III移動(dòng)智能終端間換機(jī)應(yīng)用數(shù)據(jù)安全遷移規(guī)范范圍本文件規(guī)定了換機(jī)情況下的移動(dòng)智能終端間應(yīng)用數(shù)據(jù)安全遷移的相關(guān)要求，包括整體架構(gòu)、遷移分類、安全威脅，應(yīng)用數(shù)據(jù)遷移前、遷移中、遷移后的相關(guān)安全要求以及對(duì)應(yīng)的測(cè)試方法。本文件適用于移動(dòng)智能終端廠商、APP開發(fā)者的設(shè)計(jì)、生產(chǎn)活動(dòng)，也適用于主管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)智能終端間應(yīng)用數(shù)據(jù)遷移時(shí)的安全評(píng)估。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T2407-2021移動(dòng)智能終端安全能力技術(shù)要求術(shù)語和定義下列術(shù)語和定義適用于本文件。移動(dòng)智能終端smartmobileterminal能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用軟件開發(fā)接口的操作系統(tǒng)，具有安裝、加載和運(yùn)行應(yīng)用軟件能力的終端。[來源:YD/T2407-2021,3.1.1]移動(dòng)智能終端間換機(jī)應(yīng)用數(shù)據(jù)安全遷移概述整體架構(gòu)在換機(jī)場景下，換機(jī)產(chǎn)品首先從源終端獲取換機(jī)應(yīng)用數(shù)據(jù)，將其傳輸至目的終端，在目的終端中進(jìn)行轉(zhuǎn)換、存儲(chǔ)以便后續(xù)使用。移動(dòng)智能終端間換機(jī)應(yīng)用數(shù)據(jù)安全遷移整體架構(gòu)（端到端換機(jī)）見圖1，云端換機(jī)見圖2。注：換機(jī)應(yīng)用數(shù)據(jù)指的是在移動(dòng)智能終端處于換機(jī)場景時(shí)，所涉及到的待遷移應(yīng)用本身以及用戶使用應(yīng)用過程中產(chǎn)生的相關(guān)應(yīng)用數(shù)據(jù)。圖1移動(dòng)智能終端間換機(jī)應(yīng)用數(shù)據(jù)安全遷移整體架構(gòu)（端到端換機(jī)）圖2移動(dòng)智能終端間換機(jī)應(yīng)用數(shù)據(jù)安全遷移整體架構(gòu)（云端換機(jī)）上述兩個(gè)圖中的各個(gè)階段定義如下：——采集：換機(jī)產(chǎn)品在源終端采集換機(jī)應(yīng)用數(shù)據(jù)的過程；（端到端換機(jī)）——收集：換機(jī)產(chǎn)品在源終端收集換機(jī)應(yīng)用數(shù)據(jù)的過程；（云端換機(jī)）——傳輸：換機(jī)應(yīng)用數(shù)據(jù)從源終端傳輸至目的終端的過程；——存儲(chǔ)：換機(jī)應(yīng)用數(shù)據(jù)在目的終端上留存的過程；——使用：換機(jī)應(yīng)用數(shù)據(jù)在目的終端上因各業(yè)務(wù)目的被訪問、處理等操作的過程；——?jiǎng)h除：換機(jī)應(yīng)用數(shù)據(jù)從云端銷毀，且不可再訪問、恢復(fù)的過程。遷移分類根據(jù)換機(jī)過程中傳輸是否僅為端到端，可將移動(dòng)智能終端間換機(jī)應(yīng)用數(shù)據(jù)遷移分為兩種框架類型：端到端換機(jī)在換機(jī)過程中僅涉及移動(dòng)智能終端間的數(shù)據(jù)傳輸；云端換機(jī)在換機(jī)過程中，數(shù)據(jù)由源終端傳輸至云端服務(wù)器后，再傳輸至目的終端。安全威脅在上述流程中，根據(jù)換機(jī)過程可分為應(yīng)用數(shù)據(jù)遷移前、應(yīng)用數(shù)據(jù)遷移中、應(yīng)用數(shù)據(jù)遷移后，在這三個(gè)階段中因包含不同的操作而有相關(guān)的安全威脅，安全威脅如下：數(shù)據(jù)泄露：在整個(gè)換機(jī)流程中，都存在著數(shù)據(jù)泄露的風(fēng)險(xiǎn)，這類威脅通常來自竊聽等信息探測(cè)攻擊。數(shù)據(jù)完整性破壞：在數(shù)據(jù)傳輸、存儲(chǔ)、使用過程中，若沒有采取適當(dāng)?shù)陌踩胧?duì)其進(jìn)行保護(hù)，容易收到非授權(quán)的的增刪、修改等，導(dǎo)致后續(xù)數(shù)據(jù)無法正常使用。