ICS33.050CCSM30團(tuán)體標(biāo)準(zhǔn)T/TAF100-2021智能終端設(shè)備間互操作數(shù)據(jù)保護(hù)技術(shù)要求Dataprotectiontechnicalimplementationrequirementforinteroperationbetweenintelligentterminals2021-12-13發(fā)布2021-12-13實(shí)施1T/TAF100-2021目次前言................................................................................II引言...............................................................................III1范圍...............................................................................12規(guī)范性引用文件.....................................................................13術(shù)語(yǔ)和定義.........................................................................14智能終端設(shè)備間互操作數(shù)據(jù)安全概述...................................................14.1范圍...........................................................................14.2智能終端設(shè)備互操作數(shù)據(jù)生命周期.................................................24.3智能終端設(shè)備間互操作數(shù)據(jù)安全風(fēng)險(xiǎn)...............................................24.4智能終端設(shè)備間互操作數(shù)據(jù)安全影響因素...........................................25智能終端設(shè)備數(shù)據(jù)分級(jí)原則...........................................................36智能終端設(shè)備間互操作設(shè)備安全能力...................................................47智能終端設(shè)備間數(shù)據(jù)傳輸方式.........................................................48智能終端設(shè)備間互操作數(shù)據(jù)安全目標(biāo)...................................................59智能終端設(shè)備間互操作數(shù)據(jù)安全要求...................................................59.1智能終端設(shè)備間互操作各生命周期要求.............................................5附錄A（資料性）數(shù)據(jù)類型及數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)示例............................................9附錄B（資料性）設(shè)備安全等級(jí)與數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)表.....................................11IT/TAF100-2021前言本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。IIT/TAF100-2021引言近年來(lái)，隨著移動(dòng)終端、智能家居的快速發(fā)展，每個(gè)用戶可能擁有多個(gè)終端，如手機(jī)、手表、平板電腦等，加之?dāng)U展到家庭設(shè)備，如電視、路由器等，使得用戶可操控的設(shè)備范圍進(jìn)一步擴(kuò)大，覆蓋家居、運(yùn)動(dòng)、辦公、休閑、購(gòu)物等多種場(chǎng)景。一方面，終端上的應(yīng)用及服務(wù)日益豐富，另一方面為了給用戶提供便利的體驗(yàn)，終端設(shè)備之間的交互也逐漸頻繁，用戶可以操控多個(gè)設(shè)備，也可以將一個(gè)終端設(shè)備上的操作無(wú)縫切換到另一個(gè)終端設(shè)備上，因此產(chǎn)生了大量數(shù)據(jù)在終端設(shè)備之間流轉(zhuǎn)、使用的場(chǎng)景。