移動智能終端安全能力技術(shù)要求標準解讀

謝利濤

（河南省電子產(chǎn)品質(zhì)量監(jiān)督檢驗所，河南 鄭州，450003）

移動智能終端蓬勃發(fā)展的同時，其所帶來的安全問題也不容忽視。除惡意吸費軟件、系統(tǒng)功能破壞及遠程終端控制等傳統(tǒng)問題外，移動支付、位置信息等新技術(shù)也對智能終端安全提出了新要求。工信部發(fā)布了《關(guān)于加強移動智能終端管理的通知》，通過規(guī)范移動智能終端的安全技術(shù)標準與測試方法，提高智能終端的安全性。該文就YD/T2407-2013 《移動智能終端安全能力技術(shù)要求》標準的范圍和主要內(nèi)容做簡要介紹。

1 范圍

標準規(guī)定了移動智能終端安全能力的技術(shù)要求，包括移動智能終端硬件安全能力、移動智能終端操作系統(tǒng)安全能力、移動智能終端外圍接口安全能力、移動智能終端應(yīng)用層安全要求、移動智能終端用戶數(shù)據(jù)保護安全能力等，并對安全能力進行了分級。

該標準適用于各種制式的移動智能終端，個別條款不適用于特殊行業(yè)、專業(yè)應(yīng)用，其他終端也可參考使用。

2 移動智能終端安全能力框架及目標

2.1 安全能力框架

圖1為移動智能終端安全能力框架，主要包括5個部分：最底層是移動智能終端硬件安全能力，之上為操作系統(tǒng)安全能力，頂層為應(yīng)用層安全要求，外圍接口安全能力涉及操作系統(tǒng)層面和硬件安全層面，用戶數(shù)據(jù)保護安全能力涉及硬件、操作系統(tǒng)和應(yīng)用軟件3個層面。

圖1 移動智能終端安全能力框架

2.2 安全目標

2.2.1 硬件安全目標是在芯片級保證移動通信終端內(nèi)部閃存和基帶的安全，確保芯片內(nèi)系統(tǒng)程序、終端參數(shù)、安全數(shù)據(jù)、用戶數(shù)據(jù)不被篡改或非法獲取。

2.2.2 操作系統(tǒng)安全目標是達到操作系統(tǒng)對系統(tǒng)資源調(diào)用的監(jiān)控、保護和提醒，確保涉及安全的系統(tǒng)行為總是在受控的狀態(tài)下，不會出現(xiàn)用戶在不知情情況下某種行為的執(zhí)行，或者用戶不可控行為的執(zhí)行。

2.2.3 外圍接口安全目標是確保用戶對外圍接口的連接及數(shù)據(jù)傳輸?shù)目芍涂煽亍?/p>

2.2.4 應(yīng)用層安全目標是要保證移動智能終端對要安裝在其上的應(yīng)用軟件可進行來源的識別，對已經(jīng)安裝在其上的應(yīng)用軟件可以進行敏感行為的控制。

2.2.5 用戶數(shù)據(jù)保護安全目標是要保證用戶數(shù)據(jù)的安全存儲，確保用戶數(shù)據(jù)不被非法訪問、不被非法獲取、不被非法篡改，同時能夠通過備份保證用戶數(shù)據(jù)的可靠恢復(fù)。

3 主要技術(shù)要求

3.1 基本要求

移動智能終端應(yīng)通過給用戶相關(guān)提示和讓用戶確認的方式來防范安全威脅，當(dāng)?shù)谌綉?yīng)用調(diào)用相關(guān)功能時，操作系統(tǒng)應(yīng)具備給用戶相關(guān)提示和讓用戶確認的能力。

給用戶的提示可以是圖標提示、文字提示或其他明顯的提示方式。在操作執(zhí)行期間，提示應(yīng)足夠引起用戶的注意。

用戶確認應(yīng)使用戶有選擇的權(quán)利，即用戶應(yīng)能確認也能取消。

3.2 硬件安全能力要求

如果移動智能終端硬件提供了遠程操作手段，則終端應(yīng)對其遠程操作手段進行保護，防止遠程操作被惡意利用。

3.3 操作系統(tǒng)安全能力要求

3.3.1 安全調(diào)用控制能力

（1）通信類功能受控機制

應(yīng)用軟件在執(zhí)行撥打電話、三方通話、發(fā)送短信、發(fā)送彩信和發(fā)送郵件操作時，應(yīng)應(yīng)在用戶確認的情況下，相應(yīng)操作才能執(zhí)行。

（2）移動通信網(wǎng)絡(luò)數(shù)據(jù)連接

a）移動智能終端應(yīng)提供開關(guān)，可開啟/關(guān)閉移動通信網(wǎng)絡(luò)數(shù)據(jù)連接；

b）應(yīng)用軟件調(diào)用開啟移動通信網(wǎng)絡(luò)數(shù)據(jù)連接功能時，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認后連接方可開啟；

c）當(dāng)移動通信網(wǎng)絡(luò)的數(shù)據(jù)連接處于已連接狀態(tài)或正在傳送數(shù)據(jù)時，終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示，并且兩種狀態(tài)提示應(yīng)不同。

