意见汇总处理表

1、意见汇总处理表（草稿第一稿 ）编写单位：公安部第三研究所共 1页标准名称： 信息安全技术 移动智能终端操作系统安全测试评价方法2013年07月18日填写序号标准意 见 内容提出处理备 注条文号单位意见1标题technology应该改为 technique本中心标采纳已修改准技术组2全文应补充移动智能终端操作系统的作用、目的、本中心标采纳已增加 4. 移动智能终端操作系统描述保护资产等相关描述准技术组3前言标准中的安全保证要求参考了 GB/T本中心标采纳已添加18336-2008，建议将其放入 “规范性引用文件” 。准技术组4术 语 和定义需斟酌用词本中心标采纳已调研，并对相关内容进行了调整定义

2、准技术组54.1.3建议删除4.1.3 操作系统类别支持，与安全功本中心标采纳已删除能无关准技术组6全文避免口语化，须按照 GB/T1.1-2009的格式要求本中心标采纳已经对相关格式进行了调整整理准技术组1意见汇总处理表（草稿第二稿）编写单位：公安部第三研究所共 1页标准名称： 信息安全技术 移动智能终端操作系统安全测试评价方法2013年12月22日填写序号标准意 见 内容提出处理备 注条文号单位意见5.1.1.2建议增加动态口令、数字证书、生物特征等鉴上海辰锐1鉴 别 技信息科技采纳已添加别方式术手段公司5.1.3建议增加审计数据的存储空间阈值管理，防止上海辰锐2安 全 审信息科技采纳已增

3、加审计数据丢失计公司6.1 安本标准中的测评方法主要是针对技术3上海交通部分采要求的关键测评点和评判方式进行规全 功 能测试方法、步骤应细化大学纳约，为测评者提供指导， 详细的测试步测试骤描述不宜放入标准中。45.1.9对移动智能终端操作系统开发者的要求不应放上海交通升 级 能采纳已修改入移动智能终端操作系统的安全功能要求中大学力5.1.1北京亿赛应增加用户主体绑定要求，以追溯用户的操作通科技发5身 份 鉴采纳已添加行为展有限责别任公司65.1.3.1记录的审计事件应明确，如系统运行、报警、北京亿赛审计内通科技发采纳已修改用户操作、网络流量等记录容展有限责1任公司2意见汇总处理表（草稿第三稿）

4、编写单位：公安部第三研究所共3 页标准名称：信息安全技术移动智能终端操作系统安全测试评价方法2014年6月10日填写序号标准意见内容提出处理备注条文号单位意见移动智能终保护的数据对象应该包括：操作系统自身、系北京网诺标准中关于“移动智能终端操作系统保1端操作统软硬件资源和数据。其中数据对象包括系统星云科技未采纳护的资产” 的描述已涵盖用户数据、 系系统描数据和用户数据有限公司统数据、系统资源述测评标准中很重要的一部分内容应该涵盖第三北京网诺5.1 安方应用程序的检测、验证、安装、升级、配置、2星云科技采纳已添加 5.1.7 应用软件安全管理全功能卸载和数据删除部分进行规范。即对第三方应有限公司

5、用程序的生命周期做安全限制5.1.3.1北京网诺3审计内审计日志的内容还应包括事件关联的进程星云科技采纳已增加容有限公司5.1.3.3建议“当存储空间被耗尽时”改为“当为审计上海交通4审计跟采纳已修改系统分配的存储空间耗尽时”大学踪管理5.1.4.2“应提供移动智能终端操作系统用户数据在存北京网诺5用户数储、传输和处理过程中的完整性保护” ，其中传星云科技采纳已删除“传输”据完整输过程是应用的范畴，不是操作系统范畴有限公司1性5.1.5数据安全备份与恢复功能应涵盖用户数据和系已修改为“ b）应具有用户数据、系统6统数据；上海交通数据的安全备份与恢复功能、 d）当存数据安采纳应保证重要的数据不丢

6、失，不损坏，但如果数大学储空间将要耗尽时，应采取一定措施保全据源是攻击行为就不应该保存证重要的数据不丢失”75.1.6c) 在多用户系统中，建议精确到用户数据隔离上海交通已增加“应保证系统内各个用户之间互存储介采纳大学不干扰，用户数据相互隔离”质管理5.1.8 运上海交通已删除“驻留在内存中的移动智能终端8行安全保应当对部分功能的内存共享进行限制采纳大学操作系统应由所有进程共享”护上海交通5.1.9缺少升级安全性的要求；升级应当提供系统完大学、北京9升级能整性，在升级包含有关键控制信息时还要保证网诺星云采纳已修改力机密性科技有限公司5.1.10北京网诺超时锁10应提供用户主动锁定或注销的能力星