終端設(shè)備上的服務(wù)包含用戶工作、生活多個(gè)方面，因此設(shè)備間交互涉及的數(shù)據(jù)種類也較多，從大的方面劃分，包含個(gè)人信息、非個(gè)人信息，而個(gè)人信息的敏感程度又不盡相同，因此，在終端設(shè)備間對(duì)數(shù)據(jù)進(jìn)行操作時(shí)，應(yīng)保證數(shù)據(jù)在設(shè)備中互操作前、過(guò)程中、以及之后得到相應(yīng)敏感等級(jí)的保護(hù)。本標(biāo)準(zhǔn)基于設(shè)備間數(shù)據(jù)操作場(chǎng)景，根據(jù)數(shù)據(jù)的敏感程度、終端能力等給出可實(shí)施的數(shù)據(jù)保護(hù)技術(shù)要求，供移動(dòng)終端廠商及業(yè)務(wù)應(yīng)用開發(fā)廠商借鑒實(shí)施，以實(shí)現(xiàn)智能終端設(shè)備上的數(shù)據(jù)保護(hù)。IIIT/TAF100-2021智能終端設(shè)備間互操作數(shù)據(jù)保護(hù)技術(shù)要求1范圍本文件規(guī)定了設(shè)備間互操作過(guò)程實(shí)現(xiàn)數(shù)據(jù)保護(hù)的要求。本文件適用于面向消費(fèi)者的智能終端設(shè)備及移動(dòng)設(shè)備應(yīng)用程序在設(shè)備間進(jìn)行數(shù)據(jù)相關(guān)操作時(shí)實(shí)現(xiàn)數(shù)據(jù)的安全存儲(chǔ)、使用、刪除等目標(biāo)，也適用于評(píng)估機(jī)構(gòu)基于本標(biāo)準(zhǔn)開展智能設(shè)備間數(shù)據(jù)安全的評(píng)估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T1699移動(dòng)終端信息安全技術(shù)要求T/TAF097-2021智能設(shè)備間互信操作技術(shù)要求3術(shù)語(yǔ)和定義3.1智能終端設(shè)備intelligentterminal包括CPU、RAM、非易失性存儲(chǔ)器、內(nèi)存控制器、中斷控制器、時(shí)鐘電路、I/O電路、各種通信接口及相關(guān)軟件（操作系統(tǒng)、應(yīng)用軟件）、通信協(xié)議棧等在內(nèi)的通信設(shè)備。3.2互操作inter-operation基于智能終端設(shè)備之間建立的連接，在智能終端設(shè)備間進(jìn)行數(shù)據(jù)、實(shí)現(xiàn)業(yè)務(wù)功能的指令處理的過(guò)程。注：本標(biāo)準(zhǔn)適用于智能終端設(shè)備間的數(shù)據(jù)處理操作。3.3加密密鑰encryptionkey在智能終端設(shè)備間互操作場(chǎng)景下，用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密的符號(hào)序列。3.4根密鑰rootkey在設(shè)備制造階段寫入的用于派生或保護(hù)加密密鑰的符號(hào)序列。4智能終端設(shè)備間互操作數(shù)據(jù)安全概述范圍4.11T/TAF100-2021智能終端上存儲(chǔ)了用戶在使用過(guò)程中產(chǎn)生的各種類型數(shù)據(jù)，本規(guī)范所指的數(shù)據(jù)由系統(tǒng)或應(yīng)用軟件生成的在智能終端系統(tǒng)上存儲(chǔ)的數(shù)據(jù)，同時(shí)，數(shù)據(jù)還可在不同智能終端設(shè)備之間流轉(zhuǎn)、使用。4.2智能終端設(shè)備互操作數(shù)據(jù)生命周期數(shù)據(jù)的生命周期分為生成、存儲(chǔ)、使用、傳輸、刪除各階段，根據(jù)數(shù)據(jù)在智能設(shè)備間的操作的過(guò)程，設(shè)備間互操作數(shù)據(jù)生命周期包括互操作前、互操作過(guò)程、互操作后，互操作前包括數(shù)據(jù)在源設(shè)備上的生成、存儲(chǔ)、使用、刪除過(guò)程，互操作過(guò)程包括數(shù)據(jù)傳輸過(guò)程，互操作后包括數(shù)據(jù)在目的設(shè)備上的生成、存儲(chǔ)、使用、刪除過(guò)程，圖1給出了數(shù)據(jù)在源設(shè)備和目的設(shè)備間互操作的數(shù)據(jù)生命周期。源設(shè)備存儲(chǔ)目的設(shè)備存儲(chǔ)生成使用刪除傳輸生成使用刪除圖1設(shè)備間互操作數(shù)據(jù)生命周期生成：智能終端和其上的應(yīng)用軟件通過(guò)采集、直接生成、從其它終端接收或其它方式轉(zhuǎn)入等方式產(chǎn)生數(shù)據(jù)的過(guò)程。存儲(chǔ)：數(shù)據(jù)在智能終端設(shè)備上存留的過(guò)程。使用：數(shù)據(jù)在智能終端設(shè)備上被訪問(wèn)、處理等操作的過(guò)程。刪除：數(shù)據(jù)在智能終端設(shè)備上被銷毀，保證其不可被檢索、訪問(wèn)、恢復(fù)的狀態(tài)。