《信息安全技術(shù) 移動智能終端操作系統(tǒng)安全測試評價方法》編制說明

1工作簡況

1.1任務(wù)來源

2012年，經(jīng)中國國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)，全國信息安全標(biāo)

準(zhǔn)化技術(shù)委員會（SAC/TC260）主任辦公會討論通過，研究制定移動

智能終端操作系統(tǒng)安全測試評價方法的國家標(biāo)準(zhǔn)。該項目由全國信息

安全標(biāo)準(zhǔn)化技術(shù)委員會提出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口，

由公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心（公安部第三研

究所）負(fù)責(zé)主辦。

1.2協(xié)作單位

在接到《信息安全技術(shù)移動智能終端操作系統(tǒng)安全測試評價方

法》標(biāo)準(zhǔn)的任務(wù)后，公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中

心立即與移動智能終端安全技術(shù)相關(guān)廠商、科研單位等進行溝通，并

得到了多家業(yè)內(nèi)知名廠商和研究機構(gòu)的積極參與和反饋，最終選定由

上海交通大學(xué)、北京元心科技有限公司、上海辰銳信息科技公司、阿

里巴巴網(wǎng)絡(luò)技術(shù)有限公司、中國信息通信研究院泰爾終端實驗室作為

標(biāo)準(zhǔn)編制協(xié)作單位。

1.3主要工作過程

1.3.1成立編制組

2012年12月接到標(biāo)準(zhǔn)編制任務(wù)后隨即組建標(biāo)準(zhǔn)編制組，編制組

成員均具有豐富的移動智能終端安全測評經(jīng)驗、操作系統(tǒng)安全加固相

1

關(guān)產(chǎn)品檢測經(jīng)驗，以及標(biāo)準(zhǔn)編制經(jīng)驗；人員包括張艷、陸臻、俞優(yōu)、

陳妍、鄒春明、趙婷、顧瑋、胡亞蘭、趙戈、李曦等；標(biāo)準(zhǔn)編制協(xié)作

單位相關(guān)技術(shù)領(lǐng)域的研發(fā)負(fù)責(zé)人及主要研發(fā)人員參與標(biāo)準(zhǔn)的調(diào)研與

內(nèi)容研討。

1.3.2制定工作計劃

編制組首先制定了編制工作計劃，并確定了編制組人員例會安排

以便及時溝通交流工作情況。

1.3.3參考資料

該標(biāo)準(zhǔn)編制過程中，主要參考了：

?GB17859-1999計算機信息系統(tǒng)安全保護劃分準(zhǔn)則

?GB/T18336.3－2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評

估準(zhǔn)則第3部分：安全保障組件

?GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

?GB/T25069－2010信息安全技術(shù)術(shù)語

?移動智能終端、操作系統(tǒng)安全加固相關(guān)產(chǎn)品及其技術(shù)資料

1.3.4確定編制內(nèi)容

經(jīng)標(biāo)準(zhǔn)編制組研究決定，以發(fā)改委專項測試要求為理論基礎(chǔ)，以

現(xiàn)有移動智能終端操作系統(tǒng)的發(fā)展動向為研究目標(biāo)，以GB

17859-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》和GB/T

18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》為主要

參考依據(jù)，完成《信息安全技術(shù)移動智能終端操作系統(tǒng)安全測試評價

2

方法》標(biāo)準(zhǔn)的編制工作。

圖1移動智能終端安全構(gòu)成

操作系統(tǒng)是移動智能終端的安全根基，通過對移動智能終端操作

系統(tǒng)的安全風(fēng)險分析，得到移動智能終端操作系統(tǒng)主要的安全機制應(yīng)

涵蓋以下方面：

1）應(yīng)提供訪問控制機制，限制對終端的非授權(quán)訪問（如對系統(tǒng)資

源如CPU指令、存儲器、通信模塊、設(shè)備驅(qū)動及系統(tǒng)內(nèi)核等資源實現(xiàn)

