《移动智能终端安全能力技术要求》《移动智能终端安全能力测试方法》预置应用测试实施细则.docx

PAGE II 项目编号： 《移动智能终端安全能力技术要求》 《移动智能终端安全能力测试方法》 预置应用测试实施细则 2018年7月 PAGE I 研 究 报 告 要 点 以移动智能终端为整体，针对预置在终端内的应用软件进行安全测试，TAF-WG4-AS0015-V1.0.0:2018 《移动智能终端安全能力技术要求》和TAF-WG4-AS0016-V1.0.0:2018 《移动智能终端安全能力测试方法》已经发布并实施检测。本文件针对标准细节进行解读，明确实施要求，内容涉及标准全部内容。 WG4 信息安全工作组 研究单位： 项目负责人： 项目参加人： 目 录 TOC \o 1-3 \h \z \u 1 概述 1 2 规范性引用文件 1 3 定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 2 4 预置应用软件安全 2 5 预置应用安全能力等级总览 3 6 实施细则 4 6.1 收集用户数据 4 6.2 修改用户数据 5 6.3 数据录入保护 5 6.4 数据加密传输 6 6.5 组件访问控制 6 6.6 软件认证签名 6 6.7 升级更新要求 7 6.8 流量耗费 7 6.9 费用损失 8 6.10 信息泄露 8 6.11 应用软件漏洞要求 9 6.12 测试模式要求 9 6.13 其他细则 11 PAGE 1 PAGE 1 概述 以移动智能终端为整体，针对预置在终端内的应用软件进行安全测试，TAF-WG4-AS0015-V1.0.0 2018 《移动智能终端安全能力技术要求》和TAF-WG4-AS0016-V1.0.0 2018 《移动智能终端安全能力测试方法》已经发布并实施检测。本文件针对标准细节进行解读，明确实施要求，内容涉及标准全部内容。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 TAF-WG4-AS0015-V1.0.0:2018 移动智能终端安全能力技术要求 TAF-WG4-AS0016-V1.0.0:2018 移动智能终端安全能力测试方法 定义和缩略语 术语和定义 下列术语和定义适用于本文件。 移动智能终端 smart mobile terminal 具有接入移动通信网能力，能够提供应用程序开发接口的开放操作系统，并能够安装和运行应用软件的移动终端。 安全能力 security capability 在移动智能终端上可实现的，能够防范安全威胁的技术手段。 用户 user 使用移动智能终端资源的对象，包括人或第三方应用程序。 用户数据 user data 移动智能终端上存储的用户个人信息，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。 授权 authorization 在用户身份经过认证后，根据预先设置的安全策略，授予用户相应权限的过程。 缩略语 下列缩略语适用于本文件。 API 应用程序编程接口 Application Programming Interface CNNVD 中国国家信息安全漏洞库 China National Vulnerability Database of Information Security CNVD 国家信息安全漏洞共享平台 China National Vulnerability Database CRL 证书撤销列表 Certificate Revocation List WLAN 无线局域网 Wireless Local Area Network 预置应用软件安全 检测项目：预置应用软件安全 检测依据：TAF-WG4-AS0015-V1.0.0 2018 《移动智能终端安全能力技术要求》、TAF-WG4-AS0016-V1.0.0 2018 《移动智能终端安全能力测试方法》 检测范围：以终端为单位，包含所有安装在内的移动智能终端应用软件 检测内容： 4.5.5预置应用软件安全要求 收集用户数据 .1预置应用软件收集用户敏感数据行为 .2预置应用软件收集用户多媒体数据行为 修改用户数据 数据录入保护 数据加密传输 .1预置应用软件加密传输敏感数据行为 .2预置应用软件加密传输多媒体数据行为 组件访问控制 软件认证签名 升级更新要求 调用终端通信功能 .1流量耗费 .2费用损失 .3信息泄露 .3预置应用软件信息泄露敏感数据行为 .3.2预置应用软件信息泄露多媒体数据行为