《信息安全技术_移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿_编制说明.pdfVIP

《信息安全技术移动智能终端应用软件安全技术要

求和测试评价方法》

编制说明征求意见稿〔

1工作简况

1.1任务来源

经中国国家标准化管理委员会批准,全国信息安全标准化技术委

员会SAC/TC260〔主任办公会讨论通过,研究制定移动智能终端应用

软件安全技术要求和测试评价方法的国家标准。该项目由全国信息

安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由

公安部计算机信息系统安全产品质量监督检验中心公安部第三研究〔

所负责主办。

1.2协作单位

在接到《信息安全技术移动智能终端应用软件安全技术要求和

测试评价方法》标准的任务后,公安部计算机信息系统安全产品质量

监督检验中心立即与相关厂商进行沟通,并得到了多家业内知名厂商

的积极参与和反馈。经过层层筛选之后,最后确定由新能聚信北京

科技、北京奇虎科技作为标准编制协作单位。

1.3主要工作过程

成立编制组

1/17

20XX12月接到标准编制任务,组建标准编制组,由本检测中心、新

能聚信及北京奇虎联合编制。检测中心的编制组成员均具有资深的

产品检测经验、有足够的标准编制经验、熟悉CC；其他厂商的编制

成员均为移动智能终端应用软件的研发负责人及主要研发人员。检

测中心人员包括俞优、顾健、陈妍、陆臻、张笑笑、沈亮等。

制定工作计划

编制组首先制定了编制工作计划,并确定了编制组人员例会安排

以便及时沟通交流工作情况。

参考资料

该标准编制过程中,主要参考了：

•GB17859-1999计算机信息系统安全保护划分准则

•GB/T18336.3－2015信息技术安全技术信息技术安全性评

估准则第3部分：安全保障组件

•GB/T20271-2006信息安全技术信息系统通用安全技术要求

•GB/T25069－2010信息安全技术术语

1.3.4确定编制内容

移动智能终端应用有着自身的特点,在测试策略上不能完全照搬

传统应用软件的测试策略、方法和内容,需要分析其使用特点以及使

用过程中可能存在的一些安全性隐患,针对这些隐患提出针对性的安

全要求,可以有效提高移动智能终端应用软件的安全性和可靠性,从而

2/17

保证终端用户的软件使用安全。

移动智能终端号称永远在线,可以随时联机公共网络和专用网络,

并基本具有了桌面计算机所具有的功能。终端应用软件多数是通过

无线网络下载到终端用户的便携式设备上的,包括通过E-mail、

Internet下载、多媒体通讯服务、WAP下载、红外或蓝牙传输、PC

同步及可移动存储介质获得并安装各种必威体育精装版的软件其典型应用见图〔

1显示。

图1移动智能终端J2M2程序的应用过程

然而,大部分智能终端用户并不将它看作一台计算机,并不认同终

端和计算机一样存在巨大的安全风险,认为终端比PC机更加安全、

可靠,而是将其当作一部安全和没有任何风险的通信设备,这给一些黑

客直接或间接例如〔通过互联网的破坏用户利益创造了可乘之机。

终端应用软件在不同设备都可通过网络进行下载和执行。如果没

有正确的防范机制,用户将面临程序被破坏,数据丢失和信息窃取等

安全威胁。目前威胁移动智能终端安全的主要形式包括通过蓝牙、

红外、彩信等方式传递的手机病毒,垃圾邮件/短信包括〔诈骗短信,

骚扰,恶意程序,黑客,木马,手机后门,监听软件/私密数据窃取等。

移动智能终端应用软件在使用过程中往往存在一些安全性隐患,

其面临的常见安全风险如下所述：

1)故意行为

3/17

➢非受权访问：即使设备不丢失,局外人会使用盗取的密码

进人设备,导致数据被修改或数据丢失。

➢电子窃听和修改数据：局外人可能会窃取网络上传输或转