具有融合功能的移動終端安全能力國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T39575—2020 Ⅲ 12規(guī)范性引用文件 1 1 13.2縮略語 14具有融合功能的移動終端安全架構(gòu) 24.1安全架構(gòu)概述 24.2硬件安全目標 24.3操作系統(tǒng)安全目標 24.4應(yīng)用軟件安全目標 24.5通信連接安全目標 24.6個人信息安全目標 25具有融合功能的移動終端安全技術(shù)要求 35.1硬件安全 35.1.1標識唯一 35.1.2設(shè)計安全 35.1.3防止物理攻擊 35.2操作系統(tǒng)及應(yīng)用軟件安全 35.2.1安全引導(dǎo) 35.2.2完整性校驗 35.2.3終端接入認證 35.2.4標識與鑒別 35.2.5訪問控制 35.2.6權(quán)限控制 45.2.7安全域隔離 45.2.8日志審計 45.2.9系統(tǒng)安全性 45.2.10升級更新 45.2.11軟件安全 45.3通信連接安全 55.3.1網(wǎng)絡(luò)接入安全 55.3.2外圍接口安全 55.3.3數(shù)據(jù)傳輸完整性 55.3.4數(shù)據(jù)傳輸保密性 55.3.5數(shù)據(jù)傳輸健壯性 5ⅡGB/T39575—20205.4個人信息安全 55.4.1個人信息采集 5.4.2個人信息存儲 55.4.3個人信息加工 5.4.4個人信息轉(zhuǎn)移 5.4.5個人信息刪除 參考文獻………………………7ⅢGB/T39575—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標準由中華人民共和國工業(yè)和信息化部提出。本標準由全國通信標準化技術(shù)委員會(SAC/TC485)歸口。本標準起草單位：中國信息通信研究院、高通無線通信技術(shù)(中國)有限公司、真珍斑馬技術(shù)貿(mào)易(上海)有限公司、聯(lián)想移動通信科技有限公司。GB/T39575—2020隨著移動互聯(lián)網(wǎng)的快速發(fā)展，傳統(tǒng)智能終端手機、平板電腦等，并不能完全滿足用戶的使用需求。因此出現(xiàn)了如車載智能終端、可穿戴智能終端、智能家居等，很多具有融合功能的移動終端。用戶在享受具有融合功能的移動終端帶來的豐富多彩的功能時，卻也面臨著很多安全風(fēng)險。近年來，在具有融合功能的移動終端上惡意吸費、隱私泄露等安全事件頻發(fā)，大大影響到了用戶的使用，也制約了其發(fā)展。究其原因，融合功能逐漸增多，但是終端設(shè)計本身并沒有過多的安全考慮，尤其對于數(shù)據(jù)通信傳輸沒有適當(dāng)?shù)陌踩Ｗo，造成了個人信息泄漏、資費損失等安全問題。因此，有必要對具有融合功能的移動終本標準的制定旨在規(guī)范具有融合功能的移動終端安全技術(shù)要求，提高其安全防護能力，從而防范終端上的各種安全威脅，避免用戶的利益受到損害。1GB/T39575—2020具有融合功能的移動終端安全能力技術(shù)要求下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文YD/T3082—2016移動智能終端上的個人信息保護技術(shù)要求YD/T3228—2017移動應(yīng)用軟件安全評估方法3.1.1融合功能的終端設(shè)備。3.1.2基于終端硬件及軟件資源和能力，在終端上承載的除語音和數(shù)據(jù)通信以外非通信行業(yè)功能(例如：3.1.3通過模糊化等方法處理原始數(shù)據(jù)，以實現(xiàn)屏蔽敏感數(shù)據(jù)且屏蔽后的數(shù)據(jù)不可逆向恢復(fù)的數(shù)據(jù)保護方式。3.1.4算機數(shù)據(jù)。GB/T39575—2020API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)CNVD:國家信息安全漏洞共享平臺(ChinaNationalVulnerabilityDatabase)CNNVD:中國國家信息安全漏洞庫(ChinaNationalVulnerabilityDatabaseofInformationSecurity)NFC:近場通信(NearFieldCommunication)SD:安全數(shù)字存儲卡(SecureDigitalMemoryCard)USB:通用串行總線(UniversalSerialBus)WLAN:無線局域網(wǎng)(WirelessLocalAreaNetwork)4具有融合功能的移動終端安全架構(gòu)4.1安全架構(gòu)概述圖1為具有融合功能的移動終端安全架構(gòu)，主要包括5個部分：硬件安全、操作系統(tǒng)安全、應(yīng)用軟件硬件驅(qū)動、軟件系統(tǒng)內(nèi)核、各種函數(shù)庫、基礎(chǔ)服務(wù)等；應(yīng)用軟件主要包括運行于系統(tǒng)之上的各種本地及Web應(yīng)用，包括消費類應(yīng)用、行業(yè)應(yīng)用等各類應(yīng)用軟件；通信連接主要包括網(wǎng)絡(luò)接入、通信過程、外圍接口。