移動互聯(lián)網(wǎng)信息安全標準綜述

寧 華 潘 娟

(中國信息通信研究院泰爾終端實驗室 北京 100191)

?

移動互聯(lián)網(wǎng)信息安全標準綜述

寧 華 潘 娟

(中國信息通信研究院泰爾終端實驗室 北京 100191)

(ninghua@caict.ac.cn)

移動互聯(lián)網(wǎng)的安全和隱私已成為國際社會面臨的重大挑戰(zhàn)，為支撐網(wǎng)絡(luò)安全保障需求，美國國家信息安全保障合作組織(NIAP)發(fā)布了移動設(shè)備、移動設(shè)備管理、移動應(yīng)用等保護輪廓，國家標準與技術(shù)研究院(NIST)發(fā)布了企業(yè)移動設(shè)備安全管理、移動應(yīng)用安全審查等若干特別出版物，全面提升移動互聯(lián)網(wǎng)的安全能力.我國也通過制定《移動智能終端安全架構(gòu)》和《移動終端安全保護技術(shù)要求》等國家標準，加快構(gòu)建移動互聯(lián)網(wǎng)信息安全標準體系，不斷地促進移動終端、接入網(wǎng)絡(luò)、移動應(yīng)用的安全標準化，積極應(yīng)對移動互聯(lián)網(wǎng)發(fā)展中遇到的諸多困難.

移動互聯(lián)網(wǎng)；信息安全標準；移動智能終端；移動應(yīng)用；移動設(shè)備

2015年11月30日，國際電信聯(lián)盟(ITU)發(fā)布《衡量信息社會報告(2015)》[1]，提到全球手機用戶接近71億，已覆蓋95%以上的世界人口.2016年2月世界通信大會發(fā)布的《移動經(jīng)濟2015》報告中指出，截至2015年底，3G和4G的用戶已占50%，預(yù)計2020年將達到70%.一方面移動網(wǎng)絡(luò)的蓬勃發(fā)展催生了各種新興的業(yè)務(wù)和服務(wù)，消費場景更加豐富；另一方面，越來越多的傳統(tǒng)行業(yè)借助移動互聯(lián)網(wǎng)進行轉(zhuǎn)型升級，通過移動終端接入移動網(wǎng)絡(luò)進行工作、辦公，社會各個行業(yè)領(lǐng)域的經(jīng)濟形態(tài)正在被移動互聯(lián)網(wǎng)鍛造重塑.

經(jīng)濟社會對移動互聯(lián)網(wǎng)的深度依賴，使其置身于遠超信息通信產(chǎn)業(yè)的威脅場景之中.在信息交互的過程中，數(shù)據(jù)在終端設(shè)備、移動應(yīng)用、移動網(wǎng)絡(luò)、業(yè)務(wù)平臺之間相互流動，應(yīng)用場景不斷裂變，催生出不斷演變的威脅場景，移動互聯(lián)網(wǎng)安全的邊界也隨之不斷延伸擴展.網(wǎng)絡(luò)詐騙、隱私竊取、敲詐勒索等針對個人的攻擊已是屢見不鮮；而以終端設(shè)備為跳板，進一步威脅所連接的組織、機構(gòu)，更讓人惴惴不安.移動互聯(lián)網(wǎng)的安全和隱私已經(jīng)成為國際社會面臨的重大挑戰(zhàn)[2-3].

1 移動互聯(lián)網(wǎng)的安全困境

中國信息通信研究院發(fā)布的系列移動互聯(lián)網(wǎng)白皮書[4]指出，移動互聯(lián)網(wǎng)是以移動網(wǎng)絡(luò)作為接入網(wǎng)絡(luò)的互聯(lián)網(wǎng)及服務(wù)，包括3個要素：移動終端、移動網(wǎng)絡(luò)和應(yīng)用服務(wù).本文重點描述移動終端和應(yīng)用服務(wù)當前所面臨的安全問題.