數(shù)據(jù)無法訪問：在數(shù)據(jù)存儲(chǔ)、使用過程中，若沒有采取合適的安全措施對(duì)其進(jìn)行保護(hù)，容易有數(shù)據(jù)被刪除的風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)無法訪問、不可用。應(yīng)用數(shù)據(jù)遷移前安全要求在開展數(shù)據(jù)遷移前涉及個(gè)人信息時(shí)，需滿足數(shù)據(jù)收集安全要求，其中包括：收集個(gè)人信息，應(yīng)當(dāng)遵照合法、正當(dāng)、必要的原則，公開收集規(guī)則，明示收集信息的方式和范圍；收集的個(gè)人信息類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量；收集個(gè)人信息，應(yīng)向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，并獲得個(gè)人信息主體的授權(quán)同意；收集敏感個(gè)人信息，應(yīng)征得個(gè)人信息主體的明示同意。在數(shù)據(jù)收集前后應(yīng)采用校驗(yàn)技術(shù)對(duì)數(shù)據(jù)完整性進(jìn)行校驗(yàn)；應(yīng)用數(shù)據(jù)遷移中安全要求在開展數(shù)據(jù)遷移時(shí)需滿足數(shù)據(jù)傳輸安全要求，其中包括：數(shù)據(jù)傳輸時(shí)應(yīng)建立安全的通信信道，例如使用TLSv1.2及以上版本進(jìn)行通信；采用的密碼技術(shù)應(yīng)符合國家行業(yè)主管部門的要求。應(yīng)用數(shù)據(jù)遷移后安全要求在開展數(shù)據(jù)遷移后，換機(jī)遷移的數(shù)據(jù)包需滿足數(shù)據(jù)存儲(chǔ)安全要求、數(shù)據(jù)使用安全要求、數(shù)據(jù)刪除安全要求：應(yīng)采用密碼技術(shù)保證數(shù)據(jù)機(jī)密性，采用的密碼技術(shù)應(yīng)符合國家行業(yè)主管部門的要求，保證數(shù)據(jù)在存儲(chǔ)和使用時(shí)的安全；應(yīng)設(shè)置合理的存儲(chǔ)期限，應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所需的最短時(shí)間。注：在數(shù)據(jù)遷移完成后，換機(jī)應(yīng)用可刪除相關(guān)緩存數(shù)據(jù)。若數(shù)據(jù)超出合理的存儲(chǔ)期限，應(yīng)對(duì)超期數(shù)據(jù)進(jìn)行刪除或匿名化處理。注：數(shù)據(jù)存儲(chǔ)安全和使用安全可由各應(yīng)用來確保。應(yīng)用數(shù)據(jù)安全遷移測(cè)試方法概述因遷移分類不同，所對(duì)應(yīng)的安全要求不同，測(cè)試方法也對(duì)應(yīng)的不同。下表列出不同的遷移分類需要滿足的安全要求，并根據(jù)安全要求對(duì)應(yīng)采取以下表述的測(cè)試方法。表1遷移分類對(duì)應(yīng)的各階段安全要求條款號(hào)端到端換機(jī)云端換機(jī)應(yīng)用數(shù)據(jù)遷移前安全要求5a)—√5b)√√應(yīng)用數(shù)據(jù)遷移中安全要求6a）√√6b）√√應(yīng)用數(shù)據(jù)遷移后安全要求7a）√√7b）—√7c）—√注：“√”項(xiàng)為需滿足的安全要求。應(yīng)用數(shù)據(jù)遷移前測(cè)試方法測(cè)試項(xiàng)a）：測(cè)評(píng)換機(jī)產(chǎn)品在收集個(gè)人信息時(shí)，已遵照合法、正當(dāng)、必要的原則，公開收集規(guī)則，明示收集信息的方式和范圍，測(cè)試方法如下：測(cè)試步驟：步驟1：收集的個(gè)人信息類型是否與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)，間接獲取個(gè)人信息的數(shù)量是否是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量；步驟2：在收集個(gè)人信息時(shí)，是否向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，并獲得個(gè)人信息主體的授權(quán)同意；步驟3：在收集敏感個(gè)人信息，是否征得個(gè)人信息主體的明示同意。