信息安全技术移动终端安全管理平台技术要求(GB-T 37952-2019).pdf

ICS 35.040L80GB/T XXXX20XX信息安全技术 移动终端安全管理平台技术要求Information security technologyTechnical requirements of mobile securitymanagement platform（报批稿）（本稿完成日期：2017-12-28）XXXX-XX-XX 发布XXXX-XX-XX 实施发 布发 布中中华华人人民民共共和和国国国国家家质质量量监监督督检检验验检检疫疫总总局局中 国 国 家 标 准 化 管 理 委 员中 国 国 家 标 准 化 管 理 委 员 会会GB/T XXXX20XXI目次目次.I前言.II1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.15 概述.16 基本级安全要求.26.1安全功能要求.26.2安全保障要求.57 增强级安全要求.77.1安全功能要求.77.2安全保障要求.10附录A（资料性附录）典型应用场景.14附录B（规范性附录）等级划分要求.15B.1安全功能要求等级划分.15B.2安全保障要求等级划分.15参考文献.17GB/T XXXX20XXII前言本标准按照GB/T 1.12009给出的规则起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全研究院有限公司、公安部第三研究所、中国电子技术标准化研究院、国家工业信息安全发展研究中心、国家信息技术安全研究中心、中国信息安全测评中心、中国信息安全认证中心、国家信息中心、公安部计算机病毒防治产品检测中心、中国电信上海理想信息产业(集团)有限公司、北京北信源软件股份有限公司、华东师范大学、北京时代新威信息技术有限公司、西安电子科技大学、北京航空航天大学、北京传媒大学、重庆邮电大学、安徽科技学院、北京明朝万达科技股份有限公司、北京洋浦伟业科技发展有限公司。本标准主要起草人：杨晨、张艳、王惠莅、左晓栋、张弛、张格、陆臻、顾键、茹宗光、刘贤刚、范科峰、梁露露、魏方方、王嘉捷、王石、王新杰、毛剑、马文平、肖荣、钟力、丁富强、贾雪飞、杜振华、张哲宇、崔占华、黄一斌、周亚超、胡亚兰、黄永洪、刘虹、伍前红、姜正涛、陈晓峰、曹浩、王石、何道敬、刘雨桁、卢佐华、崔春霞。GB/T XXXX20XX1信息安全技术信息安全技术 移动终端安全管理平台技术要求移动终端安全管理平台技术要求1范围本标准规定了移动终端安全管理平台的技术要求，包括安全功能要求和安全保障要求。本标准适用于移动终端安全管理平台产品的设计、开发与检测，为组织或机构（以下简称“组织”）实施移动互联应用的安全防护提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336.32015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T250692010信息安全技术术语3术语和定义GB/T 18336.3-2015和GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1移动终端 mobile terminal接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。3.2移动终端安全管理平台mobile terminal security management platform为增强移动终端的安全性和可控性，通过定制安全策略对移动终端设备、应用等进行统一管理和安全接入控制的产品。4缩略语以下缩略语适用于本文件。WiFi：无线局域网接入（Wireless Fidelity）SD卡：安全数据存储卡（Secure Digital Card）5概述本标准从安全功能要求和安全保障要求两个方面，规范了移动终端安全管理平台的安全技术要求，典型应用场景参考附录A。安全功能要求包括终端管理、应用管理、数据安全、终端接入控制、安全管理、客户端保护和安全审计等七个方面，安全保障要求则主要包括开发、指导性文档、生命周期支持和测试等方面。GB/T XXXX20XX2参考GB/T 18336.3-2015安全保障要求级别划分的原则，依据移动终端安全管理平台的安全功能要求和安全保障要求的强弱，将安全等级分为基本级和增强级。