《移动终端双系统产品安全评价规范》(2017RB013)-编制说明

上传人:H****r 文档编号:719358 上传时间:2019-09-08 格式:DOC 页数:7 大小:66.50KB
返回 下载 相关 举报
《移动终端双系统产品安全评价规范》(2017RB013)-编制说明_第1页
第1页 / 共7页
《移动终端双系统产品安全评价规范》(2017RB013)-编制说明_第2页
第2页 / 共7页
《移动终端双系统产品安全评价规范》(2017RB013)-编制说明_第3页
第3页 / 共7页
点击查看更多>>
资源描述
附件7:认证认可行业标准草案编制说明(参考格式)1、基本信息1.1 标准草案名称中文移动终端双系统产品安全评价规范英文Security evaluation specifications for Dual-System of mobile device1.2 与国际标准和国外先进标准一致性程度情况等同采用修改采用非等效采用R未采用标准编号/英文名称/中文名称/1.3 任务来源批准立项的文件名称和文件号国家认监委关于下达2017年第一批认证认可行业标准制定计划项目的通知(国认科201770号)计划编号2017RB0131.4制(修)订制定 修订(被修订标准名称及编号: )1.5 起止时间2017年6 月16日- 2018年 12月31日1.6 标准起草单位中国网安安全审查技术与认证中心、信息产业信息安全测评中心1.7 起草组成员刘思蓉、霍珊珊、董晶晶、兰丹妮、崔颖、刘宇、刘健、毕强、贾雪飞、吴迪、布宁、胡杨1.8标准体系表内编号1.9调整情况2、背景情况2.1 目的、意义(工作开展背景及要求)随着移动互联网技术飞速发展,移动智能终端设备功能越来越强大,移动智能终端正逐渐由影响我们的生活开始走进我们的工作当中。移动智能终端为企事业单位提供了更为丰富的办公渠道、提高了工作效率,同时,也为企事业单位保护和维护系统安全、数据安全带来了更大的挑战。由于移动终端接入的开放性、灵活性和终端的多样性,因此其安全性一直备受关注。移动终端双系统产品应运而生,目前国内相关产品存出不穷。移动终端双系统产品是一种能够在移动终端上同时运行的两个系统,并能够实现两个系统数据相互隔离的移动终端操作系统产品。两个系统中,一个系统为安全系统(工作系统),一个为生活系统(个人系统),两个系统同时运行,互相隔离,兼顾工作使用和个人使用。工作系统和生活系统分别有各自独立的文件系统、应用和数据,工作系统通常安装内网的工作应用,生活系统安装个人应用,两个系统拥有各自独立的数据存储区,实现应用和数据的隔离。在工作系统内,通常可以根据用户需求,从硬件驱动层进行限制(包括禁用工作系统的USB口、蓝牙和SD卡等),能够有效防止数据通过移动终端泄露。近年来,移动终端双系统产品备受关注。因此,开展移动终端双系统产品安全评价研究就显得尤为迫切,制定移动终端双系统产品安全评价规范不仅可为用户选择移动终端双系统产品提供合理依据,也可为移动终端双系统产品的研制、生产、测试、评估和认证提供指导,对于保障信息系统安全运行和数据安全具有重要的意义。另外,目前国内移动终端双系统产品的实现水平不一,安全性参差不齐,与国外水平也存在一定的差距,在未来的应用中必将存在很大的安全隐患。因此,必须尽快地建立一套移动终端双系统产品的安全技术评价标准,来规范移动终端双系统产品功能及安全性的实现,为移动终端双系统产品在未来的应用中能够提供更安全的服务奠定更坚实的基础。2.2 与国内外相关标准、文献的关系1. 目前国内外尚无移动终端双系统产品安全技术相关标准,国内移动终端双系统行业的发展处于深度困扰和迷茫状态中。出台移动终端双系统产品的标准,对于移动终端双系统行业的发展具备至关重要的作用。2. 移动终端双系统产品安全评价规范制定项目将以GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则标准框架为基础,以提高和规范移动终端双系统产品安全技术为目标,充分考虑国内外主要移动终端双系统产品的特点和安全机制,提出安全技术的评价规范,为国内相关产品的研制、生产、测试和评估提供指导作用。3. GB/T 18336信息技术 安全技术 信息技术安全评估准则等同采用ISO/IEC 15408国际标准,对应CC标准(Common Criteria for Information Technology Security Evaluation:信息技术安全性通用评估准则)。4. 国外CC标准发展情况5. 国外,CC(Common Criteria)组织一直致力于信息安全通用评估准则(Common Criteria for Information Technology Security Evaluation,简称“CC”)的研究和发布。在1996年发布了信息技术安全评价通用准则V1.0版,1998年发布CC V2.0版,1999年升级为CC V2.1版,同年被国际标准组织ISO吸纳为国际标准,编号ISO/IEC 15408:1999。6. 随着各国在使用该标准过程中经验的积累和反馈,CC组织不断对该标准进行相关修订工作,2005年发布了CC V2.3版,该版本被ISO组织吸纳升级为国际标准ISO/IEC 15408:2005版。2006年CC组织发布了CC V3.1版,这次修订对上一版本进行了较大调整,经过多次反复的意见征集和讨论,最终在2009年7月发布最终修订版(V3.1 Revision 3 Final)。2009年12月,国际标准组织ISO通过吸收CC V3.1的内容,陆续将该标准的3部分完成发布(ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008),作废了ISO/IEC 15408:2005标准。