（3） WLAN 網(wǎng)絡(luò)連接

a）移動智能終端應(yīng)提供開關(guān)，可開啟/關(guān)閉WLAN網(wǎng)絡(luò)連接；

b）應(yīng)用軟件調(diào)用開啟WLAN網(wǎng)絡(luò)連接功能時，應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認后連接方可開啟；

c）當(dāng)WLAN網(wǎng)絡(luò)連接處于已連接狀態(tài)或正在傳送數(shù)據(jù)時，終端應(yīng)在用戶主界面上給用戶相應(yīng)的狀態(tài)提示，并且兩種狀態(tài)提示應(yīng)不同。

3.3.2 本地敏感功能受控機制

（1） 定位功能

應(yīng)用軟件調(diào)用定位功能時，終端應(yīng)在用戶確認的情況下才能調(diào)用。調(diào)用后，終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示。

（2） 通話錄音功能

當(dāng)應(yīng)用軟件調(diào)用啟動通話錄音時，應(yīng)在用戶確認的情況下才能開啟。

（3）本地錄音功能

應(yīng)用軟件調(diào)用啟動本地錄音功能時，應(yīng)在用戶確認的情況下才能啟動錄音操作。

（4）對用戶數(shù)據(jù)的操作

移動智能終端操作系統(tǒng)應(yīng)提供對用戶數(shù)據(jù)保護的功能，能夠?qū)﹄娫挶緮?shù)據(jù)、通話記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)進行保護。

3.3.3 操作系統(tǒng)的更新

移動智能終端通常執(zhí)行授權(quán)的操作系統(tǒng)更新，當(dāng)不能保證操作系統(tǒng)安全的更新時，應(yīng)在說明書中明示用戶可能帶來的安全風(fēng)險。

3.4 外圍接口安全能力要求

3.4.1 無線外圍接口

（1）接口開啟/關(guān)閉受控機制

對于具備藍牙、NFC功能的移動智能終端應(yīng)具備開關(guān)，可開啟/關(guān)閉藍牙、NFC等終端所支持的無線連接方式。

當(dāng)應(yīng)用軟件調(diào)用開啟無線外圍接口時，終端應(yīng)給用戶相應(yīng)的提示，當(dāng)用戶確認后連接方可開啟。

（2）接口連接建立的確認機制

當(dāng)通過無線外圍接口（僅適用于藍牙）與不同設(shè)備進行第一次連接時，終端能夠發(fā)現(xiàn)該連接并給用戶相應(yīng)的提示，當(dāng)用戶確認建立連接時，連接才可建立。

（3）接口連接狀態(tài)提示

當(dāng)移動智能終端的無線外圍接口藍牙已開啟、通過無線外圍接口藍牙建立數(shù)據(jù)連接、無線外圍接口NFC已開啟和通過無線外圍接口NFC建立數(shù)據(jù)連接時，移動終端宜在用戶主界面上給用戶相應(yīng)的狀態(tài)提示（圖標、聲音或振動等）。并且開啟狀態(tài)提示和數(shù)據(jù)連接狀態(tài)提示應(yīng)不同。

（4）接口數(shù)據(jù)傳輸?shù)氖芸貦C制

當(dāng)移動智能終端與其他設(shè)備已經(jīng)通過無線外圍接口（藍牙或NFC）實現(xiàn)連接，此時通過無線外圍接口進行文件數(shù)據(jù)傳輸時，終端應(yīng)給用戶相應(yīng)的提示。

3.4.2 有線外圍接口

（1）有線外圍接口連接建立的確認機制

對于僅用于充電或僅用于數(shù)據(jù)連接的有線外圍接口，當(dāng)通過該接口建立連接時，移動終端應(yīng)給用戶相應(yīng)的提示。

（2） USB 存儲模式的安全機制

如果移動智能終端支持內(nèi)置式USB存儲模式（U盤模式），則應(yīng)提供訪問控制方式。

3.5 移動智能終端應(yīng)用層安全要求

3.5.1 應(yīng)用軟件安全配置能力要求

移動智能終端可提供機制對所安裝的第三方應(yīng)用軟件的調(diào)用行為進行配置，包括對撥打電話、發(fā)起三方通話、發(fā)送短信、發(fā)送彩信、調(diào)用移動通信網(wǎng)絡(luò)數(shù)據(jù)連接、調(diào)用定位功能、進行通話錄音、本地錄音、拍照/攝像、訪問電話本、訪問通話記錄、訪問短信和訪問彩信的控制。

對以上調(diào)用行為進行控制至少有允許調(diào)用和禁止調(diào)用兩種狀態(tài)

