假信息使信息接收者錯誤識別特定通信主體等，不得預(yù)置可改變通信系統(tǒng)提示信號的應(yīng)用軟件。移動智能終端不得預(yù)置國家法律法規(guī)禁止的信息內(nèi)容（包括但不限于預(yù)置圖片、文字、菜單、音視頻、應(yīng)用等），也不得預(yù)置為傳播發(fā)布國家法律法規(guī)禁止信息內(nèi)容提供服務(wù)的應(yīng)用軟件。移動智能終端安全能力分級概述移動智能終端所支持的安全能力劃分為五個等級，第五級是最高等級。移動智能終端可選支持到不同的等級。達(dá)到相應(yīng)等級的移動智能終端可在說明書上進(jìn)行明確的標(biāo)識，預(yù)置多操作系統(tǒng)的移動智能終端，每一操作系統(tǒng)所支持的安全能力等級可分別進(jìn)行標(biāo)識，參見附錄A的內(nèi)容。安全能

34、力分級根據(jù)移動智能終端所支持的安全能力的程度，將移動智能終端安全能力自低到高劃分為五個等級。在每一等級定義了移動智能終端在相應(yīng)等級對應(yīng)的安全能力的最小集合，也就是移動智能終端必須支持該集合中的所有安全能力才能標(biāo)識為該級別，例如：達(dá)到第五級的移動智能終端應(yīng)支持本標(biāo)準(zhǔn)第5章和第6章所定義的所有安全能力及功能限制性要求。具體的等級劃分詳見表1。表 1 移動智能終端安全能力分級安全能力安全能力等級一級二級三級四級五級1.5.2.1 安全運(yùn)行區(qū)域2.5.2.2 安全啟動3.5.2.3 防止物理攻擊4.5.2.4 安全屬性5.5.2.5 根密鑰生成與保護(hù)6.5.3.1.1.1 撥打電話7.5.3.1.1.

35、2 三方通話8.5.3.1.1.3 發(fā)送短信9.5.3.1.1.4 發(fā)送彩信10.5.3.1.1.5 發(fā)送郵件11.5.3.1.1.6a）移動通信網(wǎng)絡(luò)數(shù)據(jù)連接開關(guān)12.5.3.1.1.6b）移動通信網(wǎng)絡(luò)數(shù)據(jù)連接應(yīng)用調(diào)用時的確認(rèn)13.5.3.1.1.6c）移動通信網(wǎng)絡(luò)數(shù)據(jù)連接連接狀態(tài)提示14.5.3.1.1.6d）移動通信網(wǎng)絡(luò)數(shù)據(jù)連接數(shù)據(jù)傳送時的確認(rèn)15.5.3.1.1.6e）移動通信網(wǎng)絡(luò)數(shù)據(jù)連接數(shù)據(jù)傳送狀態(tài)提示16.5.3.1.1.7a）WLAN 網(wǎng)絡(luò)連接開關(guān)17.5.3.1.1.7b）WLAN 網(wǎng)絡(luò)連接應(yīng)用調(diào)用時的確認(rèn)18.5.3.1.1.7c）WLAN 網(wǎng)絡(luò)連接連接狀態(tài)提示19.5.3.1

36、.1.7d）WLAN 網(wǎng)絡(luò)連接數(shù)據(jù)傳送狀態(tài)提示20.5.3.1.2.1 定位功能21.5.3.1.2.2 通話錄音功能22.5.3.1.2.3 本地錄音功能23.5.3.1.2.4 后臺截屏功能24.5.3.1.2.5 拍照/攝像功能25.5.3.1.2.6 接收短信功能26.5.3.1.2.7a）對用戶數(shù)據(jù)的操作修改/刪除27.5.3.1.2.7b）對用戶數(shù)據(jù)的操作讀28.5.3.2a）操作系統(tǒng)的更新授權(quán)更新29.5.3.2b）操作系統(tǒng)的更新風(fēng)險提示30.5.3.3 操作系統(tǒng)隔離要求31.5.3.4 操作系統(tǒng)漏洞要求32.5.4.1.1 無線外圍接口開啟/關(guān)閉受控機(jī)制33.5.4.1.2 無線外圍接口連接建立的確認(rèn)機(jī)制34.5.