YD∕T 2408-2021 移动智能终端安全能力测试方法(通信).pdf
《YD∕T 2408-2021 移动智能终端安全能力测试方法(通信).pdf》由会员分享,可在线阅读,更多相关《YD∕T 2408-2021 移动智能终端安全能力测试方法(通信).pdf(70页珍藏版)》请在咨信网上搜索。
1、ICS 33.060 M 36 YD 中华人民共和国通信行业标准 YD/T 2408XXXX 代替 YD/T 2408- -2013 移动智能终端安全能力测试方法 Test methods for security capability of smart mobile terminal XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国工业和信息化部 发布 YD/T 2408XXXXI目 次 前言 .II 引言 .VI 1 范围 .3 2 规范性引用文件 .3 3 术语、定义和缩略语 .3 3.1 术语和定义 .3 3.2 缩略语 .4 4 移动智能终端安全
2、能力测试方法 .4 4.1 概述及基本要求 .4 4.2 移动智能终端硬件安全能力 .5 4.3 移动智能终端操作系统安全能力 .7 4.4 移动智能终端外围接口安全能力 .40 4.5 移动智能终端应用层安全能力 .46 4.6 移动智能终端用户数据安全保护能力 .58 5 移动智能终端功能限制性要求测试方法 .63 YD/T 2408XXXXII前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准代替YD/T 2408- -2013移动智能终端安全能力测试方法,与YD/T 2408- -2013相比,主要的技术变化如下: 删除了规范性引用文件“YD/T 1186 移动终端
3、芯片安全技术要求和测试方法” 增加了了规范性引用文件“YD/T 3228-2017 移动应用软件安全评估方法” 修改了术语和定义“移动智能终端”的定义(见3.1.1,2013年版的3.1.1); 修改了术语和定义“移动智能终端操作系统”的定义(见3.1.8,2013年版的3.1.8); 增加了术语和定义“移动智能终端应用软件”的定义(见4.2.9); 增加了术语和定义“移动智能终端预置应用软件”的定义(见4.2.10); 删除了缩略语“LAWMO”的内容(见3.2,2013年版的3.2); 增加了缩略语“CNNVD”、“CNVD”、“NFC”的内容(见3.2,2013年版的3.2); 修改了“
4、概述和基本要求”的内容(见4.1,2013年版的4.1); 增加了“安全运行区域”的安全能力测试方法(见4.2.1); 增加了“安全启动”的安全能力测试方法(见4.2.2); 增加了“防止物理攻击能力”的安全能力测试方法(见4.2.3); 增加了“安全属性”的安全能力测试方法(见4.2.4); 增加了“根密钥生成与保护”的安全能力测试方法(见4.2.5); 增加了“安全处理单元”的安全能力测试方法(见4.2.6); 修改了“拨打电话的受控机制”的安全能力测试方法(见4.3.1.1.1,2013年版的4.3.1.1.1); 修改了“三方通话的受控机制”的安全能力测试方法(见4.3.1.1.2,2
5、013年版的4.3.1.1.2); 修改了“发送短信的受控机制”的安全能力测试方法(见4.3.1.1.3,2013年版的4.3.1.1.3); 修改了“发送彩信的受控机制”的安全能力测试方法(见4.3.1.1.4,2013年版的4.3.1.1.4); 修改了“发送邮件的受控机制”的安全能力测试方法(见4.3.1.1.5,2013年版的4.3.1.1.5); 修改了“移动通信网络数据连接开启/关闭的开关”的安全能力测试方法(见4.3.1.1.6.1,2013年版的4.3.1.1.6.1); 修改了“开启移动通信网络数据连接的受控机制”的安全能力测试方法(见4.3.1.1.6.2,2013年版的4
6、.3.1.1.6.2); 修改了“移动通信网络数据连接状态提示”的安全能力测试方法(见4.3.1.1.6.3,2013年版的4.3.1.1.6.3); 增加了“移动通信网络数据传输的受控机制”的安全能力测试方法(见4.3.1.1.6.4); 修改了“WLAN网络连接开启/关闭的开关”的安全能力测试方法(见4.3.1.1.7.1,2013年版的4.3.1.1.7.1); YD/T 2408XXXXIII修改了“开启WLAN网络连接的受控机制”的安全能力测试方法(见4.3.1.1.7.2,2013年版的4.3.1.1.7.2); 修改了“WLAN网络连接状态提示”的安全能力测试方法(见4.3.1.