3.5.2 應(yīng)用軟件安全認證機制要求

（1） 非認證簽名要求

如果支持對未經(jīng)認證簽名的軟件下載和應(yīng)用，在進行應(yīng)用軟件安裝時移動智能終端應(yīng)能夠識別應(yīng)用軟件的簽名狀態(tài)，并能夠根據(jù)簽名狀態(tài)給用戶相應(yīng)的提示。

（2）認證簽名要求

如果采用認證簽名機制，在此情況下，未經(jīng)過認證簽名的應(yīng)用軟件僅當(dāng)用戶進行確認后才能執(zhí)行下一步操作。

(3) 移動通信網(wǎng)絡(luò)開機自啟動程序監(jiān)控能力

如果具備第三方應(yīng)用開機自啟動程序的能力，應(yīng)可以瀏覽和配置應(yīng)用程序是否開機自啟動。

(4)預(yù)置應(yīng)用軟件安全要求

移動智能終端中預(yù)置的應(yīng)用軟件未向用戶明示且未經(jīng)用戶同意時，不得擅自收集和修改用戶數(shù)據(jù)；不得擅自調(diào)用終端通信功能，造成用戶流量消耗、費用損失和數(shù)據(jù)泄露。

(5)聯(lián)網(wǎng)軟件安全行為要求

移動智能終端中預(yù)置的聯(lián)網(wǎng)應(yīng)用軟件參見YD/T 2382的相關(guān)要求。

3.6 用戶數(shù)據(jù)安全保護能力要求

3.6.1 移動智能終端的密碼保護

終端應(yīng)支持開機時的密碼保護和開機后鎖定狀態(tài)下的密碼保護，例如口令、圖案、生物特征識別等多種形態(tài)的密碼。

3.6.2 文件類用戶數(shù)據(jù)的授權(quán)訪問

終端提供文件類用戶數(shù)據(jù)的授權(quán)訪問能力，當(dāng)?shù)谌綉?yīng)用訪問被保護的用戶數(shù)據(jù)時，應(yīng)在用戶確認的情況下才能訪問。文件類用戶數(shù)據(jù)包括圖片、視頻、音頻和文檔等。

3.6.3 用戶數(shù)據(jù)的加密存儲

未經(jīng)授權(quán)的任何實體應(yīng)不能從終端的加密存儲區(qū)域的數(shù)據(jù)中還原出用戶私密數(shù)據(jù)的真實內(nèi)容。

3.6.4 用戶數(shù)據(jù)的徹底刪除

終端提供數(shù)據(jù)徹底刪除功能，以保證被刪除的用戶數(shù)據(jù)不可再恢復(fù)出來。

3.6.5 用戶數(shù)據(jù)的遠程保護

終端應(yīng)提供用戶數(shù)據(jù)的遠程保護能力，以便用戶在手機遺失或其他情況下，終端中的用戶數(shù)據(jù)不被泄露。遠程保護能力包括遠程鎖定移動智能終端和遠程銷毀用戶數(shù)據(jù)。移動智能終端提供的遠程保護功能也應(yīng)具備安全設(shè)置，確保遠程保護功能僅在達到了用戶預(yù)設(shè)條件的情況下才會啟動。

3.6.6 用戶數(shù)據(jù)的轉(zhuǎn)移備份

移動智能終端應(yīng)具備用戶數(shù)據(jù)（至少包括電話本、短信、多媒體數(shù)據(jù)）的轉(zhuǎn)移及備份能力。

用戶數(shù)據(jù)的轉(zhuǎn)移備份包括本地備份和遠程備份兩種，移動智能終端應(yīng)至少支持一種備份方式。

4 功能限制性要求

移動智能終端應(yīng)當(dāng)真實傳送信息，不得通過對傳送信息的處理或傳送虛假信息使信息接收者錯誤識別特定通信主體等，不得預(yù)置可改變通信系統(tǒng)提示信號的應(yīng)用軟件；不得預(yù)置國家法律法規(guī)禁止的信息內(nèi)容，也不得預(yù)置為傳播發(fā)布國家法律法規(guī)禁止信息內(nèi)容提供服務(wù)的應(yīng)用軟件。

5 安全能力分級

根據(jù)移動智能終端所支持的安全能力的程度，自低到高劃分為5個等級。

6 結(jié)語

與該標準配套的方法標準是YD/T2408—2013《移動智能終端安全能力測試方法》。建議由相關(guān)電子行業(yè)標準化管理機構(gòu)，利用各種條件盡最大可能向所有相關(guān)產(chǎn)業(yè)集團宣貫該標準。建議在該標準從發(fā)行之日起，各相關(guān)企業(yè)及檢測機構(gòu)、認證機構(gòu)等即以最快的速度貫徹實施。

YD/T 2407-2013 移動智能終端安全能力技術(shù)要求[S]