1.1 終端形態(tài)多種多樣，移動應(yīng)用呈爆發(fā)式增長

移動互聯(lián)網(wǎng)與Android，iOS等智能操作系統(tǒng)、智能硬件設(shè)備的結(jié)合，催生了多種多樣的終端形態(tài).早期先是從特征機發(fā)展到智能機，如今則進一步擴展到可穿戴式設(shè)備、智能家居、車聯(lián)網(wǎng)等新興領(lǐng)域.在2016年世界通信大會上，國際調(diào)研機構(gòu)Gartner公布最新預(yù)測數(shù)據(jù)稱，2020年將是科技產(chǎn)業(yè)發(fā)展的分水嶺，可穿戴設(shè)備營收將超越智能手機市場，規(guī)模可達617億美元.移動互聯(lián)網(wǎng)應(yīng)用場景的不停裂變，成為拉動中國經(jīng)濟增長的重要力量.

伴隨終端形態(tài)發(fā)展的是移動應(yīng)用呈幾何數(shù)增長，呈現(xiàn)向平臺化和垂直化雙向發(fā)展的趨勢.一方面，互聯(lián)網(wǎng)巨頭通過超級應(yīng)用大范圍覆蓋用戶，圍繞自身核心資源打造產(chǎn)業(yè)生態(tài)，產(chǎn)品逐步平臺化、OS化，通過連接各類應(yīng)用、場景，成為移動互聯(lián)網(wǎng)應(yīng)用服務(wù)的中樞[5-6]；另一方面，隨著行業(yè)互聯(lián)網(wǎng)化進程的深入，帶動中長尾應(yīng)用根據(jù)場景不斷裂變，向著垂直領(lǐng)域的專業(yè)化、精細化應(yīng)用發(fā)展.各個組織機構(gòu)進行個性化的應(yīng)用定制開發(fā)屢見不鮮.移動應(yīng)用總體呈爆發(fā)式增長.

1.2 移動威脅場景不斷升級加劇

隨著移動互聯(lián)網(wǎng)的迅猛發(fā)展，應(yīng)用場景的不停裂變，移動互聯(lián)網(wǎng)所面臨的安全威脅也在不斷升級加劇.

早期移動智能終端與個人資費相關(guān)聯(lián)，后臺的短信發(fā)送、自動的蜂窩網(wǎng)絡(luò)連接、撥打聲訊臺、自動訂購業(yè)務(wù)都會造成用戶資費的損失.隨著網(wǎng)速的提高和終端性能的飛躍，終端承擔了越來越多的個人事務(wù)處理功能，銀行、證券、交通、購物等各種應(yīng)用軟件大量安裝在智能終端中，其中包含了各種私密的用戶個人信息.攻擊者利用惡意代碼、系統(tǒng)后門等手段大量竊取用戶個人信息，進一步實施詐騙、勒索、獲取經(jīng)濟利益的事件防不勝防.長期以來，保護用戶的個人信息安全是移動互聯(lián)網(wǎng)安全保障的主要任務(wù).

近年來，辦公和移動互聯(lián)網(wǎng)無縫銜接形成的移動辦公，打破了普通辦公受環(huán)境和空間限制的局限，為企業(yè)的發(fā)展提供了更高的擴展能力和服務(wù)空間.大型企業(yè)通過移動互聯(lián)網(wǎng)開展工作的比比皆是.初始用戶通常額外攜帶企業(yè)定制的安全終端帶來諸多不便.隨著終端性能的不斷提高，通過在私有終端上安裝企業(yè)客戶端，BYOD辦公的場景逐漸興起.同傳統(tǒng)電子政務(wù)或電子商務(wù)系統(tǒng)相比，移動辦公使用移動設(shè)備，經(jīng)過開放的無線公網(wǎng)接入企業(yè)的內(nèi)部網(wǎng)，需要特別注意防范終端設(shè)備的安全及無線數(shù)據(jù)通道的安全問題.在網(wǎng)絡(luò)和終端安全威脅日益嚴重的今天，妥善制定移動安全策略，保障移動辦公系統(tǒng)的安全，防止將移動互聯(lián)網(wǎng)的安全問題引入到傳統(tǒng)互聯(lián)網(wǎng)中，是一個必須加以重視、全面提高風險防范意識的議題.

