GB∕T 39576-2020 具有融合功能的移动终端安全能力测试方法

书书书犐犆犛３３．０５０犕３０!#$%&’’()*犌犅／犜３９５７６—２０２０!#$%&’()*+,-&./012犜犲狊狋犿犲狋犺狅犱狊犳狅狉狊犲犮狌狉犻狋狔犮犪狆犪犫犻犾犻狋狔狅犳犿狅犫犻犾犲狋犲狉犿犻狀犪犾狑犻狋犺狊狔狀犮狉犲狋犻犮犳狌狀犮狋犻狅狀２０２０１２１４34２０２１０７０１56’(+,-./012’()*3/045634书书书目　　次前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义、缩略语１………………………………………………………………………………………　３．１　术语和定义１…………………………………………………………………………………………　３．２　缩略语１………………………………………………………………………………………………４　具有融合功能的移动终端安全能力测试方法２…………………………………………………………　４．１　概述２…………………………………………………………………………………………………　４．２　硬件安全２……………………………………………………………………………………………　　４．２．１　标识唯一２………………………………………………………………………………………　　４．２．２　设计安全２………………………………………………………………………………………　　４．２．３　防止物理攻击３…………………………………………………………………………………　４．３　系统及软件安全３……………………………………………………………………………………　　４．３．１　安全引导３………………………………………………………………………………………　　４．３．２　完整性校验４……………………………………………………………………………………　　４．３．３　终端接入认证４…………………………………………………………………………………　　４．３．４　标识与鉴别４……………………………………………………………………………………　　４．３．５　访问控制６………………………………………………………………………………………　　４．３．６　权限控制６………………………………………………………………………………………　　４．３．７　安全域隔离７……………………………………………………………………………………　　４．３．８　日志审计７………………………………………………………………………………………　　４．３．９　系统安全性８……………………………………………………………………………………　　４．３．１０　升级更新８………………………………………………………………………………………　　４．３．１１　软件安全９………………………………………………………………………………………　４．４　通信连接安全１１………………………………………………………………………………………　　４．４．１　网络接入安全１１…………………………………………………………………………………　　４．４．２　外围接口安全１１…………………………………………………………………………………　　４．４．３　数据传输完整性１２………………………………………………………………………………　　４．４．４　数据传输保密性１２………………………………………………………………………………　　４．４．５　数据传输健壮性１３………………………………………………………………………………　４．５　个人信息安全１３………………………………………………………………………………………　　４．５．１　个人信息采集１３…………………………………………………………………………………　　４．５．２　个人信息存储１４…………………………………………………………………………………　　４．５．３　个人信息加工１４…………………………………………………………………………………　　４．５．４　个人信息转移１５…………………………………………………………………………………　　４．５．５　个人信息删除１５…………………………………………………………………………………参考文献１６……………………………………………………………………………………………………Ⅰ犌犅／犜３９５７６—２０２０前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中华人民共和国工业和信息化部提出。本标准由全国通信标准化技术委员会（ＳＡＣ／ＴＣ４８５）归口。本标准起草单位：中国信息通信研究院、高通无线通信技术（中国）有限公司、真珍斑马技术（上海）贸易有限公司、联想移动通信科技有限公司。本标准主要起草人：姚一楠、陈婉莹、董霁、翟世俊、王宇晓、王嘉义、杜志敏、翁元、李欣。Ⅲ犌犅／犜３９５７６—２０２０引　　言　　随着移动互联网的快速发展，传统智能终端手机、平板电脑等，并不能完全满足用户的使用需求。因此出现了如车载智能终端、可穿戴智能终端、智能家居等很多具有融合功能的移动终端。用户在享受其带来的丰富多彩的功能时，却也面临着很多安全风险。近年来，在具有融合功能的移动终端上恶意吸费、隐私泄露等安全事件频发，大大影响到了用户的使用，也制约了其发展。究其原因，融合功能逐渐增多，但是终端设计本身并没有过多的安全考虑，没有适当的安全保护，造成了个人信息泄漏、资费损失等安全问题。因此，有必要对具有融合功能的移动终端的硬件、操作系统、外围接口、应用软件及个人信息保护等方面提出一整套安全要求。本标准是ＧＢ／Ｔ３９５７５—２０２０配套的测试方法。本标准针对ＧＢ／Ｔ３９５７５—２０２０提出的技术指标设计了相应的、科学的测试方法，用于验证具有融合功能的移动终端是否满足技术要求的规定的内容。通过本标准可加强对具有融合功能的移动终端安全能力的管理，可从测试方法角度保证安全能力要求的实施，切实提高其安全能力。