傳輸：數(shù)據(jù)離開源智設(shè)備、轉(zhuǎn)移到目的設(shè)備的過(guò)程。4.3智能終端設(shè)備間互操作數(shù)據(jù)安全風(fēng)險(xiǎn)a)數(shù)據(jù)泄露。數(shù)據(jù)在終端設(shè)備間存儲(chǔ)、流轉(zhuǎn)的過(guò)程中，若缺乏數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)加密傳輸?shù)缺匾陌踩珯C(jī)制，或?qū)崿F(xiàn)的安全機(jī)制強(qiáng)度不足，攻擊者利用系統(tǒng)或應(yīng)用漏洞獲取用戶數(shù)據(jù)，導(dǎo)致數(shù)據(jù)被泄露，破壞系統(tǒng)上業(yè)務(wù)的正常運(yùn)行，嚴(yán)重的，還可能由于一個(gè)終端上的數(shù)據(jù)泄露，攻擊終端所在的網(wǎng)絡(luò)，造成網(wǎng)絡(luò)運(yùn)行異常。另外，終端系統(tǒng)上保存了大量的用戶隱私數(shù)據(jù)，如生物特征數(shù)據(jù)、用戶設(shè)置密碼等，若數(shù)據(jù)被泄露，可能給用戶造成隱私、財(cái)產(chǎn)損失。b)數(shù)據(jù)篡改。用戶在智能終端間互操作數(shù)據(jù)包括用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、控制指令等，若在傳輸、存儲(chǔ)、使用過(guò)程中，數(shù)據(jù)沒有受到安全強(qiáng)度足夠的保護(hù)，則攻擊者可能篡改數(shù)據(jù)，影響終端系統(tǒng)正常功能的可用性，或?qū)崿F(xiàn)非預(yù)期的惡意操控。c)數(shù)據(jù)不可使用。數(shù)據(jù)在終端設(shè)備上存儲(chǔ)、使用過(guò)程中，可能面臨DDos攻擊或被刪除的風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)不可用，數(shù)據(jù)在終端設(shè)備間進(jìn)行互操作的過(guò)程中，若沒有進(jìn)行安全性保護(hù)，還可能出現(xiàn)通信鏈路阻塞，無(wú)法正常通信等風(fēng)險(xiǎn)，導(dǎo)致互操作業(yè)務(wù)無(wú)法開展。4.4智能終端設(shè)備間互操作數(shù)據(jù)安全影響因素終端設(shè)備間互操作是指在終端設(shè)備間進(jìn)行數(shù)據(jù)處理操作的行為，使得數(shù)據(jù)可以在終端設(shè)備之間流轉(zhuǎn)、讀取、編輯等操作，從而實(shí)現(xiàn)設(shè)備控制、用戶數(shù)據(jù)共享等功能。對(duì)于面向消費(fèi)者的終端設(shè)備，其上運(yùn)行不同業(yè)務(wù)類型，不同業(yè)務(wù)類型涉及廣泛的數(shù)據(jù)類型，包括語(yǔ)音圖像數(shù)據(jù)、位置軌跡數(shù)據(jù)、運(yùn)動(dòng)健康數(shù)據(jù)、生物特征數(shù)據(jù)、賬戶憑證等數(shù)據(jù)類型，因此數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)各不相同，數(shù)據(jù)在終端設(shè)備間處理過(guò)程中的安全保護(hù)要求也不同。2T/TAF100-2021同時(shí)，數(shù)據(jù)在設(shè)備間處理涉及到數(shù)據(jù)在不同設(shè)備上的生成、存儲(chǔ)、使用，而設(shè)備作為數(shù)據(jù)的存儲(chǔ)介質(zhì)，為數(shù)據(jù)提供基本的保護(hù)能力，因此當(dāng)終端設(shè)備的安全能力不同時(shí)，對(duì)其上數(shù)據(jù)安全也產(chǎn)生較大差異。本文件在規(guī)定終端設(shè)備間數(shù)據(jù)保護(hù)要求時(shí)，考慮了數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)因素、終端設(shè)備安全能力因素，從數(shù)據(jù)生命周期對(duì)移動(dòng)終端及其上應(yīng)用軟件提出要求，圖1給出了上述各因素之間的關(guān)系。圖2智能設(shè)備間互操作數(shù)據(jù)安全影響因素5智能終端設(shè)備數(shù)據(jù)分級(jí)原則數(shù)據(jù)安全主要從數(shù)據(jù)的機(jī)密性、完整性、可用性三個(gè)屬性進(jìn)行評(píng)估，機(jī)密性是對(duì)數(shù)據(jù)進(jìn)行加密等控制手段進(jìn)行保護(hù)，防止未授權(quán)的訪問(wèn)或披露；完整性是防止信息被非法篡改或銷毀；可靠性是確保信息能夠及時(shí)可靠的被訪問(wèn)和使用，目前業(yè)界的評(píng)估依據(jù)是數(shù)據(jù)遭到泄露或破壞給組織、個(gè)人所帶來(lái)的影響，綜合分析對(duì)數(shù)據(jù)機(jī)密性、完整性、可用性造成的影響從而確定數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)。