同時，移動互聯(lián)網(wǎng)也給國家網(wǎng)絡(luò)安全帶來了全新的挑戰(zhàn)，針對移動互聯(lián)網(wǎng)業(yè)務(wù)的監(jiān)管面臨前所未有的難度.一是主流操作系統(tǒng)產(chǎn)品為國外企業(yè)所掌控，終端用戶數(shù)據(jù)同步上傳及位置定位等功能使得國外廠商能夠收集、挖掘國內(nèi)用戶的各類信息；二是超級應(yīng)用擁有超大規(guī)模的用戶量，所匯聚的海量用戶信息為大數(shù)據(jù)監(jiān)管帶來全新挑戰(zhàn)；三是移動智能終端加密技術(shù)給國家信息安全監(jiān)管帶來更大的議題，蘋果與FBI之間的交鋒影響深遠，如何在個人隱私保護與國家安全需求間進行平衡；四是移動互聯(lián)網(wǎng)時代信息傳播的無中心化和交互性特點愈加突出，現(xiàn)有傳統(tǒng)互聯(lián)網(wǎng)的監(jiān)管技術(shù)手段難以覆蓋移動互聯(lián)網(wǎng)，管理的難度和復(fù)雜性前所未有.

2 國際移動互聯(lián)網(wǎng)標準制定情況

針對上述問題，國際社會正在積極開展移動互聯(lián)網(wǎng)的信息安全標準研究，通過不斷促進移動終端、接入網(wǎng)絡(luò)、應(yīng)用和業(yè)務(wù)的安全標準化，全面提升安全能力，積極應(yīng)對移動互聯(lián)網(wǎng)發(fā)展中遇到的困難.

2.1 NIAP發(fā)布若干移動互聯(lián)網(wǎng)保護輪廓

為保護政府的網(wǎng)絡(luò)和數(shù)據(jù)，積極應(yīng)對移動互聯(lián)網(wǎng)帶來的風險，自2013年起，美國國家信息安全保障合作組織(NIAP)發(fā)布了若干移動互聯(lián)網(wǎng)相關(guān)的保護輪廓(PP)，包括《Protection Profile of Mobile Device Fundamentals》[7]，《Protection Profile for Mobile Device Management Version 2.0》[8]，《Extended Package for Mobile Device Management Agents Version 2.0》[9]，《Protection Profile for Application Software Version 1.1》[10]等.NIAP由美國國家安全局和美國國家標準與技術(shù)研究院(NIST)聯(lián)合成立，通過CCEVS(Common Criteria Evaluation and ValidationScheme)體系和CCRA(the Common Criteria Recognition Arrangement )實現(xiàn)對測評實驗室的管理、認證流程的控制、標準執(zhí)行的監(jiān)督，進而支撐美國政府的網(wǎng)絡(luò)安全保障需求.

在2014年9月發(fā)布的《Protection Profile of Mobile Device Fundamentals》2.0版本中，TOE是指機構(gòu)使用的智能終端，包括硬件平臺和運行在其上的系統(tǒng)軟件.該TOE應(yīng)能建立無線連接，并通過各種安全的方式訪問機構(gòu)的網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用，與其他終端進行通信等.TOE能夠提供加密、靜態(tài)數(shù)據(jù)防護、存儲等安全功能，保證終端上的應(yīng)用安全運行.迄今為止，波音的Boeing Black 1.2；三星的Galaxy Note4 Android5，Galaxy S6&S6 Edge，Galaxy Note5，TAB S2等；微軟的Windows 10；蘋果的iOS9；LG的G3，G4等；以及Blackberry的OS等均通過了基于該保護輪廓的項目實驗和認證，大都列入了NSA的保密項目商業(yè)解決方案CSFC列表[11]，可用于訪問保密的政府網(wǎng)絡(luò)和數(shù)據(jù).

2014年12月發(fā)布的《Protection Profile for Mobile Device Management Version 2.0》和《Extended Package for Mobile Device Management Agents Version 2.0》，旨在通過移動設(shè)備的安全管理，指導(dǎo)企業(yè)將安全策略應(yīng)用到移動設(shè)備，以建立一個充分安全的場景，允許移動設(shè)備接入企業(yè)網(wǎng)絡(luò)資源，處理企業(yè)數(shù)據(jù).前者(MDM SERVER)是指安裝在通用操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備上的服務(wù)器端軟件，負責管理終端設(shè)備注冊，收集終端狀態(tài)，向MDM AGENT下發(fā)配置、策略以及指令.后者(MDM AGENT)是指安裝在終端上的應(yīng)用，或已集成為終端操作系統(tǒng)軟件的一部分.這2個PP通過提供安全功能需求的最小基線組合，減輕PP中所定義和描述的安全威脅，它們是企業(yè)部署移動設(shè)備的重要組成部分.目前三星的企業(yè)移動管理1.1版本已經(jīng)通過MDM V1.1版本的認證，黑莓、Vmware、MobileIron等廠商的解決方案正處于MDM V2.0認證進程中.

