《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿-编制说明

信息安全技术信息安全技术 移动智能终端应用软件安全技术要移动智能终端应用软件安全技术要 求和测试评价方法求和测试评价方法 编编 制制 说说 明 征求意见稿 明 征求意见稿 1 工作简况 1 1任务来源 经中国国家标准化管理委员会批准 全国信息安全标准化技术 委员会 SAC TC260 主任办公会讨论通过 研究制定移动智能终端 应用软件安全技术要求和测试评价方法的国家标准 该项目由全国 信息安全标准化技术委员会提出 全国信息安全标准化技术委员会 归口 由公安部计算机信息系统安全产品质量监督检验中心 公安 部第三研究所 负责主办 1 2协作单位 在接到 信息安全技术 移动智能终端应用软件安全技术要求 和测试评价方法 标准的任务后 公安部计算机信息系统安全产品 质量监督检验中心立即与相关厂商进行沟通 并得到了多家业内知 名厂商的积极参与和反馈 经过层层筛选之后 最后确定由新能聚 信 北京 科技有限公司 北京奇虎科技有限公司作为标准编制协作 单位 1 3主要工作过程 1 3 1 成立编制组 2012 年 12 月接到标准编制任务 组建标准编制组 由本检测中 心 新能聚信及北京奇虎联合编制 检测中心的编制组成员均具有 资深的产品检测经验 有足够的标准编制经验 熟悉 CC 其他厂商 的编制成员均为移动智能终端应用软件的研发负责人及主要研发人 员 检测中心人员包括俞优 顾健 陈妍 陆臻 张笑笑 沈亮等 1 3 2 制定工作计划 编制组首先制定了编制工作计划 并确定了编制组人员例会安 排以便及时沟通交流工作情况 1 3 3 参考资料 该标准编制过程中 主要参考了 GB 17859 1999 计算机信息系统安全保护划分准则 GB T 18336 3 2015 信息技术 安全技术 信息技术安全性评 估准则 第 3 部分 安全保障组件 GB T 20271 2006 信息安全技术 信息系统通用安全技术要求 GB T 25069 2010 信息安全技术 术语 1 3 4 确定编制内容 移动智能终端应用有着自身的特点 在测试策略上不能完全照搬 传统应用软件的测试策略 方法和内容 需要分析其使用特点以及 使用过程中可能存在的一些安全性隐患 针对这些隐患提出针对性 的安全要求 可以有效提高移动智能终端应用软件的安全性和可靠 性 从而保证终端用户的软件使用安全 移动智能终端号称永远在线 可以随时联机公共网络和专用网络 并 基本具有了桌面计算机所具有的功能 终端应用软件多数是通过无 线网络下载到终端用户的便携式设备上的 包括通过 E mail Internet 下载 多媒体通讯服务 WAP 下载 红外或蓝牙传 输 PC 同步及可移动存储介质获得并安装各种最新的软件 其典型 应用见图 1 显示 图 1 移动智能终端 J2M2 程序的应用过程 然而 大部分智能终端用户并不将它看作一台计算机 并不认同 终端和计算机一样存在巨大的安全风险 认为终端比 PC 机更加安全 可靠 而是将其当作一部安全和没有任何风险的通信设备 这给一些 黑客直接或间接 例如通过互联网 的破坏用户利益创造了可乘之 机 终端应用软件在不同设备都可通过网络进行下载和执行 如果没 有正确的防范机制 用户将面临程序被破坏 数据丢失和信息窃取 等安全威胁 目前威胁移动智能终端安全的主要形式包括通过蓝牙 红外 彩信等方式传递的手机病毒 垃圾邮件 短信 包括诈骗短信 骚扰电话 恶意程序 黑客 木马 手机后门 监听软件 私密数据窃取 等 移动智能终端应用软件在使用过程中往往存在一些安全性隐患 其面临的常见安全风险如下所述 1 故意行为 非受权访问 即使设备不丢失 局外人会使用盗取的密码 进人设备 导致数据被修改或数据丢失 电子窃听和修改数据 局外人可能会窃取网络上传输或转 换的数据 并导致数据的更改 敏感信息泄露 