7、云科技采纳已增加定或注有限公司销5.1.11运行监测应覆盖系统资源状态监测、网络连接北京网诺11运行监状态监测、敏感功能使用状态监测、敏感数据星云科技采纳已增加控访问状态监测有限公司5.1.12.如果是 PAD类型的终端是不具备移动通讯网络北京网诺122 兼容星云科技采纳已修改接入能力，反而是 WIFI 网络接入是必备的性有限公司2鉴别信息保护审计内容用户数据保护用户数16据保密性升级能力非授权方式获得密文内容理论上不难，比如直北京网诺已改为“若以授权方式或非授权方式能星云科技采纳够获得以上鉴别信息的明文内容， 则本接通过分析磁盘介质获取。有限公司项判为不合格”测试方法应执行对应操作观测审计日

8、志作审计上海交通采纳已增加对应性判断大学建议增加对应用软件获取用户数据的行为进行北京网诺星云科技采纳已增加阻断的要求有限公司用户敏感数据范畴应不仅仅包括各类账号、口上海交通采纳已增加“通讯录、短信、照片等”令、定位信息等）大学除本地方式外，远程升级方式同样需要检查完上海交通采纳已删除“若产品支持本地升级包升级方整性大学式”3意见汇总处理表（草稿第四稿）编写单位：公安部第三研究所共 1 页标准名称：信息安全技术移动智能终端操作系统安全测试评价方法2015 年 1 月 23 日填写标准序号条文号5.1安全功能要求意见内容4中OS保护的资产提到了外设接口， 但安全功能中并未明确相关保护要求，应补充

9、,如增加接口的安全要求 ,可先分类：有线外围接口、无线外围接口、卡接口等提出处理注单位备意见高通采纳已修改2数据安全运建议明确系统数据安全，将用户数据、系统数据安全的要求分开避免“后门”等字眼，建议可让厂商明确维护中国通信标准化协采纳已修改会行安全保护应用软件4安全管理端口等；要求用户有知情权、可选择关闭等应要求不同应用软件之间的隔离，如沙箱技术等泰尔采纳已修改高通采纳已修改应补充 os对应用软件的签名的验证和提示等相采纳已修改5全文泰尔关要求说明： 1.发送征求意见稿的单位数： 5 个。2.收到征求意见稿后，回函单位数：4 个。3.收到“征求意见稿”后，回函并有建议或意见的单位数：3 个。4

10、.没有回函的单位数： 1 个。1意见汇总处理表（草稿第五稿）编写单位：公安部第三研究所共 3 页标准名称：信息安全技术移动智能终端操作系统安全测试评价方法2016 年 3 月 31 日填写标准序号条文号用户标识脆弱性评定运行安全保护全文意见内容提出处理备 注单位意见目前 android 和 ios 都没有多用户机制， 基于 linux的智未采纳用户标识是实现鉴别和审计追踪的基能终端数量太少，不具备通用性阿里巴巴础, 因此有一定必要性脆弱性如何评定？测试方法可操作性不强，需中国通信标采纳已修改要进一步说明准化协会已删除“后门”字眼，保留“不应以维护、要求中提到不留“后门”，测试方法中应该体中国通

11、信标采纳支持或操作需要为借口，设计有违反或绕过现准化协会安全规则的任何类型的入口和文档中未说明的任何模式的入口”中国通信标编制说明中已说明与“ GB/T 30284澄清一下和 EAL2的标准的区别，采纳2013 移动通信智能终端操作系统安全准化协会技术要求（ EAL2级）”的区别说明： 1.发送征求意见稿的单位数：5 个。2.收到征求意见稿后，回函单位数：2 个。3.收到“征求意见稿”后，回函并有建议或意见的单位数2 个。4.没有回函的单位数：3 个。2意见汇总处理表（草稿第六稿）编写单位：公安部第三研究所标准名称：信息安全技术移动智能终端操作系统安全测试评价方法序号标准章条编号意见内容提出单