2014年11月，NIAP進一步發(fā)布了《Protection Profile for Application Software Version 1.1》，用于測評智能終端上移動應(yīng)用的安全性.其中TOE涵蓋的APP不僅包括在終端上運行的APP，也包括安裝在臺式機和服務(wù)器上的軟件應(yīng)用.特定專業(yè)應(yīng)用的安全需求，如文件加密等則可通過擴展包的形式進行進一步的定義.目前已經(jīng)通過基于該PP認證的產(chǎn)品有Hypori ACE Client v3.1.0,CRC Data At Rest Service (256-bit),Trivalent Data at Rest Service (Inside) Version 1.0.0 (Version Code 2)等.

NIAP計劃在2016年第2季度，發(fā)布上述PP的更新版本.

2.2 NIST通過特別出版物促進移動互聯(lián)網(wǎng)安全

NIST認為，越來越多的員工使用智能終端或平板電腦等移動設(shè)備工作，這些移動設(shè)備可以訪問大量可安裝的應(yīng)用程序，但下載安裝不安全應(yīng)用程序的行為，無意中將使企業(yè)的計算機網(wǎng)絡(luò)面臨安全和隱私風險.因此，基于聯(lián)邦信息安全管理法案(FISMA)給定的法定責任，NIST發(fā)布了若干移動互聯(lián)網(wǎng)相關(guān)的特別出版物，以指導(dǎo)機構(gòu)、企業(yè)安全地使用移動設(shè)備，控制移動互聯(lián)網(wǎng)帶來的安全風險.

2013年6月，NIST發(fā)布了企業(yè)移動設(shè)備安全管理指南，SP 800-124r1《Guidelines for Managing the Security of Mobile Devices in the Enterprise》[12]，提供了貫穿移動設(shè)備全生命周期如何選擇、實施、使用集中管理技術(shù)的建議.所涉及的移動設(shè)備包括企業(yè)提供的設(shè)備以及BYOD設(shè)備.該出版物給出了移動設(shè)備的安全建議，并對SP 800-53《聯(lián)邦政府信息和組織的安全和隱私控制》通用IT技術(shù)的安全控制進行了補充.SP 800-124r1通過推動使用集中的移動設(shè)備管理技術(shù)，提供安全控制移動設(shè)備和安全訪問企業(yè)計算資源的解決方案，推動組織機構(gòu)制定移動設(shè)備安全策略、開發(fā)系統(tǒng)的威脅模型、確定所需的安全服務(wù)、進行解決方案試點、定期維護移動設(shè)備安全等.

2015年1月，NIST發(fā)布了SP 800-163《Vetting the Security of Mobile Applications》[13],為各行各業(yè)提供評估移動應(yīng)用程序相關(guān)的安全和隱私風險建議.該指南適用于從應(yīng)用程序商店下載的應(yīng)用程序、為內(nèi)部使用而開發(fā)的程序、應(yīng)用軟件提供商開發(fā)并提供給公眾的程序等.該指南旨在幫助組織機構(gòu)理解審查移動應(yīng)用安全性的過程，規(guī)劃應(yīng)用審查過程的實施，制定應(yīng)用安全需求，了解應(yīng)用程序的漏洞類型及檢測方法，決定應(yīng)用程序可否部署在組織機構(gòu)的移動設(shè)備上.

2015年11月NIST下屬的NCCOE發(fā)布了SP 1800-4《Mobile Device Security Cloud and Hybrid Builds》[14]，給出了移動設(shè)備和企業(yè)移動管理解決方案的示例，通過在訪問企業(yè)資源的移動設(shè)備上構(gòu)建企業(yè)級保護的參考設(shè)計，幫助企業(yè)減少通過移動設(shè)備入侵的風險，節(jié)省了企業(yè)的研究和論證成本.