软件在未经用户许可的情况下 泄露和破 坏用户个人信息和敏感数据 后门和陷门 主要是指用于调试用的人口 如直接存取硬 编码的口令 逻辑炸弹 木马 病毒 病毒和蠕虫 2 管理疏忽 如设备丢失 导致存储在设备内 SIM 卡和存储卡内信息被别人 存取 以及通过设备接收的信息如 email 等相关信息 3 用户故障 比如删除关键数据或输人错误 4 技术故障 导致数据中断 删除和不可存取 5 其他 其他不可预期和预防的失效和事件 移动智能终端应用软件在设计 开发过程中如果存在导致上述 安全漏洞的缺陷和弱点 将影响用户数据和信息的安全 此外 由 于在移动智能终端上运行的应用软件更是由众多独立的软件开发商 或开发组织甚至是个人所研发的 其开发过程缺乏行之有效的安全 监管 综上所述 移动智能终端应用软件不应局限于功能的正常运行 而应对移动智能终端应用软件安全评估需求分析 确立应用软件安 全性衡量指标 主要考虑软件应用的安全性和应用程序的自身安全 研究范畴主要包括 软件授权 访问控制等安全功能建模与测试研 究 形式化安全测试方法的研究 基于风险的安全测试及其在软件 工程实践中的应用 模糊测试 语法测试 基于属性的安全测试方 法研究 1 3 5 编制工作简要过程 按照项目进度要求 编制组人员首先对所参阅的产品 文档以及 标准进行反复阅读与理解 查阅有关资料 编写标准编制提纲 在 完成对提纲进行交流和修改的基础上 开始具体的编制工作 2013 年 1 月 完成了对移动终端应用软件安全相关技术文档和 前期基础调研 编制组充分调研了移动智能终端应用软件在使用过 程中面临的安全隐患 借鉴传统 PC 平台的安全防护思路 结合移动 智能终端的特点 提出了移动终端应用软件安全防护要求 2013 年 3 月完成了标准草案的编制工作 以编制组人员收集的 资料为基础 在不断的讨论和研究中 完善内容 最终形成了本标 准草案 2013 年 5 月 编制组在检测中心内部对标准草案进行了讨论 修改完成后形成草稿 第一稿 2013 年 6 月 编制组以邮件方式征求了新能聚信 奇虎 360 等 参与编制厂商的意见 编制组根据反馈意见 积极修改 形成了草 稿 第二稿 2013 年 12 月 编制组以现场研讨方式征求了信大捷安 上海辰 锐和上海交大等单位的意见 编制组根据反馈意见进行修改 形成 了草稿 第三稿 2014 年 3 月 CCSA 在成都召开了标准工作组会议 与会专家对 文本进行了认真审议 并提出了相关意见和建议 编制组根据专家 意见进行修改完善 2014 年 10 月 编制组在检测中心广泛征求意见 编制组根据意 见进行了修改 形成了征求意见稿 第一稿 2014 年 12 月 CCSA 在北京召开了标准工作组会议 与会专家对 文本进行了认真审议 并提出了相关意见和建议 编制组根据专家 意见进行修改完善 形成了征求意见稿 第二稿 2015 年 4 月 编制组以邮件方式征求了金山软件 华为等单位 的意见 编制组根据意见进行了修改 形成了征求意见稿 第三稿 2016 年 3 月 CCSA 在北京召开了标准工作组会议 与会专家对 文本进行了认真审议 并提出了相关意见和建议 编制组根据专家 意见进行修改完善 形成了送审稿 2016 年 6 月 WG6 工作组在北京召开了标准工作组会议 与会专 家对文本进行了认真审议 并提出了相关意见和建议 编制组根据 专家意见进行修改完善 1 3 6 起草人及其工作 标准编制组具体由俞优 顾健 陈妍 陆臻 张笑笑 沈亮等 人组成 俞优全面负责标准编制工作 包括制定工作计划 确定编 制内容和整体进度 人员的安排 陆臻和张笑笑主要负责标准的前 期调研 现状分析 标准各版本的编制 意见汇总的讨论处理 编 制说明的编写等工作 沈亮负责标准校对审核等工作 顾健主要负 责标准编制过程中的各项技术支持和整体指导 2 标准主要内容 2 1 编制原则 为使标准的内容从一开始就与国家标准保持一致 符合我国的实 际情况 