基本级可对应支撑等级保护三级以下要求。增强级对应支撑等级保护三级（含）以上要求。等级划分见附录B。6基本级安全要求6.1安全功能要求6.1.1终端管理6.1.1.1终端注册应提供对移动终端的注册功能，注册信息包括注册日期、硬件型号、设备序列号、系统软件版本、所属部门等。6.1.1.2远程管理应支持以下远程管理功能：a)远程锁定移动终端；b)远程擦除移动终端存储的敏感业务数据；c)远程备份移动终端存储的敏感业务数据；d)授权人员远程设置功能限制策略，至少应包括禁用摄像头、禁止截屏、禁用WiFi、限制SD卡读写权限等。6.1.1.3存储介质管理应支持对移动终端外接存储介质的管理、监测等功能，对违规使用行为进行告警和阻断。6.1.1.4安全监测应支持以下监测功能：a)监测移动终端中恶意程序检测软件的安装、运行情况等；b)监测移动终端位置信息、运行服务、设备性能、软件版本（至少应包括操作系统等）等信息。6.1.1.5口令或生物特征鉴别策略应支持以下功能：a)远程设置终端开机口令策略，阻断未设置口令的终端接入，支持生物特征鉴别功能；b)监测是否设置用户账户口令，阻断未设置用户口令的终端接入；c)远程设置用户口令策略，至少应包括口令类型、定期更换策略、失败次数限制等。6.1.2应用管理应支持授权人员设置应用程序白名单、黑名单的功能，并能够根据白名单、黑名单执行相应的操作。6.1.3数据安全6.1.3.1数据安全传输应采用加密、数据完整性保护等安全机制，保障终端数据安全可靠传输。GB/T XXXX20XX36.1.3.2数据安全存储应支持以下安全存储功能：a)对服务端中的敏感数据进行加密存储和完整性保护；b)对服务端中敏感数据实现基于角色或属性等的授权访问控制；c)对移动终端、外置存储设备存储的敏感数据应进行加密处理，并能擦除未加密的敏感数据；d)对移动终端、外置存储设备存储的敏感数据进行完整性保护。6.1.3.3数据防泄漏应支持敏感数据防泄漏安全策略配置，对终端中业务系统数据进行实时监测，支持数据内容的扫描、过滤和敏感数据外传阻断等功能。6.1.3.4个人信息保护应采取必要的措施，确保移动终端和服务端存储的个人信息安全，防止信息泄露、毁损、丢失等。6.1.4终端接入控制6.1.4.1接入鉴别应支持仅允许经服务端注册的移动终端接入组织业务系统的功能。6.1.4.2访问控制策略应支持以下访问控制策略配置功能：a)针对不同终端制定不同的应用资源访问控制策略；b)提供以下访问限制能力：仅允许授权终端对应用资源进行访问；授权终端对应用资源进行访问的内容不能超出预定义的范围；授权终端对应用资源进行访问的操作（如对文件、文件夹进行读、写、复制、下载等操作）不能超出预定义的范围（有则适用）；授权终端对应用资源进行访问的时间不能超出预定义的范围（有则适用）；授权终端通过网络对应用资源进行访问时，该终端所使用的移动终端的序列号/地址不能超出预定义的范围（有则适用）；授权终端对应用资源进行访问的次数不能超出预定义的范围（有则适用）；c)移动终端对应用资源的接入应受访问控制策略的约束。6.1.5安全管理6.1.5.1管理员属性初始化应支持对授权管理员的账户、口令等属性进行初始化的功能。6.1.5.2管理员唯一性标识应支持授权管理员唯一身份标识功能，并将授权管理员的身份标识与其所有可审计事件进行关联。6.1.5.3管理员属性修改应支持授权管理员属性（至少包括管理员口令）修改功能。GB/T XXXX20XX46.1.5.4管理员身份鉴别应在登录和执行重要安全功能操作时，对声称履行授权管理员职责的用户进行身份鉴别，并支持鉴别失败处理功能，当身份鉴别失败的次数达到指定阈值后，应能阻断鉴别请求。6.1.5.5配置管理能力应支持授权管理员对平台进行安全配置和管理的功能，至少包括：a)增加、删除和修改接入控制等相关策略；b)查看当前接入控制策略配置；c)查看和管理审计记录。6.1.5.6管理角色应支持基于角色、属性等的授权管理等机制，实现对系统管理、审计管理、安全管理等管理角色的划分。6.1.5.7终端集中管理应支持终端集中管理功能，包括：a)移动终端客户端软件统一安装；b)移动终端应用程序白名单统一下发；c)移动终端操作系统、应用软件、客户端软件等的统一升级。6.1.6客户端保护应支持对安装在移动终端上的客户端程序进行安全保护的功能，对非授权人员的以下操作行为进行监控和告警：a)强行终止客户端软件运行；b)强制取消客户端软件在系统启动时自动加载；c)强行卸载、删除或修改客户端软件。