1、GB/T39720-2020信息安全技术移动智能终端安全技术要求及测试评价方法1范围本文件规定了移动智能终端安全技术要求及测试评价方法,包括硬件安全、系统安全、应用软件安全、通信连接安全、用户数据安全,本文件适用于移动智能终端的设计、开发,测试和评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T32927信息安全技术移动智能终端安全架构GB/T35273信息安全技术个人信息安全规范3术语和定义GB/
2、T25069、GB/T32927、GB/T35273界定的以及下列术语和定义适用于本文件。3.1移动智能终端smart mobile terminal具有能够提供应用程序开发接口的开放系统,并能够安装和运行第三方应用软件的移动终端。来源:GB/T32927一2016,3.1.9,有修改3.2用户ser使用移动智能终端,与移动智能终端进行交互的对象。来源:GB/T32927一2016,3.1.113.3用户数据user data由用户产生或为用户服务的数据,包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进人用户数据区的数据等。来源.GB/T32927一2016.3.1.1
3、23.4移动应用软件mobile application移动智能终端系统之上安装的、向用户提供服务功能的应用软件。3.5访问控制access control一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。GB/T39720-2020来源:GB/T32927-2016,3.1.53.6授权authorization根据预先认可的安全策略,赋予主体可实施相应行为权限的过程。来源:GB/T32927一2016,3.1.7,有修改3.7数字签名digital signature附加在数据单元上的数据,或是对数据单元所做的密码变换,这种数据或变换允许数据单元的接收者用以证明数据单元的
4、来源和完整性,并保护数据单元的发送者和接收者以防止数据被第三方伪造,保护发送者以防止被接收者伪造。来源:IS0/1EC11770-3:2015,3.74缩略语下列缩略语适用于本文件。API:应用程序编程接口(Application Programming Interface)NFC:近场通信(Near Field Communication).SD:安全数字存储卡(Secure Digital memory card)USB:通用串行总线(Universal Serial Bus)WLAN:无线局域网(Wireless Local Area Network)5概述移动智能终端安全架构主要包括5个部分:硬件安全、系统安全、移动应用软件(以下简称“应用软件”)安全、通信连接安全和用户数据安全。硬件主要包括基础硬件模块、硬件接口和外设;系统主要包括硬件驱动、软件系统内核、各种函数库、基础服务等:应用软件主要包括运行在移动智能终端系统上的各种本地及Wb应用,包括消费类应用、行业应用等各类别应用软件;通信连接主要包括网络接人、通信过程、外围接口:用户数据包括移动智能终端上的用户数据及应用软件产生的用户数据。如图1所示,应用软件安全用通信二系统安全安安硬件安全图1移动智能终端安全架构本文件凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的,应遵循密码相关国家标准和行业标准,2