自主訪問控制或強制訪問控制，防止非法操作）；

2）應(yīng)對系統(tǒng)資源和各類數(shù)據(jù)進行安全域隔離，對存儲空間進行劃

分，不同存儲空間用于存儲不同的數(shù)據(jù)，不同進程所使用的空間和資

源也應(yīng)進行邏輯隔離（如采用沙盒和虛擬機技術(shù)）；

3)應(yīng)建立數(shù)據(jù)的分類原則，設(shè)計安全級別，針對不同級別采用不

同的安全機制。結(jié)合訪問控制、加密等手段，阻止未經(jīng)授權(quán)的訪問。

4）應(yīng)提供加密機制，以保護敏感的用戶數(shù)據(jù)和通信；

3

5）應(yīng)支持對各項操作的細粒度的安全審計，包括識別、記錄、存

儲和分析與安全相關(guān)活動有關(guān)的信息，從而進行責(zé)任追溯，降低安全

風(fēng)險。

1.3.5編制工作簡要過程

在申請信息安全技術(shù)移動智能終端操作系統(tǒng)安全測試評價方法

國家標(biāo)準(zhǔn)制訂任務(wù)之前，標(biāo)準(zhǔn)編制組就已經(jīng)開始了前期調(diào)研工作。編

制組人員首先對所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)等資料進行查閱和理

解，編寫標(biāo)準(zhǔn)編制提綱，在完成對提綱進行交流和修改的基礎(chǔ)上，開

始具體的編制工作。

編制組在2013年1月前完成了對移動智能終端操作系統(tǒng)的相關(guān)

技術(shù)文檔和有關(guān)標(biāo)準(zhǔn)的前期基礎(chǔ)調(diào)研。調(diào)研期間，主要對檢測中心移

動智能終端、操作系統(tǒng)加固相關(guān)安全產(chǎn)品的檢測記錄、報告以及各產(chǎn)

品的技術(shù)文檔材料進行了篩選、匯總、分析，對國內(nèi)外相關(guān)產(chǎn)品的發(fā)

展動向進行了研究，對相關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)進行了分析理解。

2013年3月，完成了標(biāo)準(zhǔn)草案初稿的編制工作。以編制組人員

收集的資料為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，最終形成了

本標(biāo)準(zhǔn)草稿（第一稿），并在檢測中心內(nèi)部邀請中心標(biāo)準(zhǔn)技術(shù)組對標(biāo)

準(zhǔn)草稿（第一稿）進行了討論和意見征求。

2013年6月，編制組基于中心標(biāo)準(zhǔn)技術(shù)組的意見，并結(jié)合發(fā)改

委信息安全專項移動智能終端測試的經(jīng)驗，對標(biāo)準(zhǔn)草稿（第一稿）進

行了修改；2013年7月，編制組邀請崔書昆、卿斯?jié)h、肖京華等專

家對標(biāo)準(zhǔn)草案進行了研討，編制組根據(jù)與會專家的意見和建議對標(biāo)準(zhǔn)

4

進行了修改，形成了標(biāo)準(zhǔn)草稿（第二稿）。

2013年12月，編制組以郵件方式征求了上海辰銳信息科技公司、

北京億賽通科技發(fā)展有限責(zé)任公司和上海交通大學(xué)等標(biāo)準(zhǔn)編制協(xié)作

單位的意見，根據(jù)反饋意見進行了修改，形成草稿（第三稿）。

2014年6月，編制組以內(nèi)部研討方式征求了標(biāo)準(zhǔn)編制協(xié)作單位

北京網(wǎng)諾星云科技有限公司、上海交通大學(xué)的意見，根據(jù)現(xiàn)場討論得

出的修改意見對標(biāo)準(zhǔn)進行了完善，形成草稿（第四稿）。

2015年1月，中國通信標(biāo)準(zhǔn)化協(xié)會在北京召開標(biāo)準(zhǔn)研討會,會上

征求了高通、泰爾實驗室等業(yè)內(nèi)專家、機構(gòu)及廠商代表的意見，根據(jù)

現(xiàn)場討論得出的修改意見對標(biāo)準(zhǔn)進行了完善，形成征求意見稿（第一

稿）。

2016年3月31日，中國通信標(biāo)準(zhǔn)化協(xié)會的有線網(wǎng)絡(luò)安全工作組

與無線網(wǎng)絡(luò)安全工作組第二十二次聯(lián)合會議在北京北郵科技大廈舉

行，會議討論和審議了標(biāo)準(zhǔn)文稿，并征求了華為、中國信息通信研究

院、阿里巴巴、中興通訊、大唐電信、中國電信、北京郵電大學(xué)等業(yè)