一般而言，移動(dòng)終端上的數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)可分為4級(jí)，其分級(jí)原則是：表1智能終端設(shè)備數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)分級(jí)原則數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)分級(jí)原則判定原則對(duì)個(gè)人財(cái)產(chǎn)、聲譽(yù)、生活狀態(tài)以及生理和心理等方面產(chǎn)生重大的、不可消除的不利影響；或?qū)M織造成全部業(yè)務(wù)無(wú)法開展、重大經(jīng)濟(jì)損失，或?qū)M織的全部用戶產(chǎn)生不利影響，或?qū)M織聲譽(yù)構(gòu)成特別嚴(yán)重不利影響。業(yè)界法律法規(guī)中定義的特殊數(shù)據(jù)類型，涉及個(gè)人的最私密領(lǐng)域的信息或者一旦泄露、篡改、破壞、銷毀可能會(huì)給個(gè)人或組織造成重大的不利影響的數(shù)據(jù)4對(duì)個(gè)人財(cái)產(chǎn)、聲譽(yù)、生活狀態(tài)以及生理和心理等方面可能產(chǎn)生重大不利影響、克服難度高、消除影響代價(jià)大。數(shù)據(jù)的泄露、篡改、破壞、銷毀可能會(huì)給個(gè)人或組織導(dǎo)致嚴(yán)峻的不利影響32對(duì)組織造成部分業(yè)務(wù)無(wú)法開展、嚴(yán)重經(jīng)濟(jì)損失，或?qū)Υ蟛糠纸M織用戶產(chǎn)生不利影響，或?qū)M織聲譽(yù)造成嚴(yán)重不利影響。對(duì)個(gè)人財(cái)產(chǎn)、聲譽(yù)、生活狀態(tài)以及生理和心理等方面可能產(chǎn)生重大不利影響、克服有一定難度。對(duì)組織造成個(gè)別業(yè)務(wù)無(wú)法開展、一定程度的經(jīng)濟(jì)損數(shù)據(jù)的泄露、篡改、破壞、銷毀可能會(huì)給個(gè)人或組織導(dǎo)致嚴(yán)重的不利影響3T/TAF100-2021表1智能終端設(shè)備數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)分級(jí)原則（續(xù)）數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)分級(jí)原則判定原則失，或?qū)π〔糠纸M織用戶產(chǎn)生不利影響，或?qū)M織聲譽(yù)構(gòu)成一定威脅、造成一定不利影響。對(duì)個(gè)人可能造成一定不利影響、但可以消除，或不會(huì)造成困擾。數(shù)據(jù)的泄露、篡改、破壞、銷毀可能會(huì)給個(gè)人或組織導(dǎo)致無(wú)不利影響、或?qū)е掠邢薜牟焕绊?對(duì)組織造成輕微經(jīng)濟(jì)損失、不影響業(yè)務(wù)穩(wěn)定或?qū)M織沒有不利影響。數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)示例可參考附錄。6智能終端設(shè)備間互操作設(shè)備安全能力終端設(shè)備從所具備的安全能力、所能抵御的風(fēng)險(xiǎn)角度分為不同安全能力級(jí)別，而終端設(shè)備上的數(shù)據(jù)安全與數(shù)據(jù)所在的終端設(shè)備的安全能力級(jí)別直接相關(guān)，如敏感數(shù)據(jù)應(yīng)在安全隔離環(huán)境中進(jìn)行加密存儲(chǔ)、并受到訪問(wèn)控制機(jī)制管理等，要求終端設(shè)備具備較高的安全能力等級(jí)，而對(duì)于公開數(shù)據(jù)則沒有上述要求。反之，對(duì)于安全能力較高的終端設(shè)備可支持存儲(chǔ)、使用敏感等級(jí)高的數(shù)據(jù)，安全能力等級(jí)低的設(shè)備不建議存儲(chǔ)、使用敏感等級(jí)高的數(shù)據(jù)，即終端設(shè)備不同安全等級(jí)具備不同的可支持的數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)范圍。根據(jù)業(yè)界最佳實(shí)踐及相關(guān)標(biāo)準(zhǔn)規(guī)范，從所具備的安全能力、所能抵御的風(fēng)險(xiǎn)角度，終端設(shè)備的安全能力宜劃分為5個(gè)等級(jí)。具體定義可參考YD/T1699《移動(dòng)終端信息安全技術(shù)要求》。7智能終端設(shè)備間數(shù)據(jù)傳輸方式智能終端設(shè)備基于終端設(shè)備之間建立的連接進(jìn)行數(shù)據(jù)傳輸、共享等操作，智能終端設(shè)備之間的連接包含近距離連接、遠(yuǎn)端連接兩種方式，終端設(shè)備之間建立連接的方式不同，其上數(shù)據(jù)傳輸?shù)姆绞揭膊煌?shù)據(jù)在終端設(shè)備之間進(jìn)行操作時(shí)，數(shù)據(jù)所在的原始設(shè)備稱之為源設(shè)備；數(shù)據(jù)所傳輸?shù)降哪繕?biāo)設(shè)備稱之為目的設(shè)備。