《移动通信智能终端操作系统安全技术要求》编制说明.docxVIP

《移动通信智能终端操作系统安全技术要求》编制说明任务来源根据兴唐通信科技有限公司的申请，安标委于2011年2月向兴唐通信科技有限公司下达了《移动通信智能终端操作系统安全技术要求》标准任务。国家标准化管理委员会于2011年下达了国家标准制定计划，计划号T-469，由兴唐通信科技有限公司牵头制定。目前移动通信终端正在向智能化方向发展，单一功能的终端所占份额逐步减少。3G时代网络上的丰富应用要求手持设备具备更多功能。操作系统是支持智能化应用的基础，采用开放平台的移动终端使得应用程序和服务可以更方便的根据用户需求安装、卸载和更新。典型的移动终端操作系统有微软的Windows Mobile、Windows Phone、诺基亚的Symbian、谷歌的Android、苹果公司的iPhone OS、RIM公司的BlackBerry OS以及开源Linux等。虽然各公司按照各自的安全架构设计操作系统，但我国没有对移动终端操作系统提出统一的安全技术要求，无法对用户数据、终端设备甚至网络做出明确的保护。建立统一的操作系统安全技术要求，有利于规范设备制造商对终端的开发，有利于保护移动终端用户的隐私和信息权益，并可作为抑制移动互联网非法内容传播的技术基础，对于加强我国移动通信领域的安全管理有重要意义。《移动通信智能终端操作系统安全技术要求》规定移动通信智能终端操作系统的安全技术要求，适用于商用移动通信智能终端操作系统安全的设计、开发、测试和评估。商用移动通信智能终端包含：智能手机、PAD等个人手持移动通信设备，不包含个人电脑。专用终端的安全技术要求不在本标准覆盖范围内。本标准是全新编制的标准，不涉及旧版本的关联。编制依据和原则2.1 编制依据《移动通信智能终端操作系统安全技术要求》的编写主要依据如下有效的国家标准及国际标准：GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第一部分：简介和一般模型GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求GB/Z 20283-2006 信息安全技术保护轮廓和安全目的的产生指南GB17859-1999 计算机信息系统安全保护等级划分准则ISO/IEC 15408-3:2008 Information technology —Security techniques—Evaluation criteria for IT security —Part 3:Security assurance components其中GB/T 18336.X -2008等效于ISO/IEC 15408.X-2005 信息技术安全性评估准则，是国际上通用的信息技术安全性评估准则，通过此评估准则可获得同类信息产品的安全性以及保证级别评估，此结果在国际范围内具有可比性。2.2 编制原则标准编制组在编写过程中遵循如下原则：遵循现行国家标准，采用和借鉴国内外先进标准参考国标GB/T 18336-2008信息技术安全性评估准则，借鉴GB17859-1999的内容,吸取国际标准化组织ISO/IEC及其他标准化组织有关信息技术安全性评估准则等最新文件，查阅美国国家标准技术机构（NIST）、美国信息保障部（IAD）等近年来做出的有关操作系统的安全技术要求，编写本标准。贯彻国家有关政策与法规对安全功能支撑的密码技术可应用于移动操作系统安全的多个方面，但密码技术的使用必须符合我国有关政策和法规。提出的安全技术要求应具备准确性、完备性、指导性及可扩展性切实结合移动通信智能终端操作系统的特点，提出针对每一安全威胁的安全目的、安全功能要求，每一安全威胁有相应的抵御方法。另外标准保留了扩展、细化安全要求的结构。认真听取、分析各方意见，做好意见的处理和反馈将文稿提交中国通信标准化协会（CCSA）网络与信息安全技术委员会（TC8）安全基础工作组(WG4)会议讨论，征求工信部相关主管单位及工信部研究院意见，接受“全国信息安全标准化技术委员会”的项目检查工作，记录、分析每一次会议意见，针对意见进行修改，做好意见反馈工作。标准主要内容《移动通信智能终端操作系统安全技术要求》首先阐述移动通信智能终端操作系统的功能和特点，定位移动通信智能终端操作系统的安全问题，其次提出针对安全问题的解决方案，进而提出安全功能要求和安全保证要求，并逐一说明安全要求的原理，证明安全功能要求能够解决对应的安全问题。《移动通信智能终端操作系统安全技术要求》的主要大纲和内容为：概述移动通信智能终端操作系统的功能是管理移动终端的硬件、软件资源。其硬件资源有：通信设备（蜂窝移动通信设备、无线局域网设备），终端信源传感器（麦克、