預(yù)期結(jié)果：在步驟1之后，若符合，測(cè)試結(jié)果為“未見異?！?，可繼續(xù)執(zhí)行步驟2，否則為“不符合要求”，測(cè)評(píng)結(jié)束。在步驟2之后，若符合，測(cè)試結(jié)果為“未見異?！保衫^續(xù)執(zhí)行步驟3，否則為“不符合要求”，測(cè)評(píng)結(jié)束。在步驟3之后，若符合，測(cè)試結(jié)果為“未見異?！?，否則為“不符合要求”，測(cè)評(píng)結(jié)束。測(cè)試項(xiàng)b）：測(cè)評(píng)換機(jī)產(chǎn)品在數(shù)據(jù)收集前后，已對(duì)數(shù)據(jù)完整性進(jìn)行校驗(yàn)，測(cè)試方法如下：測(cè)試步驟：步驟1：是否在數(shù)據(jù)收集前后，采用校驗(yàn)技術(shù)對(duì)數(shù)據(jù)完整性進(jìn)行校驗(yàn)。預(yù)期結(jié)果：在步驟1之后，若符合，測(cè)試結(jié)果為“未見異常”，否則為“不符合要求”，測(cè)評(píng)結(jié)束。應(yīng)用數(shù)據(jù)遷移中測(cè)試方法測(cè)試項(xiàng)a）：測(cè)評(píng)換機(jī)產(chǎn)品在數(shù)據(jù)傳輸時(shí)已建立安全的通信信道進(jìn)行通信，測(cè)試方法如下：測(cè)試步驟：步驟1：數(shù)據(jù)傳輸時(shí)是否建立安全的通信信道進(jìn)行通信；預(yù)期結(jié)果：在步驟1之后，若符合，測(cè)試結(jié)果為“未見異?！?，否則為“不符合要求”，測(cè)評(píng)結(jié)束。測(cè)試項(xiàng)b）：測(cè)評(píng)換機(jī)產(chǎn)品在數(shù)據(jù)傳輸時(shí)已對(duì)相關(guān)數(shù)據(jù)進(jìn)行保護(hù)，測(cè)試方法如下：測(cè)試步驟：步驟1：采用的密碼技術(shù)是否符合國家行業(yè)主管部門的要求；預(yù)期結(jié)果：在步驟1之后，若符合，測(cè)試結(jié)果為“未見異?！?，否則為“不符合要求”，測(cè)評(píng)結(jié)束。應(yīng)用數(shù)據(jù)遷移后測(cè)試方法測(cè)試項(xiàng)a）：測(cè)評(píng)換機(jī)產(chǎn)品在數(shù)據(jù)存儲(chǔ)過程符合數(shù)據(jù)使用安全要求，測(cè)試方法如下：測(cè)試步驟：步驟1：是否采用密碼技術(shù)保證數(shù)據(jù)的機(jī)密性，保證數(shù)據(jù)在使用時(shí)的安全；步驟2：采用的密碼技術(shù)是否符合國家行業(yè)主管部門的要求。預(yù)期結(jié)果：在步驟1之后，若符合，測(cè)試結(jié)果為“未見異常”，可繼續(xù)執(zhí)行步驟2，否則為“不符合要求”，測(cè)評(píng)結(jié)束。在步驟2之后，若符合，測(cè)試結(jié)果為“未見異?！保駝t為“不符合要求”，測(cè)評(píng)結(jié)束。測(cè)試項(xiàng)b）：測(cè)評(píng)換機(jī)產(chǎn)品在數(shù)據(jù)存儲(chǔ)過程符合數(shù)據(jù)存儲(chǔ)安全要求，測(cè)試方法如下：測(cè)試步驟：步驟1：是否采用密碼技術(shù)保證數(shù)據(jù)的機(jī)密性，保證數(shù)據(jù)在存儲(chǔ)時(shí)的安全；步驟2：采用的密碼技術(shù)是否符合國家行業(yè)主管部門的要求；步驟3：是否設(shè)置合理的存儲(chǔ)期限，應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所需的最短時(shí)間；步驟4：檢查若數(shù)據(jù)超出合理的存儲(chǔ)期限，是否對(duì)超期數(shù)據(jù)進(jìn)行刪除或匿名化處理。預(yù)期結(jié)果：在步驟1之后，若符合，測(cè)試結(jié)果為“未見異?！保衫^續(xù)執(zhí)行步驟2，否則為“不符合要求”，測(cè)評(píng)結(jié)束。在步驟2之后，若符合，測(cè)試結(jié)果為“未見異?！?，可繼續(xù)執(zhí)行步驟3，否則為“不符合要求”，測(cè)評(píng)結(jié)束。在步驟3之后，若符合，測(cè)試結(jié)果為“未見異?！保衫^續(xù)