6.1.7安全审计6.1.7.1审计记录生成应能对下列事件生成审计记录，审计记录包括事件发生的日期和时间、事件主体身份、事件描述，成功或失败的标志等：a)授权管理员鉴别成功和失败；b)终端鉴别成功和失败事件；c)授权管理员鉴别失败尝试次数超出了设定的限制导致会话连接终止；d)终端鉴别失败尝试次数超出了设定的限制导致会话连接终止；e)授权管理员的重要操作，如增加和删除管理员、终端用户管理、远程备份移动终端的业务数据、远程锁定移动终端及远程擦除移动终端的业务数据等；f)终端对应用资源接入的所有请求，包括成功和失败的请求。6.1.7.2审计记录存储审计记录应存储在掉电非易失性存储介质中，当存储空间达到阈值时，应自动向授权管理员告警。GB/T XXXX20XX56.1.7.3审计记录管理应支持以下审计记录管理功能：a)仅允许授权管理员访问审计记录；b)按日期、时间、终端标识等对审计记录进行组合查询；c)对审计记录进行备份。6.2安全保障要求6.2.1开发6.2.1.1安全架构开发者应向评估方提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a)与产品设计文档中对安全功能实施抽象描述的级别一致；b)描述与安全功能要求一致的产品安全功能的安全域；c)描述产品安全功能初始化过程为何是安全的；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全特性被旁路。6.2.1.2功能规范开发者应向评估方提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为处理而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯。6.2.1.3产品设计开发者应向评估方提供产品设计文档，产品设计文档应满足以下要求：a)根据子系统描述产品结构；b)标识和描述产品安全功能的所有子系统；c)描述安全功能所有子系统间的相互作用；d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。6.2.2指导性文档6.2.2.1操作用户指南开发者应向评估方提供明确、合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a)描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b)描述如何以安全的方式使用产品提供的可用接口；c)描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；GB/T XXXX20XX6e)标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；f)充分实现安全目的所必须执行的安全策略；g)遵循合法、正当、必要的原则，不得利用该软件收集与其提供的服务无关的个人信息。6.2.2.2准备程序开发者应向评估方提供产品及其准备程序，准备程序描述应满足以下要求：a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)描述安全安装产品及其运行环境必需的所有步骤。6.2.3生命周期支持6.2.3.1配置管理能力开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；c)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。6.2.3.2配置管理范围开发者应向评估方提供包含产品、安全保障要求评估证据和产品组成部分的产品配置项列表，并说明配置项的开发者。6.2.3.3交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。6.2.4测试6.2.4.1覆盖开发者应向评估方提供测试覆盖文档，表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性。6.2.4.2功能测试开发者应测试产品安全功能，将结果文档化并向评估方提供测试文档。测试文档应包括以下内容：a)测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；b)预期的测试结果，表明测试成功后的预期输出；c)实际测试结果和预期的测试结果一致。