當(dāng)終端設(shè)備間建立近距離端到端通信連接時(shí)，可實(shí)現(xiàn)基于終端設(shè)備間之間近距離連接傳輸數(shù)據(jù)，進(jìn)行設(shè)備間互操作，如下圖3所示。當(dāng)源設(shè)備通過(guò)遠(yuǎn)端服務(wù)器與目的設(shè)備建立連接時(shí)，終端設(shè)備之間的交互需要通過(guò)遠(yuǎn)端服務(wù)器中轉(zhuǎn)實(shí)現(xiàn)數(shù)據(jù)在終端設(shè)備之間的傳輸，實(shí)現(xiàn)終端設(shè)備之間基于遠(yuǎn)端連接的方式進(jìn)行數(shù)據(jù)互操作，如圖4所示。圖3終端設(shè)備間基于近距離連接進(jìn)行數(shù)據(jù)互操作4T/TAF100-2021圖4終端設(shè)備之間基于遠(yuǎn)端連接進(jìn)行數(shù)據(jù)互操作8智能終端設(shè)備間互操作數(shù)據(jù)安全目標(biāo)智能終端設(shè)備間互操作過(guò)程，應(yīng)保證數(shù)據(jù)在源設(shè)備、目的設(shè)備的機(jī)密性、完整性和可用性，為實(shí)現(xiàn)上述三方面的數(shù)據(jù)安全，智能終端設(shè)備間互操作的數(shù)據(jù)安全目標(biāo)是：a)b)c)數(shù)據(jù)在智能設(shè)備（包括源設(shè)備、目的設(shè)備）上存儲(chǔ)、使用應(yīng)具備與數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)相應(yīng)的安全保護(hù)措施。數(shù)據(jù)從源設(shè)備轉(zhuǎn)移到目的設(shè)備的情況，應(yīng)確保源設(shè)備、目的設(shè)備是可信設(shè)備，并確保傳輸安全。數(shù)據(jù)刪除過(guò)程中，高敏感等級(jí)數(shù)據(jù)應(yīng)確保安全、徹底刪除。9智能終端設(shè)備間互操作數(shù)據(jù)安全要求智能終端設(shè)備間互操作各生命周期要求生成階段終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)生成階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)滿足如下要求：表2智能終端設(shè)備互操作數(shù)據(jù)安全要求-數(shù)據(jù)生成階段要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)應(yīng)用或服務(wù)a)數(shù)據(jù)在終端設(shè)備上生成后，生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)確認(rèn)其風(fēng)險(xiǎn)等級(jí)。9.1.2存儲(chǔ)階段終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)存儲(chǔ)階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)滿足如下要求：表3智能終端設(shè)備互操作數(shù)據(jù)安全要求-數(shù)據(jù)存儲(chǔ)階段要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)終端a)b)移動(dòng)終端應(yīng)確保不同終端設(shè)備間的根密鑰的唯一性。移動(dòng)終端需確保根密鑰存儲(chǔ)和運(yùn)行的安全性，根密鑰需存儲(chǔ)和運(yùn)行在硬件隔離的安全環(huán)境，終端不支持硬件隔離的安全環(huán)境，可通過(guò)其它主流的密鑰保護(hù)技術(shù)實(shí)現(xiàn)，如軟件、或軟硬件結(jié)合的方式，根密鑰的訪問(wèn)需具備訪問(wèn)控制機(jī)制，如僅密鑰管理模塊可訪問(wèn)根密鑰。c)涉及處理3級(jí)及以上風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)的終端應(yīng)無(wú)無(wú)支持標(biāo)記數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)能力。5T/TAF100-2021表3智能終端設(shè)備互操作數(shù)據(jù)安全要求-數(shù)據(jù)存儲(chǔ)階段（續(xù)）要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)d)e)生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)標(biāo)記數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)，標(biāo)記的方式依據(jù)數(shù)據(jù)的存儲(chǔ)方式，且采取就高不就低原則，如數(shù)據(jù)以文件方式存儲(chǔ)，則以文件粒度按照文件中包含的數(shù)據(jù)最高風(fēng)險(xiǎn)等級(jí)進(jìn)行標(biāo)記。