內(nèi)專家、機構(gòu)及廠商代表的意見，會后編制組根據(jù)現(xiàn)場討論得出的修

改意見對標(biāo)準(zhǔn)進行了完善，形成征求意見稿（第二稿）。

2016年6月13日~14日，在全國信息安全標(biāo)準(zhǔn)委員會2016年第

一次會議周活動中，WG6工作組在北京會議中心召開了工作組會議，

會上討論和審議了標(biāo)準(zhǔn)文稿和進度，并征求了中國通信標(biāo)準(zhǔn)化協(xié)會、

中國信息通信研究院、阿里巴巴、中國移動、中國電信等業(yè)內(nèi)專家、

機構(gòu)及廠商代表的意見，最后形成結(jié)論為“形成征求意見稿,提交

5

TC260秘書處，并討論決定本文稿不再需要與GB/T30284-2013及其

修訂保持一致，按原任務(wù)書內(nèi)容繼續(xù)執(zhí)行”。會后編制組根據(jù)現(xiàn)場討

論得出的意見對標(biāo)準(zhǔn)進行了修改。

1.3.6起草人及其工作

信息安全技術(shù)移動智能終端操作系統(tǒng)安全測試評價方法國家標(biāo)

準(zhǔn)編制組以張艷為組長，具體組員由張艷、俞優(yōu)、陳妍、陸臻、李曦、

趙戈、胡亞蘭、楊明強、顧健等人組成。

其中，張艷全面負(fù)責(zé)標(biāo)準(zhǔn)編制工作，包括制定工作計劃、確定編

制內(nèi)容提綱和整體進度、參編人員的任務(wù)安排；俞優(yōu)、陳妍主要負(fù)責(zé)

標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀分析、標(biāo)準(zhǔn)校對審核，李曦、趙戈主要負(fù)責(zé)標(biāo)

準(zhǔn)各版本的編制、意見匯總的討論處理等工作；胡亞蘭、楊明強負(fù)責(zé)