Ⅳ犌犅／犜３９５７６—２０２０具有融合功能的移动终端安全能力测试方法１　范围本标准规定了具有融合功能的移动终端安全能力的测试方法，包括硬件安全能力、操作系统安全能力、应用软件安全能力、通信连接安全能力、个人信息安全保护能力。本标准适用于各种制式的具有融合功能的移动终端，其他终端也可参考使用。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ３９５７５—２０２０　具有融合功能的移动终端安全能力技术要求ＹＤ／Ｔ３０８２—２０１６　移动智能终端上的个人信息保护技术要求３　术语和定义、缩略语３．１　术语和定义下列术语和定义适用于本文件。３．１．１具有融合功能的移动终端　犿狅犫犻犾犲狋犲狉犿犻狀犪犾狑犻狋犺狊狔狀犮狉犲狋犻犮犳狌狀犮狋犻狅狀可对人或物进行信息采集和处理，具备蜂窝网络和互联网络接入功能，支持语音或数据通信，用于具有融合功能的终端设备。３．１．２融合功能　狊狔狀犮狉犲狋犻犮犳狌狀犮狋犻狅狀基于终端硬件及软件资源和能力，在终端上承载的除语音和数据通信以外非通信行业功能（例如：数字电视广播、车辆控制、扫码、人体信息采集等）。３．１．３脱敏　犱犲狊犲狀狊犻狋犻狕犪狋犻狅狀通过模糊化等方法处理原始数据，以实现屏蔽敏感数据且屏蔽后的数据不可逆向恢复的数据保护方式。３．２　缩略语下列缩略语适用于本文件。ＡＰＩ：应用程序编程接口（ＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍｍｉｎｇＩｎｔｅｒｆａｃｅ）ＣＮＶＤ：国家信息安全漏洞共享平台（ＣｈｉｎａＮａｔｉｏｎａｌＶｕｌｎｅｒａｂｉｌｉｔｙＤａｔａｂａｓｅ）ＣＮＮＶＤ：中国国家信息安全漏洞库（ＣｈｉｎａＮａｔｉｏｎａｌＶｕｌｎｅｒａｂｉｌｉｔｙＤａｔａｂａｓｅｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ）１犌犅／犜３９５７６—２０２０ＮＦＣ：近场通信（ＮｅａｒＦｉｅｌｄＣｏｍｍｕｎｉｃａｔｉｏｎ）ＳＤ：安全数字存储卡（ＳｅｃｕｒｅＤｉｇｉｔａｌＭｅｍｏｒｙＣａｒｄ）ＵＳＢ：通用串行总线（ＵｎｉｖｅｒｓａｌＳｅｒｉａｌＢｕｓ）ＷＬＡＮ：无线局域网（ＷｉｒｅｌｅｓｓＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）４　具有融合功能的移动终端安全能力测试方法４．１　概述本章描述了针对具有融合功能的移动终端的各种安全能力进行评测的方法。评测结果有以下两种：———未见异常：通过评测方法没有发现存在安全风险或安全事件；———不符合要求：直接发现安全事件或不符合安全能力要求；本章所提及的技术要求见ＧＢ／Ｔ３９５７５—２０２０。４．２　硬件安全４．２．１　标识唯一测试编号：４．２．１测试项目：标识唯一项目要求：见ＧＢ／Ｔ３９５７５—２０２０中５．１．１预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤１：审查厂商提交的文档，查看硬件标识是否可被改写；步骤２：尝试改写终端硬件标识信息。预期结果：硬件标识唯一且不可改写。若终端满足以上预期结果，则该项目评测结果为“未见异常”，否则为“不符合要求”，评测结束。４．２．２　设计安全测试编号：４．２．２测试项目：设计安全项目要求：见ＧＢ／Ｔ３９５７５—２０２０中５．１．２预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤１：审查厂商提交的文档，查看终端硬件芯片接口设计，密钥管理方式；步骤２：尝试在未授权条件下调用芯片接口，访问内存；步骤３：密钥的生成、分发和存储方式，评估密钥是否存在泄露的风险。２犌犅／犜３９５７６—２０２０预期结果：芯片不存在隐蔽调用接口，且访问接口需要经过用户授权；密钥的产生、分发、使用、存储和销毁采用一定安全机制保护，不存在泄露风险。若终端满足以上预期结果，则该项目评测结果为“未见异常”，否则为“不符合要求”，评测结束。４．２．３　防止物理攻击测试编号：４．２．３测试项目：防止物理攻击项目要求：见ＧＢ／Ｔ３９５７５—２０２０中５．１．３预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤１：审查厂商提交的文档，验证厂商声明硬件具有防护非侵入、半侵入和侵入式等物理攻击的能力；步骤２：通过实验验证关键硬件具有抵抗旁路攻击、错误注入攻击的能力，旁路攻击包括但不限于简单功耗分析、差分功耗分析、相关功耗分析、电磁辐射分析、模板分析等，错误注入攻击包括但不限于时钟毛刺分析、电压毛刺分析、光信号分析、电磁信号分析等；步骤３：评估是否存在信息泄露，包括但不限于密钥、加密数据，评估抵抗物理攻击的能力。预期结果：具有融合功能的移动终端硬件具备安全防护机制，不存在泄漏点，无法获得或篡改密钥、加密数据等信息。若终端满足以上预期结果，则该项目评测结果为“未见异常”，否则为“不符合要求”，评测结束。４．３　系统及软件安全４．３．１　安全引导测试编号：４．３．１测试项目：安全引导项目要求：见ＧＢ／Ｔ３９５７５—２０２０中５．２．１预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤１：审查厂商提交的文档，查看被测终端是否具有安全启动机制。评估安全启动过程。预期结果：终端采用加密签名，证书链验证等安全引导机制，非授权代码无法执行系统启动。若终端满足以上预期结果，则该项目评测结果为“未见异常”，否则为“不符合要求”，评测结束。３犌犅／犜３９５７６—２０２０４．３．２　完整性校验测试编号：４．３．２测试项目：完整性校验项目要求：见ＧＢ／Ｔ３９５７５—２０２０中５．２．２预置条件：被测移动智能终端处于正常工作状态测试步骤：步骤１：审查厂商提交的文档，查看被测终端系统是否具有完整性校验机制；步骤２：尝试篡改系统关键代码（包括但不限于系统服务、权限管理、文件校验等），并运行系统。预期结果：终端具有完