2016年3月，NIST發(fā)布了SP 800-46r2《Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security》[15],SP 800-114 《Users Guide to Telework and Bring Your Own Device(BYOD) Security》[16].針對使用BYOD設(shè)備直接或者間接接入企業(yè)網(wǎng)絡(luò)的情況，分別向組織機構(gòu)和用戶提供了安全建議.

此外，NIST還發(fā)布了SP 800-101r1《Guidelines on Mobile Device Forensics》[17]，IR 8023《Risk Management for Replication Devices》[18],SP 1800-1《DRAFT Securing Electronic Health Records on Mobile Devices》[19]等特別出版物，進一步補充完善了移動互聯(lián)網(wǎng)信息安全標準體系.

3 我國移動互聯(lián)網(wǎng)安全標準現(xiàn)狀

隨著移動互聯(lián)網(wǎng)安全問題日益突出，移動互聯(lián)網(wǎng)安全標準化已經(jīng)成為我國信息安全保障體系建設(shè)的重要內(nèi)容.秉著采用國際標準與自主研制并重的工作思路，在全國信息安全標準化技術(shù)委員會的統(tǒng)籌領(lǐng)導(dǎo)下，積極開展了一系列的移動互聯(lián)網(wǎng)安全標準制定工作.

3.1 移動智能終端安全架構(gòu)

國標《移動智能終端安全架構(gòu)》的制定，旨在通過提出硬件、系統(tǒng)軟件、應(yīng)用軟件、用戶數(shù)據(jù)、接口等各個部分的安全需求，指導(dǎo)、規(guī)范移動智能終端涉及的設(shè)計、開發(fā)、測試、評估工作，降低移動智能終端所面臨的風險，提高移動智能終端安全能力，保障用戶個人信息安全，移動辦公安全以及所涉及的國家安全.

標準首先定義了移動智能終端為能夠接入移動通信網(wǎng)，提供應(yīng)用軟件開發(fā)接口，并能夠安裝和運行應(yīng)用軟件的移動終端.隨后指出，移動智能終端通常由硬件、系統(tǒng)軟件、應(yīng)用軟件、接口、用戶數(shù)據(jù)五大部分組成.其中硬件包括處理器、存儲芯片、輸入輸出等部件；系統(tǒng)軟件包括操作系統(tǒng)、通信協(xié)議軟件等；應(yīng)用軟件包括預(yù)置和安裝的第三方應(yīng)用軟件；用戶數(shù)據(jù)通常指位置信息、賬戶信息、通信錄、照片等所有由用戶產(chǎn)生或為用戶服務(wù)的數(shù)據(jù)；接口包括蜂窩網(wǎng)絡(luò)接口、無線外圍接口、有線外圍接口、外置存儲設(shè)備等.

而移動智能終端的安全目標是通過提出硬件、系統(tǒng)軟件、應(yīng)用軟件、用戶數(shù)據(jù)、接口等方面的安全需求，提高移動智能終端的安全能力，降低移動智能終端所面臨的網(wǎng)絡(luò)攻擊、惡意軟件等風險，保證移動智能終端的保密性、可用性和完整性.為此，標準核心內(nèi)容分為硬件安全、系統(tǒng)軟件安全、應(yīng)用軟件安全、用戶數(shù)據(jù)安全、接口安全5個部分，通過安全啟動、標識唯一、抗物理攻擊機制、芯片安全等安全需求，為移動智能終端提供基礎(chǔ)的硬件安全保障；系統(tǒng)級別的安全保障則由訪問控制、安全域隔離、加密機制、安全審計、數(shù)字簽名、可信機制等安全需求組成；最小權(quán)限原則、應(yīng)用安全分級、安全掃描、安全軟件等用于保障業(yè)務(wù)應(yīng)用的安全可靠；遠程保護、會話鎖定、狀態(tài)提示、配置管理、用戶確認、密鑰管理、用戶數(shù)據(jù)、信息收集、文件分級等為用戶數(shù)據(jù)安全提供保護；接口安全則包括了網(wǎng)絡(luò)接入安全、話音通信安全、數(shù)據(jù)通信安全、無線外圍接口、有線外圍接口、外置存儲設(shè)備等部分.這5個組成部分相互配合，構(gòu)成了移動智能終端安全架構(gòu)的主體，用以指導(dǎo)移動智能終端安全設(shè)計、開發(fā)、測試、評估等工作的開展.