向廠商征求意見與反饋、意見匯總、編制說明的編寫等工作；陸臻、

顧健主要負(fù)責(zé)標(biāo)準(zhǔn)編制過程中的各項技術(shù)支持和整體指導(dǎo)。

2標(biāo)準(zhǔn)主要內(nèi)容

2.1編制原則

為了使本標(biāo)準(zhǔn)的內(nèi)容從一開始就與現(xiàn)有國家標(biāo)準(zhǔn)保持一致，符合

我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。編制過程中遵循

的具體原則與要求如下：

1）實用性

標(biāo)準(zhǔn)必須是可用的，才有實際意義。本標(biāo)準(zhǔn)在編寫過程中嚴(yán)格按

6

照流程對產(chǎn)品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，

注重與相關(guān)研發(fā)生產(chǎn)單位的交流，廣泛了解了市場上主流移動智能終

端操作系統(tǒng)的功能，進行提煉和擴展，使得標(biāo)準(zhǔn)更貼近產(chǎn)品實際情況，

保證操作性。

2）先進性

標(biāo)準(zhǔn)是先進經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。目前，我國

市場上移動智能終端操作系統(tǒng)種類繁多，要制定出先進的產(chǎn)品標(biāo)準(zhǔn)，

必須參考國內(nèi)外先進技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具有先進

水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

3）兼容性

本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、

規(guī)范等相一致。編制組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容

符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.3標(biāo)準(zhǔn)內(nèi)容

2.3.1標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則

第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語和定義

7

4.移動智能終端操作系統(tǒng)描述

5.安全技術(shù)要求

6.測試評價方法

2.3.2主要內(nèi)容

2.3.2.1范圍、規(guī)范性引用文件、術(shù)語和定義和縮略語

該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以

何種方式引用，術(shù)語和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語。

在術(shù)語中明確了“移動智能終端操作系統(tǒng)”、“移動智能終端操作

系統(tǒng)安全”等重要概念。

2.3.2.2移動智能終端操作系統(tǒng)描述

移動智能終端操作系統(tǒng)的目的是向用戶提供良好的操作界面，便

于用戶使用移動終端的功能。通過身份鑒別、訪問控制、安全審計等

安全功能策略，實現(xiàn)對移動智能終端軟、硬件的管理，確保移動智能

終端的安全運行。其中，硬件包括：通信設(shè)備（蜂窩移動通信設(shè)備、

無線局域網(wǎng)設(shè)備），終端信源傳感器（麥克、攝像頭、定位導(dǎo)航系統(tǒng)），

終端輸入輸出設(shè)備（紅外接口、藍牙、USB接口、SDIO接口）等；軟

件包括存儲用戶信息的文件（電話號碼本、通信記錄、短消息、電子

郵件、記事本等）以及相關(guān)應(yīng)用軟件。

移動智能終端操作系統(tǒng)保護的資產(chǎn)包括：

--用戶數(shù)據(jù)：包含位置信息、賬戶信息、通信記錄、通信錄等。

--移動終端敏感資源：包含通信資源、外設(shè)接口，如攝像鏡頭、

8

位置傳感器等。

--移動終端操作系統(tǒng)安全功能數(shù)據(jù)：包含鑒別數(shù)據(jù)、安全屬性等。

此外，移動智能終端操作系統(tǒng)自身的重要數(shù)據(jù)也是受保護的資

產(chǎn)。

2.3.2.3安全技術(shù)要求

標(biāo)準(zhǔn)將移動智能終端操作系統(tǒng)的技術(shù)要求分為安全功能、安全保

證要求兩個大類。其中，安全功能要求是對移動智能終端操作系統(tǒng)應(yīng)

具備的安全功能提出具體要求，包括身份鑒別、訪問控制、安全審計、

數(shù)據(jù)安全、存儲介質(zhì)管理、用戶策略管理、運行安全保護等；安全保

證要求針對移動智能終端操作系統(tǒng)的開發(fā)和使用文檔的內(nèi)容提出具

體的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持、測試等。

一、安全功能要求

安全功能要求主要對移動智能終端操作系統(tǒng)實現(xiàn)的功能進行了

要求。主要包括身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全、存儲介

質(zhì)管理、用戶策略管理、運行安全保護、升級能力、超時鎖定和注銷、

運行監(jiān)控、可用性等部分。

其中身份鑒別包括：用戶標(biāo)識、鑒別技術(shù)手段、鑒別信息保護、

鑒別失敗處理、用戶主體綁定；訪問控制包括：訪問控制屬性、訪問

授權(quán)規(guī)則；安全審計包括：審計內(nèi)容、審計保護、審計跟蹤管理、

用戶數(shù)據(jù)安全包括：用戶數(shù)據(jù)保護、用戶數(shù)據(jù)完整性、用戶數(shù)據(jù)保密

性、剩余信息保護；可用性包括：穩(wěn)定性、兼容性。

二、安全保障要求

9

該部分對產(chǎn)品的開發(fā)和使用文檔的內(nèi)容進行了要求，包括開發(fā)、

指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定。

2.3.2.4測試評價方法

測試評價方法部分針對移動智能終端操作系統(tǒng)技術(shù)要求中的每

個要求，均給出了一個測試評價方法，為使用本標(biāo)準(zhǔn)的人員提供了一

個測試評價移動智能終端操作系統(tǒng)的技術(shù)準(zhǔn)則。

2.4編制的背景和意義

在移動智能終端安全涉及的眾多內(nèi)容中，作為移動智能終端系統(tǒng)

軟件中最基礎(chǔ)部分的操作系統(tǒng)，其安全問題的解決又是關(guān)鍵中之關(guān)

