移動智能終端安全能力技術要求標準解讀

謝利濤

（河南省電子產品質量監督檢驗所，河南 鄭州，450003）

移動智能終端蓬勃發展的同時，其所帶來的安全問題也不容忽視。除惡意吸費軟件、系統功能破壞及遠程終端控制等傳統問題外，移動支付、位置信息等新技術也對智能終端安全提出了新要求。工信部發布了《關于加強移動智能終端管理的通知》，通過規范移動智能終端的安全技術標準與測試方法，提高智能終端的安全性。該文就YD/T2407-2013 《移動智能終端安全能力技術要求》標準的范圍和主要內容做簡要介紹。

1 范圍

標準規定了移動智能終端安全能力的技術要求，包括移動智能終端硬件安全能力、移動智能終端操作系統安全能力、移動智能終端外圍接口安全能力、移動智能終端應用層安全要求、移動智能終端用戶數據保護安全能力等，并對安全能力進行了分級。

該標準適用于各種制式的移動智能終端，個別條款不適用于特殊行業、專業應用，其他終端也可參考使用。

2 移動智能終端安全能力框架及目標

2.1 安全能力框架

圖1為移動智能終端安全能力框架，主要包括5個部分：最底層是移動智能終端硬件安全能力，之上為操作系統安全能力，頂層為應用層安全要求，外圍接口安全能力涉及操作系統層面和硬件安全層面，用戶數據保護安全能力涉及硬件、操作系統和應用軟件3個層面。

圖1 移動智能終端安全能力框架

2.2 安全目標

2.2.1 硬件安全目標是在芯片級保證移動通信終端內部閃存和基帶的安全，確保芯片內系統程序、終端參數、安全數據、用戶數據不被篡改或非法獲取。

2.2.2 操作系統安全目標是達到操作系統對系統資源調用的監控、保護和提醒，確保涉及安全的系統行為總是在受控的狀態下，不會出現用戶在不知情情況下某種行為的執行，或者用戶不可控行為的執行。