7、1.7.3,2013年版的4.3.1.1.7.3) ; 修改了“调用定位功能的受控机制”的安全能力测试方法(见4.3.1.2.1.1,2013年版的4.3.1.2.1.1); 修改了“定位功能的状态显示”的安全能力测试方法(见4.3.1.2.1.2,2013年版的4.3.1.2.1.2); 修改了“通话录音功能启动的受控机制”的安全能力测试方法(见4.3.1.2.2,2013年版的4.3.1.2.2); 修改了“本地录音功能启动的受控机制”的安全能力测试方法(见4.3.1.2.3,2013年版的4.3.1.2.3); 增加了“后台截屏/录屏功能启动的受控机制”的安全能力测试方法(见4.3.1.
8、2.4); 修改了“拍照/摄像功能启动的受控机制”的安全能力测试方法(见4.3.1.2.5,2013年版的4.3.1.2.4); 增加了“接收短信功能启动的受控机制”的安全能力测试方法(见4.3.1.2.6); 修改了“电话本数据读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.1,2013年版的4.3.1.2.5.5); 修改了“通话记录读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.2,2013年版的4.3.1.2.5.6); 修改了“短信数据读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.3,2013年版的4.3.1.2.5.7); 修改了“彩信数据读操
9、作的受控机制”的安全能力测试方法(见4.3.1.2.7.4,2013年版的4.3.1.2.5.8); 增加了“上网记录读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.5); 增加了“日程表数据读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.6); 增加了“媒体影音数据读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.7); 增加了“生物特征识别信息读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.8); 增加了“设备唯一可识别信息读操作的受控机制”的安全能力测试方法(见4.3.1.2.7.9); 增加了“应用软件列表读操作的受控机制”的安全能力测试方
10、法(见4.3.1.2.7.10); 修改了“电话本数据修改(写和删除)操作的受控机制”的安全能力测试方法(见4.3.1.2.7.11,2013年版的4.3.1.2.5.1); 修改了 “通话记录修改 (写和删除) 操作的受控机制”的安全能力测试方法 (见4.3.1.2.7.12, 2013年版的4.3.1.2.5.2); 修改了 “短信数据修改 (写和删除) 操作的受控机制”的安全能力测试方法 (见4.3.1.2.7.13, 2013年版的4.3.1.2.5.3); 修改了 “彩信数据修改 (写和删除) 操作的受控机制”的安全能力测试方法 (见4.3.1.2.7.14, 2013年版的4.3.
11、1.2.5.4); YD/T 2408XXXXIV增加了“ 日程表数据修改(写和删除)操作的受控机制” 的安全能力测试方法(见4.3.1.2.7.15); 增加了“设备唯一可识别信息去标识化能力”的安全能力测试方法(见4.3.1.2.7.16); 增加了“安全调用目的统一明示”的安全能力测试方法(见4.3.1.3); 增加了“操作系统的更新更新受控”的安全能力测试方法(见4.3.2.1); 增加了“操作系统的更新自动更新”的安全能力测试方法(见4.3.2.2); 增加了“操作系统的更新下载”的安全能力测试方法(见4.3.2.3); 修改了“操作系统的更新授权更新”的安全能力测试方法(见4.3.
12、2.4,2013年版的4.3.1.3.1); 修改了“操作系统的更新风险提示”的安全能力测试方法(见4.3.2.5,2013年版的4.3.1.3.2); 增加了“多操作系统隔离要求”的安全能力测试方法(见4.3.3.1); 增加了“框架型操作系统安全要求”的安全能力测试方法(见4.3.3.2); 增加了“操作系统漏洞修复能力要求”的安全能力测试方法(见4.3.4.1); 增加了“操作系统漏洞修复要求”的安全能力测试方法(见4.3.4.2); 增加了“操作系统个人信息保护要求”的安全能力测试方法(见4.3.5.1); 增加了“操作系统敏感行为安全要求敏感行为”的安全能力测试方法(见4.3.5.2
13、.1); 增加了“操作系统敏感行为安全要求通信功能”的安全能力测试方法(见4.3.5.2.2); 增加了“移动智能终端识别和提醒不良信息能力”的安全能力测试方法(见4.3.6.1); 增加了“移动智能终端处置不良信息能力”的安全能力测试方法(见4.3.6.2); 修改了“蓝牙接口开启/关闭的开关”的安全能力测试方法(见4.4.1.1.1,2013年版的4.4.1.1.1) ; 修改了“蓝牙接口开启的受控机制”的安全能力测试方法(见4.4.1.1.2,2013年版的4.4.1.1.2); 修改了“NFC接口开启/关闭的开关”的安全能力测试方法(见4.4.1.1.3,2013年版的4.4.1.1.