遵从我国有关法律 法规的规定 编制过程中遵循下述几 个原则 1 符合国家的有关政策法规要求 2 与已颁布实施的相关标准相协调 3 充分考虑我国移动智能终端应用软件的现状 4 适度考虑目前处于发展成熟过程中的技术 保持一定的 前瞻性 2 2 编制思路 标准将从安装与卸载 访问权限控制 数据安全 运行安全等方 面规范移动智能终端应用软件的开发 设计 一 安装与卸载的安全 为了防止移动智能终端应用软件对原有系统内的应用造成不当 的影响或破坏 使其得到认可并被安装 应用软件应具备供应者或开 发者的数字签名信息 其安装过程只能运行在特定环境中且不能破 坏其运行环境 需要检查相应的授权和数字签名 卸载时应将其安 装进去的文件全部卸载 自动运行权限需要得到用户的明确授权等 二 访问权限控制 移动智能终端应用软件的权限 包括网络访问 信息发送 自 动启动 媒体录制 读取 写入用户数据等权限 关系到用户个人信 息和隐私的保护 需要对应用软件的权限和访问安全机制进行要求 三 数据安全 从密码的显示 存储 敏感数据处理的预期行为 数据备份和 恢复 安全性提示等等方面进行要求 确保用户数据的安全性 四 运行安全 从程序的实现安全 稳定性和容错性等方面进行要求 保证程 序的正常工作 2 3 标准内容 2 3 1 标准结构 本标准的编写格式和方法依照 GB T1 1 2009 标准化工作导则 第一部分 标准的结构和编写规则 本标准主要结构包括如下内容 1 范围 2 规范性引用文件 3 术语和定义 4 安全技术要求 5 测试评价方法 2 3 2 主要内容 2 3 2 1 范围 规范性引用文件 术语和定义和缩略语 该部分定义了本标准适应的范围 所引用的其它标准情况 及 以何种方式引用 术语和定义部分明确了该标准所涉及的一些术语 2 3 2 32 3 2 3 安全技术要求安全技术要求 一 安全要求 1 安装与卸载的安全 安装要求 应具备供应者或开发者的数字签名信息 其安装过 程只能运行在特定环境中且不能破坏其运行环境 需要检查相应的 授权和数字签名 应能正确安装到相关终端上 并生成相应的图标 应包含数字签名信息 软件属性信息 应用软件启动前应得到用户的许可 不应对系统软件和其他应用软件造成影响 卸载要求 卸载时应将其安装进去的文件全部卸载 自动运行 权限需要得到用户的明确授权等 安装的文件应能完全移除 修改的系统配置信息 如注册表 应能复原 卸载用户使用过程中产生的数据时应有提示 不应影响其他软件的功能 2 鉴别机制 身份鉴别 若终端应用软件本身涉及敏感数据 则应对访问用户 提供有效的身份鉴别机制 在用户访问应用业务前 终端应用软件对其身份进行 鉴别 并提供鉴别失败处理措施 具备登录超时后的锁定或注销功能 口令安全机制 若终端应用软件使用过程中涉及用户口令 应提 供完善的口令保护机制 在使用过程中不应以明文形式显示和存储 不应默认保存用户上次的账号及口令信息 具备口令强度检查机制 具备口令时效性检查机制 修改或找回口令时 具备验证机制 3 访问控制 基于用户的控制 若终端应用软件本身涉及敏感数据 则应对访 问用户提供有效的授权机制 授权用户访问的内容不能超出授权的范围 限制应用用户账号的多重并发会话 对应用软件的限制 终端应用软件访问终端数据应得到终端操作 系统用户明确的许可 未得到许可前不应访问终端数据 未得到许可前不应修改 删除终端数据 4 数据安全 数据存储安全 终端应用软件不应以明文形式存储敏感数据 防止数据被未授权获取 数据删除 终端应用软件若具备数据删除功能 在删除数据前 应明确提示用户 并由用户再次确认是否删除数据 备份和恢复 终端应用软件若具备备份和恢复功能 安全机制 如下 备份机制应完整有效 且备份数据应保密存储 恢复数据在使用前应校验其可用性 完整性 5 运行安全 实现安全 应保证程序自身的安全性 不应设计有违反或绕过安全规则的任何类型的入口和 文档中未说明的任何模式的入口 