2.2.3 外圍接口安全目標是確保用戶對外圍接口的連接及數據傳輸的可知和可控。

2.2.4 應用層安全目標是要保證移動智能終端對要安裝在其上的應用軟件可進行來源的識別，對已經安裝在其上的應用軟件可以進行敏感行為的控制。

2.2.5 用戶數據保護安全目標是要保證用戶數據的安全存儲，確保用戶數據不被非法訪問、不被非法獲取、不被非法篡改，同時能夠通過備份保證用戶數據的可靠恢復。

3 主要技術要求

3.1 基本要求

移動智能終端應通過給用戶相關提示和讓用戶確認的方式來防范安全威脅，當第三方應用調用相關功能時，操作系統應具備給用戶相關提示和讓用戶確認的能力。

給用戶的提示可以是圖標提示、文字提示或其他明顯的提示方式。在操作執行期間，提示應足夠引起用戶的注意。

用戶確認應使用戶有選擇的權利，即用戶應能確認也能取消。

3.2 硬件安全能力要求

如果移動智能終端硬件提供了遠程操作手段，則終端應對其遠程操作手段進行保護，防止遠程操作被惡意利用。

3.3 操作系統安全能力要求

3.3.1 安全調用控制能力

（1）通信類功能受控機制

應用軟件在執行撥打電話、三方通話、發送短信、發送彩信和發送郵件操作時，應應在用戶確認的情況下，相應操作才能執行。

（2）移動通信網絡數據連接

a）移動智能終端應提供開關，可開啟/關閉移動通信網絡數據連接；

b）應用軟件調用開啟移動通信網絡數據連接功能時，應給用戶相應的提示，當用戶確認后連接方可開啟；

c）當移動通信網絡的數據連接處于已連接狀態或正在傳送數據時，終端應在用戶主界面上給用戶相應的狀態提示，并且兩種狀態提示應不同。

（3） WLAN 網絡連接

a）移動智能終端應提供開關，可開啟/關閉WLAN網絡連接；

b）應用軟件調用開啟WLAN網絡連接功能時，應給用戶相應的提示，當用戶確認后連接方可開啟；

c）當WLAN網絡連接處于已連接狀態或正在傳送數據時，終端應在用戶主界面上給用戶相應的狀態提示，并且兩種狀態提示應不同。

3.3.2 本地敏感功能受控機制

（1） 定位功能

應用軟件調用定位功能時，終端應在用戶確認的情況下才能調用。調用后，終端宜在用戶主界面上給用戶相應的狀態提示。

（2） 通話錄音功能

當應用軟件調用啟動通話錄音時，應在用戶確認的情況下才能開啟。

（3）本地錄音功能

應用軟件調用啟動本地錄音功能時，應在用戶確認的情況下才能啟動錄音操作。

（4）對用戶數據的操作

移動智能終端操作系統應提供對用戶數據保護的功能，能夠對電話本數據、通話記錄、短信數據、彩信數據進行保護。

3.3.3 操作系統的更新

移動智能終端通常執行授權的操作系統更新，當不能保證操作系統安全的更新時，應在說明書中明示用戶可能帶來的安全風險。

3.4 外圍接口安全能力要求

3.4.1 無線外圍接口

（1）接口開啟/關閉受控機制

對于具備藍牙、NFC功能的移動智能終端應具備開關，可開啟/關閉藍牙、NFC等終端所支持的無線連接方式。

當應用軟件調用開啟無線外圍接口時，終端應給用戶相應的提示，當用戶確認后連接方可開啟。

（2）接口連接建立的確認機制

當通過無線外圍接口（僅適用于藍牙）與不同設備進行第一次連接時，終端能夠發現該連接并給用戶相應的提示，當用戶確認建立連接時，連接才可建立。

（3）接口連接狀態提示

當移動智能終端的無線外圍接口藍牙已開啟、通過無線外圍接口藍牙建立數據連接、無線外圍接口NFC已開啟和通過無線外圍接口NFC建立數據連接時，移動終端宜在用戶主界面上給用戶相應的狀態提示（圖標、聲音或振動等）。并且開啟狀態提示和數據連接狀態提示應不同。

（4）接口數據傳輸的受控機制

當移動智能終端與其他設備已經通過無線外圍接口（藍牙或NFC）實現連接，此時通過無線外圍接口進行文件數據傳輸時，終端應給用戶相應的提示。

3.4.2 有線外圍接口

（1）有線外圍接口連接建立的確認機制

對于僅用于充電或僅用于數據連接的有線外圍接口，當通過該接口建立連接時，移動終端應給用戶相應的提示。

（2） USB 存儲模式的安全機制

如果移動智能終端支持內置式USB存儲模式（U盤模式），則應提供訪問控制方式。

3.5 移動智能終端應用層安全要求

3.5.1 應用軟件安全配置能力要求

移動智能終端可提供機制對所安裝的第三方應用軟件的調用行為進行配置，包括對撥打電話、發起三方通話、發送短信、發送彩信、調用移動通信網絡數據連接、調用定位功能、進行通話錄音、本地錄音、拍照/攝像、訪問電話本、訪問通話記錄、訪問短信和訪問彩信的控制。

對以上調用行為進行控制至少有允許調用和禁止調用兩種狀態

3.5.2 應用軟件安全認證機制要求

（1） 非認證簽名要求

如果支持對未經認證簽名的軟件下載和應用，在進行應用軟件安裝時移動智能終端應能夠識別應用軟件的簽名狀態，并能夠根據簽名狀態給用戶相應的提示。

（2）認證簽名要求

如果采用認證簽名機制，在此情況下，未經過認證簽名的應用軟件僅當用戶進行確認后才能執行下一步操作。

(3) 移動通信網絡開機自啟動程序監控能力

如果具備第三方應用開機自啟動程序的能力，應可以瀏覽和配置應用程序是否開機自啟動。

(4)預置應用軟件安全要求

移動智能終端中預置的應用軟件未向用戶明示且未經用戶同意時，不得擅自收集和修改用戶數據；不得擅自調用終端通信功能，造成用戶流量消耗、費用損失和數據泄露。

(5)聯網軟件安全行為要求

移動智能終端中預置的聯網應用軟件參見YD/T 2382的相關要求。

3.6 用戶數據安全保護能力要求

3.6.1 移動智能終端的密碼保護

終端應支持開機時的密碼保護和開機后鎖定狀態下的密碼保護，例如口令、圖案、生物特征識別等多種形態的密碼。

3.6.2 文件類用戶數據的授權訪問

終端提供文件類用戶數據的授權訪問能力，當第三方應用訪問被保護的用戶數據時，應在用戶確認的情況下才能訪問。文件類用戶數據包括圖片、視頻、音頻和文檔等。

3.6.3 用戶數據的加密存儲

未經授權的任何實體應不能從終端的加密存儲區域的數據中還原出用戶私密數據的真實內容。

3.6.4 用戶數據的徹底刪除

終端提供數據徹底刪除功能，以保證被刪除的用戶數據不可再恢復出來。

3.6.5 用戶數據的遠程保護

終端應提供用戶數據的遠程保護能力，以便用戶在手機遺失或其他情況下，終端中的用戶數據不被泄露。遠程保護能力包括遠程鎖定移動智能終端和遠程銷毀用戶數據。移動智能終端提供的遠程保護功能也應具備安全設置，確保遠程保護功能僅在達到了用戶預設條件的情況下才會啟動。

3.6.6 用戶數據的轉移備份

移動智能終端應具備用戶數據（至少包括電話本、短信、多媒體數據）的轉移及備份能力。

用戶數據的轉移備份包括本地備份和遠程備份兩種，移動智能終端應至少支持一種備份方式。

4 功能限制性要求

移動智能終端應當真實傳送信息，不得通過對傳送信息的處理或傳送虛假信息使信息接收者錯誤識別特定通信主體等，不得預置可改變通信系統提示信號的應用軟件；不得預置國家法律法規禁止的信息內容，也不得預置為傳播發布國家法律法規禁止信息內容提供服務的應用軟件。

5 安全能力分級

根據移動智能終端所支持的安全能力的程度，自低到高劃分為5個等級。

6 結語

與該標準配套的方法標準是YD/T2408—2013《移動智能終端安全能力測試方法》。建議由相關電子行業標準化管理機構，利用各種條件盡最大可能向所有相關產業集團宣貫該標準。建議在該標準從發行之日起，各相關企業及檢測機構、認證機構等即以最快的速度貫徹實施。

YD/T 2407-2013 移動智能終端安全能力技術要求[S]