7. 国内GB/T 18336标准情况8. 国内,2001年3月我国发布了信息安全技术评价的基础标准GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则(等同采用国际标准ISO/IEC 15408:1999)。在GB/T 18336中定义了评估信息技术产品和系统安全性所需的基础准则,是度量信息技术安全性的基准。该标准针对在安全性评估过程中,信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求,使各种相对独立的安全性评估结果具有可比性。9. 2008年6月根据相应国际标准的修订和更新情况,发布了该标准的新版本,编号为GB/T 18336-2008(等同采用国际标准ISO/IEC 15408:2005)。10. 2015年根据相应国际标准的修订和更新情况,发布了该标准的最新版本,编号为GB/T 18336-2015(等同采用国际标准ISO/IEC 15408:2009),目前该标准已经发布生效。3 编制过程3.1 分工情况项目(标准)承担单位:中国网安安全审查技术与认证中心、信息产业信息安全测评中心。本标准共分为6个章节,各部分内容及分工如下:13范围、规范性引用文件、术语定义和缩略语,由承担单位共同编制。4、评价过程:由中国网安安全审查技术与认证中心负责编制。5、评价要求:功能要求、安全要求、保障要求由信息产业信息安全测评中心负责编制,总体说明、质量保证能力基本要求、产品一致性检查由中国网安安全审查技术与认证中心负责编制。6、测评要求:由信息产业信息安全测评中心负责编制。3.2起草阶段2017年6月-2017年12月研究移动终端双系统产品有关规范,根据相关产品认证工作开展情况,在目前的草案基础上提出移动终端双系统产品安全评价规范组内讨论稿。2018年1月-2018年8月结合认证评价实践和产品调研情况,修订移动终端双系统产品安全评价规范组内讨论稿,形成征求意见稿。2018年9月-2018年10月对移动终端双系统产品安全评价规范(征求意见稿)向相关检测机构、技术专家、企业等以函件和会议形式征求意见。3.3征求意见阶段2018年911月,以邮件形式向相关第三方检测机构、技术专家、企业征求意见,并以会议形式向项目组及相关机构、专家征求意见,达成一致。3.4标准审定阶段4 主要技术内容的确定1、研究内容本项目研究内容包括:1)通过分析国内外移动终端双系统产品涉及的关键技术及工作原理,确定安全边界并分析其“安全环境”;2)结合产品功能和实际需求,识别移动终端双系统产品应用可能存在的威胁及安全假设;3)基于安全环境、安全威胁和应用假设的分析结果,提炼、标识移动终端双系统产品应达到的技术和管理“安全目标”;4)根据确定的安全目标,结合现有技术和法律法规要求提出对移动终端双系统产品的技术要求;5)基于产品功能和安全功能技术要求,研究制定相应的检测方法,并建立相关评价准则;6)根据我国产业发展现状,及用户应用和国家信息安全管理需要,确定有效实现移动终端双系统产品安全目标导出的安全要求,产品研发生产者信息安全保障能力应达到的级别,明确相关要求及方法;7)综合产品功能、安全功能、安全保障能力要求,及相应测试评价方法的研究结果,形成标准草案;8)根据标准验证应用结果、专家评审意见,修订标准草案,包括:在检测认证活动中验证应用标准,组织专家对标准草案及验证应用情况进行评审,遵循保证标准科学性、可操作性、一定前瞻性等原则,对标准草案进行修订。2、技术方案本项目拟采取的技术路线如下:1)广泛调研国内外移动终端双系统产品技术现状,深入分析移动终端双系统产品实际需求;2)基于分析调研结果,确定产品安全边界,并分析产品“安全环境”,识别可能存在的威胁、组织安全策略及安全用户假设;3)根据识别的安全环境和威胁,标识技术和管理“安全目标”;4)依据安全目标,从GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则第二部分中选取相应的安全功能要求组件,研究制定相应的检测和评价方法,并增加标识产品的功能要求,及相应测试评价方法;5)根据当前管理和应用需求,确定移动终端双系统产品应达到的信息安全保障能力级别,从GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则第三部分中选取相应的安全保障要求组件,并规定相关评估方法和评价准则;6)制定移动终端双系统产品安全评价规范草案;7)在检测、认证活动中验证移动终端双系统产品安全评价规范标准草案,并根据需要进行标准草案修订。5 验证情况(适用于方法类标准)5.1 验证单位情况验证单位验证人员验证时间5.2 验证、试行过程5.3 验证数据分析5.4 验证、试行评价5.5 其他应说明的情况无6 附加说明(可选项)6.1 宣贯标准的建议6.2 修订和废除现行有关标准的建议6.3重大分歧意见的处理经过和依据6.4 其他需要说明的情况6.5 参考文献联系人联系电话电子邮箱注1:本格式的通用部分为第1章、第2章、第4章和第6章。注2:3.4适用于标准草案送审稿,3.5适用于标准草案报批稿,3.6中“预期的管理目标”适用于规程类标准,3.6中“技术指标”适用于方法类标准,第5章适用于方法类标准编制说明的编写。注3:3.1和第6章为可选项,其余为必填项。编写日期: 年 月 日
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 各类标准


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!