具备安全机制防止程序被反编译 反调试 稳定性 应保证应用软件的稳定运行 避免出现功能失效等类似 现象 不应造成终端崩溃或异常的情况 避免出现失去响应 闪退等现象 应允许随时停止 退出 容错性 应能处理不可预知的错误操作 不应影响程序的正常工 作 升级能力 支持应用软件的更新 且至少采取一种安全机制 保 证升级的时效性 例如自动升级 更新通知等手段 二 安全保障要求 该部分对产品的开发和使用文档的内容进行了要求 包括开发 指导性文档 生命周期支持 测试和脆弱性评定 2 4 编制的背景和意义 根据中国互联网信息中心 CNNIC 对于手机应用使用率的统计 可显示出当前移动智能终端应用发展的趋势 图 2 手机网络应用使用率 1 即时通信应用 即时通信是使用率最高的应用 当前即时通讯工具发展特点 其一 众多互联网企业布局智能终端即时通讯工具 其二 智能终 端即时通讯工具功能不断增强 能实现集声音 文字 图像 视频 的低成本高效率的通讯服务 并与社交应用不断融合 比如邮箱 微博等产品 帮助用户整合和管理关系链 来满足用户移动社交的 新需求 最后 智能终端即时通讯工具平台化 将其他应用不断引 入平台 提供更多附加服务 寻找新的盈利点 2 网络搜索应用 随着智能终端的不断普及 各大搜索引擎网站不断推出 优化 智能终端搜索客户端 提升了用户移动端的搜索体验 促使更多用 户使用 另一方面 与传统的互联网搜索相比 智能终端搜索有较 好的便利性 用户随时随地查找信息的需求越来越强烈 智能终端 的搜索迎合这种需求 随着终端智能化的趋势 未来的搜索应用呈 现语音化 个性化和基于地理位置服务等发展趋势 3 微博应用 微博是使用率增幅最大的智能终端应用 智能终端的微博体现 了微博内容的即时性和发挥微博应用的自媒体优势 用户体验较好 流失率较低 另一方面 智能终端微博客户端功能不断增强 例如 增加 LBS 交友 社会化阅读 兴趣社区和通过客户端直接购物等 提升了智能终端用户使用微博的黏性和使用体验 4 网络视频应用 网络视频是智能终端娱乐类应用的增长亮点 在三网融合的大 背景下 三屏合一为大势所趋 网络视频是最主要应用之一 视频 应用快速发展的原因包括 其一 目前智能手机价格持续下降 操 作系统高度智能化 同时越来越多的家庭搭建起 WiFi 环境 这些因 素为视频应用发展提供了用户基础和硬件支持 其二 国内视频网 站纷纷推出移动客户端 抢占无线市场 同时部分视频网站加强与 电信运营商的合作 手机视频内容不断丰富 在视频网站 运营商 等多方积极推动下 用户使用手机终端在线看视频的习惯正在逐步 养成 对于移动互联网来说 移动智能终端正逐渐发展成为一个巨大 的新兴市场 也逐步改变着人类的生活习惯和传统观念 为个人和 企业带来了便利和效率 随着智能终端的普及 其问题也日益凸显 一方面 互联网上原有的恶意程序传播 远程控制 网络攻击等传 统网络安全威胁向移动互联网快速蔓延 导致智能终端面临着安全 威胁 另一方面 智能终端和用户个人利益关系更加密切 恶意吸 费 用户信息窃取 诱骗欺诈也随之出现 因此 对移动智能终端应用软件产品的标准和测评方法进行研 究 对其安全级别进行等级保护划分 并在此基础上为相关企业和 部门提供安全性测评服务 是国家信息化发展战略的重要组成部分 是提升企业竞争力的坚实基础 是发展节约型服务机构的迫切需要 是用户放心体验新技术的技术技术保障 具有非常重要的现实意义 根据移动智能终端应用软件面临的风险特点 从标准要求的安 装与卸载的安全性 手机应用程序权限管理 数据安全性 通讯安 全性和人机接口安全性等方面进行测试和验证 具体测试策略可包括 1 验证被测试收集应用软件是否满足预定的安全准则和要求 检查软件的防止灾难故障能力 2 硬件和软件在各种故障模式下的测试 对硬件和软件在降级配 置时的处理和保护能力测试 3 各种保护能力测试 包括容错操作能力测试 操作数据安全 性保护测试 通讯数据安全性保