《信息安全技术-移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿-编制说明

1《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》编制说明（征求意见稿）1工作简况1.1任务来源经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定移动智能终端应用软件安全技术要求和测试评价方法的国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）负责主办。1.2协作单位在接到《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》标准的任务后，公安部计算机信息系统安全产品质量监督检验中心立即与相关厂商进行沟通，并得到了多家业内知名厂商的积极参与和反馈。经过层层筛选之后，最后确定由新能聚信(北京)科技有限公司、北京奇虎科技有限公司作为标准编制协作单位。1.3主要工作过程1.3.1成立编制组2012年12月接到标准编制任务，组建标准编制组，由本检测中2心、新能聚信及北京奇虎联合编制。检测中心的编制组成员均具有资深的产品检测经验、有足够的标准编制经验、熟悉CC；其他厂商的编制成员均为移动智能终端应用软件的研发负责人及主要研发人员。检测中心人员包括俞优、顾健、陈妍、陆臻、张笑笑、沈亮等。1.3.2制定工作计划编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。1.3.3参考资料该标准编制过程中，主要参考了：•GB17859-1999计算机信息系统安全保护划分准则•GB/T18336.3－2015信息技术安全技术信息技术安全性评估准则第3部分：安全保障组件•GB/T20271-2006信息安全技术信息系统通用安全技术要求•GB/T25069－2010信息安全技术术语1.3.4确定编制内容移动智能终端应用有着自身的特点，在测试策略上不能完全照搬传统应用软件的测试策略、方法和内容，需要分析其使用特点以及使用过程中可能存在的一些安全性隐患，针对这些隐患提出针对性的安全要求，可以有效提高移动智能终端应用软件的安全性和可靠性，从而保证终端用户的软件使用安全。移动智能终端号称永远在线,可以随时联机公共网络和专用网络,3并基本具有了桌面计算机所具有的功能。终端应用软件多数是通过无线网络下载到终端用户的便携式设备上的,包括通过E-mail、Internet下载、多媒体通讯服务、WAP下载、红外或蓝牙传输、PC同步及可移动存储介质获得并安装各种最新的软件（其典型应用见图1显示）。图1移动智能终端J2M2程序的应用过程然而,大部分智能终端用户并不将它看作一台计算机,并不认同终端和计算机一样存在巨大的安全风险,认为终端比PC机更加安全、可靠,而是将其当作一部安全和没有任何风险的通信设备,这给一些黑客直接或间接（例如通过互联网）的破坏用户利益创造了可乘之机。终端应用软件在不同设备都可通过网络进行下载和执行。如果没有正确的防范机制,用户将面临程序被破坏，数据丢失和信息窃取等安全威胁。目前威胁移动智能终端安全的主要形式包括通过蓝牙、红外、彩信等方式传递的手机病毒,垃圾邮件/短信（包括诈骗短信）,骚扰电话,恶意程序,黑客,木马,手机后门,监听软件/私密数据窃取4等。移动智能终端应用软件在使用过程中往往存在一些安全性隐患，其面临的常见安全风险如下所述：1)故意行为非受权访问：即使设备不丢失,局外人会使用盗取的密码进人设备,导致数据被修改或数据丢失。电子窃听和修改数据：局外人可能会窃取网络上传输或转换的数据，并导致数据的更改。敏感信息泄露：软件在未经用户许可的情况下，泄露和破坏用户个人信息和敏感数据。后门和陷门：主要是指用于调试用的人口,如直接存取硬编码的口令。逻辑炸弹、木马、病毒。病毒和蠕虫。2)管理疏忽如设备丢失,导致存储在设备内、SIM卡和存储卡内信息被别人存取,以及通过设备接收的信息如email等相关信息。3)用户故障比如删除关键数据或输人错误。4)技术故障导致数据中断、删除和不可存取。5)其他其他不可预期和预防的失效和事件。移动智能终端应用软件在设计、开发过程中如果存在导致上述安全漏洞的缺陷和弱点，将影响用户数据和信息的安全。此外，由于在5移动智能终端上运行的应用软件更是由众多独立的软件开发商或开发组织甚至是个人所研发的，其开发过程缺乏行之有效的安全监管。综上所述，移动智能终端应用软件不应局限于功能的正常运行，而应对移动智能终端应用软件安全评估需求分析，确立应用软件安全性衡量指标，主要考虑软件应用的安全性和应用程序的自身安全。研究范畴主要包括：软件授权、访问控制等安全功能建模与测试研究；形式化安全测试方法的研究、基于风险的安全测试及其在软件工程实践中的应用、模糊测试、语法测试、基于属性的安全测试方法研究。1.3.5编制工作简要过程按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2013年1月，完成了对移动终端应用软件安全相关技术文档和前期基础调研。编制组充分调研了移动智能终端应用软件在使用过程中面临的安全隐患，借鉴传统PC平台的安全防护思路，结合移动智能终端的特点，提出了移动终端应用软件安全防护要求。2013年3月完成了标准草案的编制工作。以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草案。2013年5月，编制组在检测中心内部对标准草案进行了讨论，修改完成后形成草稿（第一稿）。2013年6月，编制组以邮件方式征求了新能聚信、奇虎360等参6与编制厂商的意见。编制组根据反馈意见，积极修改，形成了草稿（第二稿）。2013年12月，编制组以现场研讨方式征求了信大捷安、上海辰锐和上海交大等单位的意见。编制组根据反馈意见进行修改，形成了草稿（第三稿）。2014年3月，CCSA在成都召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。