3.2 移動終端安全保護技術(shù)要求

為積極應(yīng)對移動辦公帶來的安全風險，2013年開始了國標《移動終端安全保護技術(shù)要求》的制訂.該標準規(guī)定了通用的設(shè)計開發(fā)安全要求和評估準則，適用于移動智能終端涉及的設(shè)計、開發(fā)、測試和評估.標準定義移動終端具備以下特征：由硬件平臺和系統(tǒng)軟件組成，提供無線連接，包含的應(yīng)用軟件可提供安全信息、Email、Web、VPN連接、VOIP等功能，可訪問受保護的企業(yè)網(wǎng)絡(luò)、企業(yè)數(shù)據(jù)和應(yīng)用，或者與其他移動終端進行通信等.移動終端的類型包含智能手機、平板等具有類似特征的個人手持移動通信終端.

該標準依據(jù)《GB/T 18336—2008信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》的規(guī)定，使用保護輪廓的結(jié)構(gòu)形式，參考了NIAP發(fā)布的PP《Protection Profile of Mobile Fundamentals》2.0版本.標準結(jié)合我國當前移動智能終端的發(fā)展現(xiàn)狀，針對當前存在的問題，在GB/T 18336 中規(guī)定的EAL1級安全要求組件的基礎(chǔ)上，適當增加和增強了部分安全要求組件，以有效保證移動終端能夠抵御中等強度攻擊.該標準的制定旨在為移動終端采購者、生產(chǎn)廠商、評估機構(gòu)提供一個多方認可的，通用的移動終端設(shè)計開發(fā)安全要求和評估準則，移動終端廠商可參考本標準進行移動終端的設(shè)計、開發(fā)，評估機構(gòu)可依據(jù)本標準開展對移動終端的評估，企業(yè)等移動終端采購者可采信基于本標準的評估結(jié)果.

4 結(jié) 論

移動互聯(lián)網(wǎng)信息安全標準體系是支撐移動互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)，保障個人信息安全、組織機構(gòu)安全、乃至國家安全的重要基礎(chǔ).對比國外的移動互聯(lián)網(wǎng)安全標準體系，我國移動互聯(lián)網(wǎng)信息安全國家標準建設(shè)尚處于起步階段，亟需在移動智能終端安全架構(gòu)、移動設(shè)備安全保護技術(shù)要求等現(xiàn)有國標的基礎(chǔ)上，補充完善移動設(shè)備管理、移動應(yīng)用等配套標準，形成移動互聯(lián)網(wǎng)的核心安全標準體系.在此基礎(chǔ)上：一方面細化技術(shù)領(lǐng)域，深入研究硬件、可信、簽名等具體的技術(shù)要求，制定安全技術(shù)標準；另一方面從產(chǎn)品、產(chǎn)業(yè)鏈入手，推進產(chǎn)品標準和產(chǎn)業(yè)標準的制定，從而形成一個完整全面的移動互聯(lián)網(wǎng)安全標準體系.

[1]ITU. Measuring the information society report[OL]. (2015-10-30)[2015-11-03]. http://www.itu.int/en/ITU-D/Statistics/Pages/publications/mis2015.aspx

[2]孫其博.移動互聯(lián)網(wǎng)安全綜述[J]. 無線電通信技術(shù), 2016, 42(2): 1-8

[3]林東岱,田有亮,田呈亮.移動安全技術(shù)研究綜述[J]. 保密科學(xué)技術(shù), 2014 (3): 4-25

[4]中國信息通信研究院. 移動互聯(lián)網(wǎng)白皮書[OL]. 2013[2013-04-09]. http://www.catr.cn/kxyj/qwfb/bps/201303/t20130301_907795.html

[5]中國信息通信研究院. 移動互聯(lián)網(wǎng)白皮書[OL]. 2015[2015-10-04]. http://www.catr.cn/kxyj/qwfb/bps/201509/t20150930_2129572.html

