- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息安全技术移动智能终端操作系统安全测试评价方法编制说明
《信息安全技术 移动智能终端操作系统安全测试评价方法》编 制 说 明
工作简况
任务来源
2012年,经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)上海辰锐信息科技公司阿里巴巴网络技术有限公司2012年12月接到标准编制任务后随即组建标准编制组,编制组成员均具有丰富的移动智能终端安全测评经验、操作系统安全加固相关产品检测经验,以及标准编制经验;人员包括张艳、陆臻、俞优、陈妍、邹春明、赵婷、顾玮、胡亚兰、赵戈、李曦等;标准编制协作单位相关技术领域的研发负责人及主要研发人员参与标准的调研与内容研讨。
1.3.2制定工作计划
编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料
该标准编制过程中,主要参考了:
GB 17859-1999 计算机信息系统安全保护划分准则
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保障组件
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 25069-2010 信息安全技术 术语
移动智能终端、操作系统安全加固相关产品及其技术资料
1.3.4确定编制内容
经标准编制组研究决定,以发改委专项测试要求为理论基础,以现有移动智能终端操作系统的发展动向为研究目标,以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》为主要参考依据,完成《信息安全技术移动智能终端操作系统安全测试评价方法》标准的编制工作。
图1 移动智能终端安全构成
操作系统是移动智能终端的安全根基,通过对移动智能终端操作系统的安全风险分析,得到移动智能终端操作系统主要的安全机制应涵盖以下方面:
1)应提供访问控制机制,限制对终端的非授权访问(如对系统资源如CPU指令、存储器、通信模块、设备驱动及系统内核等资源实现自主访问控制或强制访问控制,防止非法操作);
2)应对系统资源和各类数据进行安全域隔离,对存储空间进行划分,不同存储空间用于存储不同的数据,不同进程所使用的空间和资源也应进行逻辑隔离(如采用沙盒和虚拟机技术);
3) 应建立数据的分类原则,设计安全级别,针对不同级别采用不同的安全机制。结合访问控制、加密等手段,阻止未经授权的访问。
4)应提供加密机制,以保护敏感的用户数据和通信;
5)应支持对各项操作的细粒度的安全审计,包括识别、记录、存储和分析与安全相关活动有关的信息,从而进行责任追溯,降低安全风险。
1.3.5编制工作简要过程
在申请信息安全技术移动智能终端操作系统安全测试评价方法国家标准制订任务之前,标准编制组就已经开始了前期调研工作。编制组人员首先对所参阅的产品、文档以及标准等资料进行查阅和理解,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
编制组在2013年1月前完成了对移动智能终端操作系统的相关技术文档和有关标准的前期基础调研。调研期间,主要对检测中心移动智能终端、操作系统加固相关安全产品的检测记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和标准进行了分析理解。
2013年3月,完成了标准草案初稿的编制工作。以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准草稿(第一稿),并在检测中心内部邀请中心标准技术组对标准草稿(第一稿)进行了讨论和意见征求。
2013年6月,编制组基于中心标准技术组的意见,并结合发改委信息安全专项移动智能终端测试的经验,对标准草稿(第一稿)进行了修改;2013年7月,编制组邀请崔书昆、卿斯汉、肖京华等专家对标准草案进行了研讨,编制组根据与会专家的意见和建议对标准进行了修改,形成了标准草稿(第二稿)。
2013年12月,编制组以邮件方式征求了上海辰锐信息科技公司2016年3月31日,有线网络安全工作组与无线网络安全工作组第二十二次联合会议在北京北邮科技大厦举行,会议讨论和审议了文稿,2016年月日日,,会讨论和审议了文稿,形成征求意见稿,提交TC260秘书处讨论决定本文稿不再需要与GB/T 30284-2013及其修订保持一致,按原任务书内容继续执行GB/T1.1-2009 标准化工作导则 第一部分:标准的结构和编写规则。
本标准主要结构包括如下内容:
范围
规范性引用文件
术语和定义
移动智能终端操作系统描述
安全技术要求
测试评价方法
2.3.2主要内容
2.3.2.1范围、规范性引用文件、术语和
文档评论(0)