2014年10月，编制组在检测中心广泛征求意见，编制组根据意见进行了修改，形成了征求意见稿（第一稿）。2014年12月，CCSA在北京召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善，形成了征求意见稿（第二稿）。2015年4月，编制组以邮件方式征求了金山软件、华为等单位的意见，编制组根据意见进行了修改，形成了征求意见稿（第三稿）。2016年3月，CCSA在北京召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善，形成了送审稿。2016年6月，WG6工作组在北京召开了标准工作组会议，与会专家对文本进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。1.3.6起草人及其工作7标准编制组具体由俞优、顾健、陈妍、陆臻、张笑笑、沈亮等人组成。俞优全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度、人员的安排；陆臻和张笑笑主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；沈亮负责标准校对审核等工作；顾健主要负责标准编制过程中的各项技术支持和整体指导。2标准主要内容2.1编制原则为使标准的内容从一开始就与国家标准保持一致，符合我国的实际情况，遵从我国有关法律、法规的规定。编制过程中遵循下述几个原则:（1）符合国家的有关政策法规要求；（2）与已颁布实施的相关标准相协调；（3）充分考虑我国移动智能终端应用软件的现状；（4）适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。2.2编制思路标准将从安装与卸载、访问权限控制、数据安全、运行安全等方面规范移动智能终端应用软件的开发、设计。一、安装与卸载的安全8为了防止移动智能终端应用软件对原有系统内的应用造成不当的影响或破坏,使其得到认可并被安装，应用软件应具备供应者或开发者的数字签名信息,其安装过程只能运行在特定环境中且不能破坏其运行环境，需要检查相应的授权和数字签名。卸载时应将其安装进去的文件全部卸载，自动运行权限需要得到用户的明确授权等。二、访问权限控制移动智能终端应用软件的权限，包括网络访问、信息发送、自动启动、媒体录制、读取\写入用户数据等权限，关系到用户个人信息和隐私的保护，需要对应用软件的权限和访问安全机制进行要求。三、数据安全从密码的显示、存储，敏感数据处理的预期行为，数据备份和恢复、安全性提示等等方面进行要求，确保用户数据的安全性。四、运行安全从程序的实现安全、稳定性和容错性等方面进行要求，保证程序的正常工作。2.3标准内容2.3.1标准结构本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：1.范围2.规范性引用文件93.术语和定义4.安全技术要求5.测试评价方法2.3.2主要内容2.3.2.1范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。2.3.2.3安全技术要求一、安全要求1)安装与卸载的安全安装要求：应具备供应者或开发者的数字签名信息，其安装过程只能运行在特定环境中且不能破坏其运行环境,需要检查相应的授权和数字签名。——应能正确安装到相关终端上，并生成相应的图标；——应包含数字签名信息、软件属性信息；——应用软件启动前应得到用户的许可；——不应对系统软件和其他应用软件造成影响。卸载要求：卸载时应将其安装进去的文件全部卸载，自动运行权限需要得到用户的明确授权等。——安装的文件应能完全移除；——修改的系统配置信息（如注册表）应能复原；——卸载用户使用过程中产生的数据时应有提示；——不应影响其他软件的功能。102)鉴别机制身份鉴别：若终端应用软件本身涉及敏感数据，则应对访问用户提供有效的身份鉴别机制。——在用户访问应用业务前，终端应用软件对其身份进行鉴别，并提供鉴别失败处理措施；——具备登录超时后的锁定或注销功能。口令安全机制：若终端应用软件使用过程中涉及用户口令，应提供完善的口令保护机制。——在使用过程中不应以明文形式显示和存储；——不应默认保存用户上次的账号及口令信息；——具备口令强度检查机制；——具备口令时效性检查机制；——修改或找回口令时，具备验证机制。3)访问控制基于用户的控制：若终端应用软件本身涉及敏感数据，则应对访问用户提供有效的授权机制。——授权用户访问的内容不能超出授权的范围；——限制应用用户账号的多重并发会话。对应用软件的限制：终端应用软件访问终端数据应得到终端操作系统用户明确的许可。——未得到许可前不应访问终端数据；——未得到许可前不应修改、删除终端数据。4)数据安全11数据存储安全：终端应用软件不应以明文形式存储敏感数据，防止数据被未授权获取。数据删除：终端应用软件若具备数据删除功能，在删除数据前应明确提示用户，并由用户再次确认是否删除数据。备份和恢复：终端应用软件若具备备份和恢复功能，安全机制如下：——备份机制应完整有效，且备份数据应保密存储；——恢复数据在使用前应校验其可用性、完整性。5)运行安全实现安全：应保证程序自身的安全性。——不应设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口；——具备安全机制防止程序被反编译、反调试。稳定性：应保证应用软件的稳定运行，避免出现功能失效等类似现象。——不应造成终端崩溃或异常的情况；——避免出现失去响应、闪退等现象；——应允许随时停止、退出。容错性：应能处理不可预知的错误操作，不应影响程序的正常工作。升级能力：支持应用软件的更新；且至少采取一种安全机制，保证升级的时效性，例如自动升级，更新通知等手段。二、安全保障要求12该部分对产品的开发和使用文档的内容进行了要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定。2.4编制的背景和意义根据中国互联网信息中心（CNNIC）对于手机应用使用率的统计，可显