應(yīng)用軟件安全個人信息安全操作系統(tǒng)安全通信連接安全硬件安全圖1具有融合功能的移動終端安全框架4.2硬件安全目標具有融合功能的移動終端硬件安全目標是保證終端內(nèi)部芯片數(shù)據(jù)存儲和運算的安全性，能夠?qū)?.3操作系統(tǒng)安全目標操作系統(tǒng)安全目標是保證符合終端使用場景的身份權(quán)限管理和訪問控制，能夠正確地響應(yīng)授權(quán)操作和處理異常行為，保證系統(tǒng)數(shù)據(jù)的保密性和完整性，保證系統(tǒng)能按照正常預(yù)期運行。4.4應(yīng)用軟件安全目標應(yīng)用軟件安全目標是保證運行在操作系統(tǒng)上的應(yīng)用軟件具備來源標識和保密性、完整性防護措施，可以對抗逆向分析，保證敏感行為可以得到控制。4.5通信連接安全目標通信連接安全目標是保證終端所采用的無線或有線傳輸數(shù)據(jù)時，采取必要的加密和完整性校驗手4.6個人信息安全目標非法篡改，保證數(shù)據(jù)在生命周期各環(huán)節(jié)的安全性。23GB/T39575—20205具有融合功能的移動終端安全技術(shù)要求5.1硬件安全終端硬件應(yīng)具備唯一可識別性，硬件標識區(qū)不可被改寫。芯片應(yīng)不存在能夠使廠商在未獲得用戶授權(quán)的情況下，對芯片內(nèi)存進行訪問或更改芯片功能的隱蔽接口，包括在芯片設(shè)計驗證階段使用的調(diào)試接口。值不低于128比特、采用安全區(qū)域運行等。具有融合功能的移動終端硬件芯片宜具有防物理攻擊的能力，防止信息泄露。攻擊手段包括但不限于非侵入式攻擊、半侵入式攻擊和侵入式攻擊。芯片加密模塊應(yīng)支持防旁路攻擊，以及抵抗錯誤注入攻擊。5.2操作系統(tǒng)及應(yīng)用軟件安全操作系統(tǒng)應(yīng)采用完整性校驗手段對核心服務(wù)、安全網(wǎng)關(guān)、權(quán)限管理等關(guān)鍵代碼或文件進行校驗，防止關(guān)鍵文件被篡改。應(yīng)通過數(shù)字簽名、證書或其他方式保證只有通過認證的終端才可以接入、使用和操作融合功能。避用戶在第一次使用時，操作系統(tǒng)應(yīng)對用戶配置標識，且在整個生命周期內(nèi)實現(xiàn)標識唯一，保證終端所有使用行為可追溯到用戶主體。在用戶執(zhí)行任何與操作系統(tǒng)安全功能相關(guān)操作之前應(yīng)對用戶進行鑒別。鑒別信息應(yīng)是不可見的，應(yīng)采用加密方法對鑒別信息的存儲進行安全保護。當(dāng)用戶執(zhí)行鑒別失敗達到操作系統(tǒng)預(yù)定義閾值時，系統(tǒng)應(yīng)采取安全措施執(zhí)行鑒別失敗處理。終端應(yīng)提供訪問控制機制，防止用戶或應(yīng)用軟件非授權(quán)訪問終端應(yīng)用軟件、數(shù)據(jù)等資源。訪問控制策略應(yīng)按照預(yù)定義方式執(zhí)行，僅授權(quán)用戶可以更改，宜采用安全策略模型實現(xiàn)強制訪問控制。4GB/T39575—2020若終端除預(yù)置應(yīng)用軟件外，還可安裝其他應(yīng)用軟件，則終端應(yīng)為授權(quán)用戶提供權(quán)限控制機制，防止非預(yù)置應(yīng)用軟件非授權(quán)訪問終端敏感API。終端應(yīng)對系統(tǒng)資源及各類數(shù)據(jù)進行安全域劃分，不同安全域之間應(yīng)有相應(yīng)的安全策略，安全域之間的安全策略應(yīng)通過相應(yīng)的訪問控制機制實現(xiàn)。審計記錄應(yīng)僅支持授權(quán)管理員訪問。具有融合功能的移動終端應(yīng)及時修復(fù)已知安全漏洞，應(yīng)不具明顯的嚴重漏洞，宜保證終端不具有CNVD或CNNVD所公布的6個月以前的高危及以上漏洞，防止終端遭受惡意軟件攻擊。終端應(yīng)提供升級更新功能，且能夠?qū)Ω聛碓催M行鑒別，并對更新文件完整性進行校驗，防止非授權(quán)更新。應(yīng)具有原始數(shù)據(jù)備份能力，且安全屬性在升級前后保持一致。應(yīng)能夠進行必要的回滾操作，避免更新失敗導(dǎo)致系統(tǒng)失效。