14、3); 修改了“NFC接口开启的受控机制”的安全能力测试方法(见4.4.1.1.4,2013年版的4.4.1.1.4); 修改了“蓝牙配对连接的受控机制”的安全能力测试方法(见4.4.1.2,2013年版的4.4.1.2); 修改了“蓝牙接口连接状态显示”的安全能力测试方法(见4.4.1.3.1,2013年版的4.4.1.3.1); 修改了“NFC接口连接提示”的安全能力测试方法(见4.4.1.3.2,2013年版的4.4.1.3.2); 修改了“蓝牙接口数据传输受控机制”的安全能力测试方法(见4.4.1.4.1,2013年版的4.4.1.4.1); 修改了“NFC接口数据传输受控机制”的安全
15、能力测试方法(见4.4.1.4.2,2013年版的4.4.1.4.2) ; 修改了“应用软件安全配置能力”的安全能力测试方法(见4.5.1,2013年版的4.5.1); 增加了“应用软件调用行为记录基础要求”的安全能力测试方法(见4.5.2.1); 增加了“应用软件调用行为记录增强要求”的安全能力测试方法(见4.5.2.2); 修改了“非认证签名”的安全能力测试方法(见4.5.3.1,2013年版的4.5.2.1); 修改了“应用软件件自启动程序监控能力”的安全能力测试方法(见4.5.4,2013年版的4.5.3); 增加了“个人信息保护”的安全能力测试方法(见4.5.5.1); 修改了“收集
16、用户数据”的安全能力测试方法(见4.5.5.2,2013年版的4.5.4.1); YD/T 2408XXXXV修改了“修改用户数据”的安全能力测试方法(见4.5.5.3,2013年版的4.5.4.2); 增加了“数据录入行为”的安全能力测试方法(见4.5.5.4); 增加了“应用软件加密传输敏感数据行为”的安全能力测试方法(见4.5.5.5.1); 增加了“应用软件加密传输多媒体数据行为”的安全能力测试方法(见4.5.5.5.2); 增加了“应用软件组件访问控制行为”的安全能力测试方法(见4.5.5.6); 增加了“应用软件签名签名信息”的安全能力测试方法(见4.5.5.7.1); 增加了“应
17、用软件签名认证签名”的安全能力测试方法(见4.5.5.7.2); 增加了“应用软件更新受控要求”的安全能力测试方法(见4.5.5.8.1); 增加了“应用软件自动更新要求”的安全能力测试方法(见4.5.5.8.2); 增加了“应用软件更新包下载要求”的安全能力测试方法(见4.5.5.8.3); 增加了“应用软件热更新受控”的安全能力测试方法(见4.5.5.8.4); 增加了“应用软件更新风险提示”的安全能力测试方法(见4.5.5.8.5); 增加了“应用软件更新失败回滚”的安全能力测试方法(见4.5.5.8.6); 修改了“应用软件流量耗费行为”的安全能力测试方法(见4.5.5.9.1,201
18、3年版的4.5.4.3.1); 修改了“应用软件费用损失行为”的安全能力测试方法(见4.5.5.9.2,2013年版的4.5.4.3.2); 修改了“应用软件泄露敏感数据行为”的安全能力测试方法(见4.5.5.9.3,2013年版的4.5.4.3.3); 增加了“应用软件漏洞测试”的安全能力测试方法(见4.5.5.10); 增加了“锁定状态数据保护”的传输数据的安全能力测试方法(见4.6.1.3) 修改了“文件类用户数据的授权访问”的安全能力测试方法(见4.6.2,2013年版的4.6.2); 修改了“用户数据的彻底删除”的安全能力测试方法(见4.6.4,2013年版的4.6.4); 修改了“
19、用户数据的远程删除”的安全能力测试方法(见4.6.5.2,2013年版的4.6.5.2); 修改了“用户数据的本地备份”的安全能力测试方法(见4.6.6.1,2013年版的4.6.6.1); 本标准为移动智能终端安全系列标准之一,该系列标准的名称和结构预计如下: a)YD/T 2407 移动智能终端安全能力技术要求; b)YD/T 2408 移动智能终端安全能力测试方法。 请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:中国信息通信研究院、博鼎实华(北京) 技术有限公司、中国移动通信集团有限公司、华为技术有