12、位5.1.1.1用 户 标建议： 1、增加限制条件： 当智能终端操作系统联WG6/阿里巴巴1.识 a）网时，对用户进行标识； 2、建议考虑区别注册用户和非注册用户权限，引导用户进行注册，从而享受更好、更安全的服务。2.5.1.1.1用 户 标建议：增加对终端设备进行流通时用户标识安全WG6/阿里巴巴识 b)注销要求。3.5.1.1.2鉴 别 技建议新增用户支付或其他安全要求场景下，应使WG6/阿里巴巴术手段 b)用两种或两种以上的身份鉴别方式。4.5.1.3.1审 计 内建议明确需要对用户的哪些行为进行审计。WG6/阿里巴巴容5.5.1.10升 级 能建议对升级包的完整性和适用性进行校验，保证

13、WG6/阿里巴巴力升级过程的安全性。5.1.2.1访问控制主体、客体较为抽象，建议明确，访问WG66.控制粒度建议细化7.5.1.6“用户数据相互隔离”建议进一步明确WG6处理意见采纳采纳不采纳采纳采纳采纳采纳共 3 页2016 年 06 月 30 日填写备注已修改。已修改。将该要求放入。该要求为应用要求，当业务应用有该需求时，操作系统能支持即可。已修改。调整并明确了审计记录项和审计事件。已修改。增加完整性要求，但适用性不属于安全功能要求。在 4.移动智能终端操作系统描述 中已对系统保护的资产进行了描述。访问控制策略的粒度问题后续可再广泛征求业内专家的意见已修改，将“隔离”替换成采用访问控制相

14、关描述3序号标准章条编号意见内容强制访问控制机制建议考虑8.5.1.7“应在应用软件卸载时删除由其生成的数据和信9.息”要求删除全部数据不够合理，应由用户同意，并考虑到外部存储空间的不可控性6.1.14.2“b）配置相应参数， 使用移动智能终端进行互联10.网无线接入，检测系统是否支持WiFi 等方式”中，建议进一步明确无线接入方式11.5.1.1.3鉴 别 信是否应添加对于修改鉴别信息的保护，“在用户修息保护改鉴别信息时，应进行重鉴别”？5.1.3.1审 计 内操作系统资源使用的主体除了用户，还有应用软12.件，这一条对于应用软件的标识及审计记录没有容提及，是否需要添加？对于多用户系统，有用

15、户数据共享的需求，不应13.5.1.6 存储介质限定完全隔离，是否可以改成“多用户间采取一管理 c)定隔离机制，防止用户数据非授权访问”？对于多系统隔离如何要求？14.5.1.7 应用软件需要明确删除的数据类型？安全管理 d）对于安全属性和升级失败的考虑，是否能添加如15.5.1.10 升级能力下内容：对于升级前的安全数据或安全属性在升级后应保持一致；提出单位WG6WG6WG6中国信息通信研究院中国信息通信研究院中国信息通信研究院中国信息通信研究院中国信息通信研究院处理意见备注部分采纳标准草案阶段提出过强制访问控制机制，经多次专家研讨，考虑到移动操作系统实际安全能力，建议删除，后续可再广泛征求

16、业内专家的意见采纳已修改 ,明确 ”由其生成的资源文件、配置文件和用户数据 ”采纳已修改。补充 3G4G 等无线接入方式。采纳已修改 ,” 在用户执行鉴别信息修改操作之前，必须经过身份鉴别”采纳已修改 ,”用户标识 ”改为 ”主体标识 ”,涵盖用户和应用软件已修改 ,”在多用户系统中，存储介质采纳保护应确保多用户间采取一定隔离机制，防止用户数据的非授权访问”采纳已补充 ,” 卸载时删除由其生成的资源文件、配置文件和用户数据”已修改 ,要求应 ”保证升级后前的系统安全属性与升级前保持一致；在升级采纳失败时，系统应能够回滚，并保证系统完整性，且安全属性与升级前一致”4序号标准章条编号意见内容提出单位处理意见备注在升级失败时，系统应能够回滚，并保证系统完整性，且安全属性与升级前一致这里于技术要求不对应， 技术要求为 “安全功能” ，6.1.1.2 鉴 别 技测试方法为 “任何于系统功能相关” ，缺少“安全”中国信息通信已补充 ,”执行安全参数配置、口令修16.会造成歧义，类