數(shù)據(jù)存儲(chǔ)在TEE或芯片級(jí)安全存儲(chǔ)器件的情況除外。應(yīng)用或服務(wù)生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)確保終端安全等級(jí)支持待存儲(chǔ)數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)，若終端安全等級(jí)不支持待存儲(chǔ)數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)，生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)在用戶確認(rèn)前提下存儲(chǔ)。終端安全等級(jí)與可支撐的數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)可參考附錄B。f)g)生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)按照文件級(jí)進(jìn)i)數(shù)據(jù)應(yīng)加密存儲(chǔ)。l)數(shù)據(jù)應(yīng)加密存儲(chǔ)。加密密鑰應(yīng)使用根密鑰進(jìn)行保護(hù)，根密鑰應(yīng)確保不同終端設(shè)備間的唯一性。行數(shù)據(jù)的加密存儲(chǔ)。j)加密密鑰需存儲(chǔ)和運(yùn)m)行在硬件隔離的安全環(huán)境。文件加密密鑰需存儲(chǔ)和運(yùn)行在硬件隔離的安全環(huán)境。終端不支持硬件隔離的安全環(huán)境，可在用戶確認(rèn)的前提下進(jìn)行相應(yīng)的安全運(yùn)行和存儲(chǔ)。終端不支持硬件隔離的安全環(huán)境，可在用戶確認(rèn)的前提下進(jìn)行相應(yīng)的安全運(yùn)行和存儲(chǔ)。h)文件加密密鑰應(yīng)使用根密鑰進(jìn)行保護(hù)，根密鑰應(yīng)確保不同終端設(shè)備間的唯一性。k)加密密鑰應(yīng)使用根密鑰進(jìn)行保護(hù)，根密鑰應(yīng)確保不同終端設(shè)備間的唯一性。9.1.3使用階段終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)使用階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)滿足如下要求：表4智能終端設(shè)備互操作數(shù)據(jù)安全要求-數(shù)據(jù)使用階段要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)終端a)終端應(yīng)支持自主訪問(wèn)控制機(jī)制，數(shù)據(jù)在終端設(shè)備被訪問(wèn)時(shí)應(yīng)被終端系統(tǒng)的自主訪問(wèn)控制機(jī)制所保護(hù)。無(wú)應(yīng)用或服務(wù)b)數(shù)據(jù)被本地應(yīng)c)數(shù)據(jù)被本地應(yīng)用或服d)數(shù)據(jù)被本地應(yīng)用或服務(wù)訪問(wèn)時(shí)，生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)確保訪問(wèn)該數(shù)據(jù)的用戶曾被系統(tǒng)驗(yàn)證過(guò)，如終端開機(jī)后已驗(yàn)證用戶身份。用或服務(wù)訪問(wèn)時(shí)，生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)對(duì)訪問(wèn)用戶身份進(jìn)行驗(yàn)證，確保具備數(shù)據(jù)訪問(wèn)權(quán)限的用戶才能訪問(wèn)數(shù)據(jù)。務(wù)訪問(wèn)時(shí)，生成數(shù)據(jù)的應(yīng)用或服務(wù)應(yīng)對(duì)用戶身份進(jìn)行驗(yàn)證，確保具備數(shù)據(jù)訪問(wèn)權(quán)限的用戶才能訪問(wèn)數(shù)據(jù)；或應(yīng)確保訪問(wèn)數(shù)據(jù)用戶曾被系統(tǒng)驗(yàn)證過(guò)（如終端開機(jī)后已驗(yàn)證用戶身份），并對(duì)訪問(wèn)的應(yīng)用標(biāo)識(shí)進(jìn)行驗(yàn)證，確保只有生成該數(shù)據(jù)的應(yīng)用才能訪問(wèn)數(shù)據(jù)。6T/TAF100-20219.1.4傳輸階段傳輸階段一般要求終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)傳輸階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)滿足如下要求，適用于基于近距離連接的互操作、基于遠(yuǎn)端連接的智能設(shè)備間互操作。