[6]中國電子技術(shù)標準化研究院. 智能終端白皮書[OL]. 2013[2015-10-05]. http://www.cesi.ac.cn/cesi/guanwang lanmu/biaozhunhuayanjiu/2014/0724/11531.html

[7]NIAP. Protection Profile of Mobile Device Fundamentals[OL]. (2014-09-17)[2014-10-04]. https://www.niap-ccevs.org/Profile/PP.cfm

[8]NIAP.Protection Profile for Mobile Device Management Version 2.0[OL]. (2014-12-31)[2015-01-03]. https://www.niap-ccevs.org/Profile/PP.cfm

[9]NIAP.Extended Package for Mobile Device Management Agents Version 2.0[OL]. (2014-12-31)[2015-01-03]. https://www.niap-ccevs.org/Profile/PP.cfm

[10]NIAP.Protection Profile for Application Software Version 1.1[OL]. (2014-11-06) [2015-01-03]. https://www.niap-ccevs.org/Profile/PP.cfm

[11]NSA. Commercial solutions for classified program components list[OL]. 2016[2016-03-31]. https://www.nsa.gov/ia/programs/csfc_program/component_list.shtml

[12]NIST. SP 800-124r1 Guidelines for Managing the Security of Mobile Devices in the Enterprise[OL]. 2013 [2013-07-01]. http://csrc.nist.gov/publications/PubsSPs.html

[13]NIST. SP 800-163 Vetting the Security of Mobile Applications[OL]. 2015 [2015-02-25]. http://csrc.nist.gov/publications/PubsSPs.html

[14]NIST. SP 1800-4 MOBILE DEVICE Security Cloud and Hybrid Builds[OL]. (2015-11-02) [2015-12-24]. http://csrc.nist.gov/publications/PubsSPs.html

[15]NIST. SP 800-46r2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security[OL]. (2016-03-14) [2016-04-02]. http://csrc.nist.gov/publications/PubsSPs.html

[16]NIST. SP 800-114 Users Guide to Telework and Bring Your Own Device (BYOD) Security[OL]. (2016-03-14) [2016-04-02]. http://csrc.nist.gov/publications/PubsSPs.html

[17]NIST. SP 800-101r1 Guidelines on Mobile Device Forensics[OL]. 2014 [2014-06-16]. http://csrc.nist.gov/publications/PubsSPs.html

[18]NIST. IR 8023 Risk Management for Replication Devices[OL]. 2015 [2015-03-19]. http://csrc.nist.gov/publications/PubsNISTIRs.html

[19]NIST. SP 1800-1 DRAFT Securing Electronic Health Records on Mobile Devices[OL]. (2015-06-28) [2015-08-19]. http://csrc.nist.gov/publications/PubsSPs.html

寧 華

博士，高級工程師，主要研究方向為移動互聯(lián)網(wǎng)安全、個人信息保護.

ninghua@caict.ac.cn

潘 娟

碩士，高級工程師，主要研究方向為移動互聯(lián)網(wǎng)安全、終端機卡接口、移動支付.

panjuan@caict.ac.cn

Overview of Mobile Internet Security Standard

Ning Hua and Pan Juan

(ChinaTelecommunicationTechnologyLabs,ChinaAcademyofInformationandCommunicationTechnology,Beijing100191)

Mobile Internet security has become the major challenge faced by the international community. To support the security assurance requirements, the National Information Assurance Partnership (NIAP) is currently working with industry, customers, and the Common Criteria community to create Protection Profiles (PP) for Mobile Security, MDF PP, MDM PP, and MP PP have been approved for use by vendors for evaluation of products under the NIAP Common Criteria Evaluation and Validation Scheme (CCEVS) and the Common Criteria Recognition Arrangement (CCRA). National Institute of Standards and Technology (NIST) uses Special Publication subseries to publish mobile security and guidelines, recommendations and reference materials including SP 800-124r1, SP 800-163, SP 1800-4, SP 800-46r2, etc. To speed up the construction of mobile security standard system, 《Security architecture of mobile smart terminal》and 《Technical requirements for mobile device security》 are in the standard-setting process.

mobile Internet; security standard; mobile smart terminal; mobile application; mobile device

2016-04-07

國家“八六三”高技術(shù)研究發(fā)展計劃基金項目(2015AA017202)

TP393.08