20、限公司、荣耀终端有限公司、OPPO广东移动通信有限公司、高通无线通信技术(中国) 有限公司、微软(中国) 有限公司、北京奇虎科技有限公司、北京三星通信技术研究有限公司、维沃移动通信有限公司、北京小米移动软件有限公司。 本标准主要起草人 : 董霁,宁华,马鑫,潘娟,国炜,刘陶,傅山,詹维骁,汪薇薇,王艳红,魏凡星,王嘉义,武林娜,刘颖,谢春霞,杨天一,姚晓天,邱勤,张悦,衣强,常新苗,李腾,杜志敏,王江胜,赵中杰,刘献伦,姚一楠,吴春雨,吴越,贾科,江小威、常秀燕。 本标准于2013年4月首次发布,本次为第一次修订。 YD/T 2408XXXXVI引 言 随着移动智能终端的广泛应用以及功能的不断
21、扩展, 其使用过程中的安全问题被越来越多的用户所关注。近年来,恶意吸费、窃听、窃录、位置信息泄露等安全事件频发,使用户对移动智能终端的安全性产生顾虑,进而影响到移动智能终端和移动互联网应用的发展。本标准的制定,旨在通过提高移动智能终端的自身的安全防护能力,防范移动智能终端上的各种安全威胁,避免用户的利益受到损害,同时防止移动智能终端对移动通信网络安全产生不利影响。 本标准是移动智能终端安全能力技术要求 配套的测试方法。本标准针对技术要求提出的技术指标设计了相应的、科学的测试方法,用于验证移动智能终端是否满足技术要求规定的内容。本标准可用于对移动智能终端安全能力的管理。通过本标准可从测试角度保证
22、移动智能终端安全能力要求的实施,切实地提高移动智能终端的安全能力。 YD/T 2408XXXX3移动智能终端安全能力测试方法 1范围 本标准规定了移动智能终端安全能力的测试方法, 包括移动智能终端的硬件安全能力、 操作系统安全能力、外围接口安全能力、应用层安全能力和用户数据保护安全能力等的测试方法。 本标准适用于各种制式的移动智能终端,个别条款不适用于特殊行业、专业应用,其他终端参考使用。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YD/T 2407 YD
23、/T 3228-2017 移动智能终端安全能力技术要求 移动应用软件安全评估方法 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 移动智能终端 smart mobile terminal 能够接入移动通信网,具有能够提供应用软件开发接口的操作系统,具有安装、加载和运行应用软件能力的终端。 3.1.2 安全能力 security capability 在移动智能终端上可实现的,能够防范安全威胁的技术手段。 3.1.3 用户 user 使用移动智能终端资源的对象,包括人或第三方应用软件。 3.1.4 用户数据 user data 移动智能终端上存储的用户个人信息,
24、包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。 3.1.5 授权 authorization YD/T 2408XXXX4在用户身份经过认证后,根据预先设置的安全策略,授予用户相应权限的过程。 3.1.6 数字签名 digital signature 附在数据单元后面的数据, 或对数据单元进行密码变换得到的数据。 允许数据的接收者验证数据的来源和完整性,保护数据不被篡改、伪造,并保证数据的不可否认性。 3.1.7 代码签名 code signature 利用数字签名机制,由具有签名权限的实体对代码全部或部分功能进行签名的机制。 3.1.8 移动智
25、能终端操作系统 operating system of smart mobile terminal 运行在移动智能终端上的系统软件, 控制、 管理移动智能终端上的硬件和软件, 提供用户操作界面、应用软件编程接口和其他系统服务的应用软件。 3.1.9 移动智能终端应用软件 smart mobile terminal application 移动智能终端内, 能够利用移动智能终端操作系统提供的开发接口, 实现某项或某几项特定任务的计算机软件或者代码片段。 包含移动智能终端预置应用软件, 以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。 3.1.10
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YDT 2408-2021 移动智能终端安全能力测试方法通信 YD 2408 2021 移动 智能 终端 安全 能力 测试 方法 通信
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。