表5智能終端設(shè)備互操作數(shù)據(jù)安全要求-數(shù)據(jù)傳輸階段要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)應(yīng)用或服務(wù)a)終端設(shè)備上的應(yīng)用或服務(wù)應(yīng)采用安全通道進(jìn)行數(shù)據(jù)傳輸，保b)終端設(shè)備上的應(yīng)用或服務(wù)應(yīng)采用安全通道進(jìn)行數(shù)據(jù)傳輸，保證傳輸數(shù)據(jù)的完整性。證傳輸數(shù)據(jù)的機(jī)密性以及完整性。基于近距離連接的數(shù)據(jù)互操作方式傳輸階段其它要求基于近距離連接的智能設(shè)備間互操作，終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)傳輸階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)還需滿足如下要求：表6智能終端設(shè)備互操作數(shù)據(jù)安全要求-基于近距離連接數(shù)據(jù)傳輸階段要求對(duì)象終端4級(jí)3級(jí)2級(jí)1級(jí)a)在設(shè)備間傳輸風(fēng)險(xiǎn)等級(jí)為2級(jí)及以上級(jí)別數(shù)據(jù)，傳輸前源設(shè)備應(yīng)確保目的設(shè)備的合法性，并與目的設(shè)備完成雙向認(rèn)證、建立互信關(guān)系。注：終端設(shè)備間建立互信關(guān)系要求參考《智能設(shè)備間互信操作技術(shù)要求》。無(wú)應(yīng)用或服務(wù)b)源設(shè)備的應(yīng)用或服務(wù)向目的設(shè)備發(fā)送數(shù)據(jù)、且數(shù)據(jù)在目的設(shè)備存儲(chǔ)時(shí)，源設(shè)備的應(yīng)用或服務(wù)應(yīng)確保目的設(shè)備支持待傳輸數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)。數(shù)據(jù)傳輸?shù)侥康脑O(shè)備后，在目的設(shè)備存儲(chǔ)前，目的設(shè)備的應(yīng)用或服務(wù)應(yīng)確保源設(shè)備支持傳輸數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)。若目的設(shè)備或源設(shè)備無(wú)法支持傳輸數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)，則需在對(duì)端設(shè)備用戶確認(rèn)的前提下進(jìn)行傳輸或存儲(chǔ)。c)d)目的設(shè)備的應(yīng)用或服務(wù)從源設(shè)備向自身傳輸并存儲(chǔ)數(shù)據(jù)時(shí)，源設(shè)備的應(yīng)用或服務(wù)應(yīng)確保目的設(shè)備支持待傳輸數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)。若目的設(shè)備不能支持待傳輸數(shù)據(jù)的最高風(fēng)險(xiǎn)等級(jí)，則需在源設(shè)備用戶確認(rèn)的前提下進(jìn)行數(shù)據(jù)傳輸。在支持賬號(hào)登陸的終端之間進(jìn)行多個(gè)設(shè)備間自動(dòng)傳輸、存儲(chǔ)數(shù)據(jù)時(shí)，同賬號(hào)下終端可進(jìn)行自動(dòng)傳輸，非同賬號(hào)下終端之間，應(yīng)用或服務(wù)應(yīng)在用戶確認(rèn)的前提下進(jìn)行數(shù)據(jù)自動(dòng)傳輸。注：多設(shè)備間數(shù)據(jù)自動(dòng)傳輸應(yīng)滿足本節(jié)b）要求，自動(dòng)傳輸數(shù)據(jù)場(chǎng)景下不需要每次傳輸均經(jīng)過(guò)用戶確認(rèn)。e)數(shù)據(jù)從源數(shù)據(jù)傳輸?shù)侥康脑O(shè)備的過(guò)程中，源設(shè)備上的應(yīng)用或服務(wù)應(yīng)確保數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)傳輸?shù)侥康脑O(shè)備。f)g)生物特征模板數(shù)據(jù)，如指紋模板，不宜在設(shè)備間傳輸。風(fēng)險(xiǎn)等級(jí)為2級(jí)及以上級(jí)別的數(shù)據(jù)被其它設(shè)備的應(yīng)用或服務(wù)訪問(wèn)時(shí)，i)1級(jí)風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)被應(yīng)對(duì)訪問(wèn)數(shù)據(jù)的用戶身份進(jìn)行驗(yàn)證，確保擁有該數(shù)據(jù)、或具有訪問(wèn)權(quán)限的用戶才能訪問(wèn)數(shù)據(jù)。