鍵。若沒有安全的操作系統(tǒng)的支持，數(shù)據(jù)庫就不可能具有存取控制的

安全可信性，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全性，也不可能有應(yīng)用軟件信

息處理的安全性。因此，操作系統(tǒng)安全是整個移動智能終端系統(tǒng)安全

的基礎(chǔ)。

目前，全球各大移動智能終端廠商的操作系統(tǒng)類別眾多，且競爭

激烈。長期以來，我國廣泛應(yīng)用的移動智能終端主流操作系統(tǒng)都是從

國外引進直接使用的產(chǎn)品，不少國內(nèi)廠商利用國外的技術(shù)或部分源代

碼，根據(jù)市場需要自己組合成的操作系統(tǒng)。在“十二五”期間，為促

進移動互聯(lián)網(wǎng)產(chǎn)業(yè)健康快速發(fā)展，我國將抓住移動智能終端快速發(fā)展

帶來的機遇，加強終端自主操作系統(tǒng)的研發(fā)和推廣，通過移動智能終

端和應(yīng)用平臺等關(guān)鍵環(huán)節(jié)進行發(fā)展，以促進具有我國自主知識產(chǎn)權(quán)的

移動智能終端操作系統(tǒng)的發(fā)展成熟，從而滿足我國移動智能終端安全

10

應(yīng)用的迫切需要。

因此國內(nèi)外智能終端操作系統(tǒng)的研究都處在一個大力發(fā)展時期，

然而市場上并沒有針對移動智能終端操作系統(tǒng)的安全性測試評價標(biāo)

準(zhǔn)，即缺乏相應(yīng)的技術(shù)標(biāo)準(zhǔn)來予以規(guī)范其安全性檢測和評價，且針對

操作系統(tǒng)的開發(fā)過程缺乏行之有效的安全監(jiān)管，給基于移動智能終端

的移動互聯(lián)網(wǎng)服務(wù)業(yè)務(wù)的健康穩(wěn)定發(fā)展帶來新的挑戰(zhàn)。所以，急需制

定測評標(biāo)準(zhǔn)來規(guī)范廠商對移動智能終端操作系統(tǒng)的研發(fā)、生產(chǎn)和銷

售，以保證該類產(chǎn)品的安全性和可靠性。

2.5編制的目的

在標(biāo)準(zhǔn)制定過程中，堅持以國內(nèi)外相關(guān)產(chǎn)品發(fā)展的動向為研究基

礎(chǔ)，對移動智能終端操作系統(tǒng)的安全技術(shù)要求和測評方法提出規(guī)范化

的要求，制定切實可行的測評標(biāo)準(zhǔn)。標(biāo)準(zhǔn)可用于移動智能終端操作系

統(tǒng)的研發(fā)、測試、評估，有利于規(guī)范化、統(tǒng)一化，從而有效地提高移

動智能終端操作系統(tǒng)的安全性。

3國內(nèi)外標(biāo)準(zhǔn)對比情況

我國發(fā)布實施的移動智能終端操作系統(tǒng)相關(guān)標(biāo)準(zhǔn)有通信行業(yè)標(biāo)

準(zhǔn)YD/T1700-2007《移動終端信息安全測試方法》，該標(biāo)準(zhǔn)作為通信

行業(yè)移動終端通用安全測試標(biāo)準(zhǔn)，主要包括移動終端接入安全、自身

安全、卡接口安全等方面的安全測試方法描述，雖然其自身安全部分

涉及了部分操作系統(tǒng)安全測試，但內(nèi)容較少，不夠全面，要求較低，

且更注重測試步驟，而不是評價方法，因此無法普遍適用于移動智能

11

終端操作系統(tǒng)的安全性測試評價，因此急需制定移動智能終端操作系

統(tǒng)相關(guān)測評標(biāo)準(zhǔn)。

近期剛發(fā)布實施的GB/T30284－2013《移動通信智能終端操作系

統(tǒng)安全技術(shù)要求》，主要依據(jù)GB/T18336-2008，以保護輪廓的形式給

出移動通信智能終端操作系統(tǒng)安全技術(shù)要求。該標(biāo)準(zhǔn)針對的移動終端

為通過蜂窩移動通信網(wǎng)絡(luò)向用戶提供語音、消息、電子郵件、Web瀏

覽等服務(wù)，集成照相機、攝像機、音樂、視頻播放器、電視機、定位

導(dǎo)航等功能的個人手持通信設(shè)備，與本標(biāo)準(zhǔn)針對的移動智能終端范疇

相比略窄；且GB/T30284－2013主要規(guī)定了移動通信智能終端操作

系統(tǒng)的安全技術(shù)要求，未涉及相關(guān)測試評價方法。

4與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系

建議本標(biāo)準(zhǔn)推薦性實施。本標(biāo)準(zhǔn)不觸犯國家現(xiàn)行法律法規(guī)，不與

其他強制性國標(biāo)相沖突。

5重大分歧