支持融合功能的應(yīng)用軟件應(yīng)預(yù)置于具有融合功能的移動終端內(nèi)，或僅可從授權(quán)渠道實現(xiàn)應(yīng)用的下應(yīng)用軟件應(yīng)采用簽名認證機制，終端應(yīng)可識別應(yīng)用軟件簽名狀態(tài)，僅可安裝經(jīng)過用戶授權(quán)或經(jīng)過簽名認證的應(yīng)用軟件。支持融合功能的應(yīng)用軟件應(yīng)采取必要的安全機制，防止軟件被逆向分析，應(yīng)至少包括反編譯、反盜版防護，相關(guān)要求見YD/T3228—2017中6.5.1的內(nèi)容。支持融合功能的應(yīng)用軟件，操作涉及用戶個人信息時，在操作之前應(yīng)支持必要的身份認證、登陸鑒權(quán)環(huán)節(jié)，防止非授權(quán)用戶擅自使用融合功能。5GB/T39575—2020在進行高風(fēng)險敏感業(yè)務(wù)操作(例如支付類業(yè)務(wù))前，宜采用多種認證方式進行多次認證，例如短信驗終端預(yù)置應(yīng)用軟件應(yīng)在業(yè)務(wù)范圍內(nèi)申請和使用系統(tǒng)權(quán)限和資源，防止應(yīng)用軟件權(quán)限濫用。支持融合功能的應(yīng)用軟件應(yīng)對不同用戶可使用的業(yè)務(wù)進行分權(quán)管理，采用權(quán)限最小化原則，避免用戶權(quán)限濫用發(fā)生。5.3通信連接安全具有融合功能的移動終端應(yīng)支持安全協(xié)議在終端側(cè)的實現(xiàn)。支持接入網(wǎng)絡(luò)中的鑒權(quán)和認證、加密傳輸?shù)劝踩珨U展功能，協(xié)議安全性應(yīng)符合相應(yīng)國家標準或行業(yè)標準。應(yīng)支持相應(yīng)融合功能協(xié)議在終端側(cè)的實現(xiàn)，協(xié)議安全部分應(yīng)符合相應(yīng)國家或行業(yè)標準。終端不應(yīng)存在未經(jīng)聲明的外圍接口。當(dāng)終端外圍接口(包括但不限于WLAN、藍牙、NFC、USB、SD)建立數(shù)據(jù)連接及傳輸時，終端應(yīng)能夠發(fā)現(xiàn)并提示用戶狀態(tài)，保證連接的可執(zhí)性和可控性。宜禁用或授權(quán)使用終端閑置的物理端口，同時應(yīng)禁用終端的外接存儲設(shè)備自啟動功能。具有融合功能的移動終端與融合功能平臺的通信數(shù)據(jù)應(yīng)采用完整性檢驗機制，保證數(shù)據(jù)傳輸完整具有融合功能的移動終端與融合功能平臺的通信數(shù)據(jù)應(yīng)提供加密傳輸功能，所采用的加密算法，應(yīng)符合國家或行業(yè)相關(guān)標準規(guī)定；與融合功能平臺的通信信道宜與公開網(wǎng)絡(luò)邏輯隔離，保證數(shù)據(jù)傳輸通道的保密性。具有融合功能的移動終端應(yīng)正確處理融合功能相關(guān)信息，當(dāng)接收到非法信息時應(yīng)及時響應(yīng)，并采用相應(yīng)技術(shù)處理，防止拒絕服務(wù)攻擊等異常情況發(fā)生。5.4個人信息安全具有融合功能的移動終端設(shè)備對個人信息的采集應(yīng)在提供業(yè)務(wù)服務(wù)的同時進行，需要收集個人信息時，應(yīng)在收集前明示收集的目的和范圍，并且只有在用戶同意的情況下方可繼續(xù)。當(dāng)個人信息存儲在終端內(nèi)部時，應(yīng)為數(shù)據(jù)文件提供訪問控制機制，防止未授權(quán)訪問。存儲賬戶設(shè)置類、傳感采集類、金融支付類數(shù)據(jù)時，應(yīng)采用密文方式存儲。個人信息類型定義見YD/T3082—2016。6GB/T39575—2020具有融合功能的移動終端加工個人信息前，應(yīng)明示加工數(shù)據(jù)的目的和范圍，并提供訪問控制機制，對數(shù)據(jù)設(shè)置適當(dāng)操作權(quán)限，防止未經(jīng)授權(quán)的訪問和操作。應(yīng)對傳感采集類數(shù)據(jù)采取適當(dāng)?shù)拿撁舸胧┘庸ず筮M行存儲，避免存儲其原始數(shù)據(jù)。具有融合功能的移動終端進行個人信息轉(zhuǎn)移應(yīng)按照約定目的和用途進行，傳輸數(shù)據(jù)之前應(yīng)對雙方進行身份認證和授權(quán)。若通過公共網(wǎng)絡(luò)傳輸賬戶設(shè)置類、傳感采集類、金融支付類個人信息時，應(yīng)采用數(shù)字簽名等技術(shù)手段保證數(shù)據(jù)的完整性和抗抵賴性，同時應(yīng)采用密文方式傳輸。宜先對個人信息進行脫敏加工，消除能夠識別特定個體的所有數(shù)據(jù)字段后再進行轉(zhuǎn)移。具有融合功能的移動終端應(yīng)提供刪除功能，允許授權(quán)用戶自行刪除