其它設(shè)備的應(yīng)用或服務(wù)訪問(wèn)時(shí)，可不進(jìn)行身份驗(yàn)證。h)基于賬號(hào)體系的系統(tǒng)中，同一賬號(hào)下多個(gè)設(shè)備間數(shù)據(jù)訪問(wèn)認(rèn)為已完成對(duì)訪問(wèn)用戶的身份認(rèn)證，以支持多用戶設(shè)備作為入口訪問(wèn)其它設(shè)備上7T/TAF100-2021表6智能終端設(shè)備互操作數(shù)據(jù)安全要求-基于近距離連接數(shù)據(jù)傳輸階段（續(xù)）要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)的數(shù)據(jù)的情況除外。多用戶設(shè)備指可被多個(gè)用戶使用的設(shè)備，如電視、大屏、PC等。基于遠(yuǎn)端連接的數(shù)據(jù)互操作方式傳輸階段其它要求基于遠(yuǎn)端連接的智能設(shè)備間互操作，終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)傳輸階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)還需滿足如下要求：表7智能終端設(shè)備互操作數(shù)據(jù)安全要求-基于遠(yuǎn)端連接數(shù)據(jù)傳輸階段要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)應(yīng)用或服務(wù)a)對(duì)于風(fēng)險(xiǎn)等級(jí)等級(jí)為4b)級(jí)的數(shù)據(jù)，應(yīng)用或服務(wù)宜確保數(shù)據(jù)在源設(shè)備上加密，在目的設(shè)備上解密，確保遠(yuǎn)端服務(wù)器不可解密。對(duì)于風(fēng)險(xiǎn)等級(jí)等級(jí)為3級(jí)的數(shù)據(jù)，若涉及在遠(yuǎn)端服務(wù)器存儲(chǔ)的情況，則應(yīng)在遠(yuǎn)端服務(wù)器加密存儲(chǔ)。無(wú)無(wú)9.1.5刪除階段終端或其上的應(yīng)用/服務(wù)在數(shù)據(jù)刪除階段處理各風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)滿足如下要求：表8智能終端設(shè)備互操作數(shù)據(jù)安全要求-數(shù)據(jù)刪除階段要求對(duì)象4級(jí)3級(jí)2級(jí)1級(jí)應(yīng)用或服務(wù)a)終端設(shè)備上的應(yīng)用或服務(wù)應(yīng)確保數(shù)據(jù)在終端設(shè)備上徹底刪除，禁止使用標(biāo)志位方式刪除。無(wú)無(wú)8T/TAF100-2021附錄A（資料性）數(shù)據(jù)類型及數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)示例根據(jù)本文件第5章的定級(jí)原則，表A.1給出不同類型數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)，同時(shí)，給出數(shù)據(jù)是否是用戶個(gè)人信息的參考。表A.1數(shù)據(jù)類型及數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)示例數(shù)據(jù)類型是否是個(gè)人信息是級(jí)別實(shí)例身份證號(hào)碼、軍官證號(hào)碼、社會(huì)/保險(xiǎn)保障號(hào)碼、駕照號(hào)碼、護(hù)照號(hào)碼、簽證授權(quán)編號(hào)、口令及密碼DNA、指紋、面部特征、聲紋、虹膜、行為特征等敏感身份標(biāo)識(shí)4生物特征健康信息是是44體脂、血壓、血糖、心率、血氧、醫(yī)療記錄、生理周期等金融賬號(hào)標(biāo)識(shí)運(yùn)動(dòng)信息是是43銀行賬號(hào)、支付賬號(hào)等運(yùn)動(dòng)目標(biāo)、運(yùn)動(dòng)類型、步數(shù)、運(yùn)動(dòng)距離、運(yùn)動(dòng)時(shí)長(zhǎng)等用戶行為特征精確位置是是是333興趣愛好、行為習(xí)慣等經(jīng)緯度、軌跡通信內(nèi)容通話語(yǔ)音、短信內(nèi)容、電子郵件內(nèi)容、及時(shí)通信內(nèi)容、語(yǔ)音消息等通信記錄通訊錄是是是333來(lái)去電號(hào)碼、通話記錄聯(lián)系人列表、好友群組、黑名單群組等圖片及圖片信息、音視頻、日歷日程、備忘錄、文檔、文件多媒體數(shù)據(jù)瀏覽記錄密鑰是否是是是是是是33322222網(wǎng)頁(yè)瀏覽記錄、新聞瀏覽記錄等系統(tǒng)密鑰等密鑰信息不可變更硬件標(biāo)識(shí)符賬號(hào)信息SN、IMEI、SIM卡標(biāo)識(shí)微信賬號(hào)、微博