6.2.4.3独立测试开发者应向评估方提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。6.2.4.4脆弱性评定GB/T XXXX20XX7开发者应标识潜在脆弱性，并进行安全性测试。基于标识的潜在脆弱性，验证产品能够抵抗具有基本攻击潜力的攻击者的攻击。7增强级安全要求7.1安全功能要求7.1.1终端管理7.1.1.1终端注册应提供对移动终端的注册功能，注册信息包括注册日期、硬件型号、设备序列号、系统软件版本、所属部门等。7.1.1.2系统权限控制状态检测应支持应支持检测检测移动终端系统权限控制状态的功能。移动终端系统权限控制状态的功能。7.1.1.3远程管理应支持以下远程管理功能：a)远程锁定移动终端；b)远程擦除移动终端存储的敏感业务数据；c)远程备份移动终端存储的敏感业务数据；d)授权人员远程设置功能限制策略，至少应包括禁用摄像头、禁止截屏、禁用WiFi、限制SD卡读写权限等；e)e)远程卸载移动终端安装的违规应用软件。远程卸载移动终端安装的违规应用软件。注：违规应用软件是指本标准6.1.2中黑名单列出的违规应用软件。7.1.1.4存储介质管理应支持对移动终端外接存储介质的管理、监测等功能，对违规使用行为进行告警和阻断。7.1.1.5安全监测应支持以下监测功能：a)监测移动终端中恶意程序检测软件的安装、运行情况等；b)监测移动终端位置信息、运行服务、设备性能、软件版本（至少应包括操作系统等）等信息。7.1.1.6口令或生物特征鉴别策略应支持以下功能：a)远程设置终端开机口令策略，阻断未设置口令的终端接入，支持生物特征鉴别功能；b)监测是否设置用户账户口令，阻断未设置用户口令的终端接入；c)远程设置用户口令策略，至少应包括口令类型、定期更换策略、失败次数限制等。7.1.2应用管理应支持授权人员设置应用白名单、黑名单的功能，并支持根据白名单、黑名单执行相应的操作。7.1.3数据安全GB/T XXXX20XX87.1.3.1数据安全传输应采用加密、数据完整性保护等安全机制，保障终端数据安全可靠传输。7.1.3.2数据安全存储应支持以下安全存储功能：a)对服务端中的敏感数据进行加密存储和完整性保护；b)对服务端中敏感数据实现基于角色或属性等的授权访问控制；c)对移动终端、外置存储设备等存储的敏感数据应进行加密处理，并能擦除未加密的敏感数据；d)对移动终端、外置存储设备等存储的敏感数据进行完整性保护。7.1.3.3数据防泄漏应支持敏感数据防泄漏安全策略配置，对终端中业务系统数据进行实时监测，支持数据内容的扫描、过滤和敏感数据外传阻断等功能。7.1.3.4个人信息保护应采取必要的措施，确保终端和服务端存储的个人信息安全，防止信息泄露、毁损、丢失等。7.1.4终端接入控制7.1.4.1终端用户鉴别管理7.1.4.1.1接入鉴别应支持仅允许注册的移动终端接入组织业务系统的功能。7.1.4.1.2鉴别失败处理应能为用户身份鉴别设定一个鉴别尝试次数阈值，当用户的身份鉴别不成功次数超过阈值时，应应能为用户身份鉴别设定一个鉴别尝试次数阈值，当用户的身份鉴别不成功次数超过阈值时，应阻止鉴别请求。阻止鉴别请求。7.1.4.1.3鉴别信息保密性在用户身份鉴别过程中，鉴别信息通过网络传输时，应保障其保密性。在用户身份鉴别过程中，鉴别信息通过网络传输时，应保障其保密性。7.1.4.1.4告警功能应支持以下功能：应支持以下功能：a)a)移动终端系统权限控制被突破时，自动向授权管理员告警；移动终端系统权限控制被突破时，自动向授权管理员告警；b)b)根据策略配置，若根据策略配置，若移动终端接入地理位置限制被突破移动终端接入地理位置限制被突破，自动向授权管理员告警自动向授权管理员告警。7.1.4.2访问控制策略应支持以下访问控制策略配置功能：a)针对不同终端制定不同的应用资源访问控制策略；b)提供以下访问限制能力：仅允许授权终端对应用资源进行访问；授权终端对应用资源进行访问的内容不能超出预定义的范围；授权终端对应用资源进行访问的操作（如对文件、文件夹进行读、写、复制、下载等操GB/T XXXX20XX9作）不能超出预定义的范围（有则适用）；授权终端对应用资源进行访问的时间不能超出预定义的范围（有则适用）；授权终端通过网络对应用资源进行访问时，该终端所使用的移动终端的序列号/地址不能超出预定义的范围（有则适用）；授权终端对应用资源进行访问的次数不能超出预定义的范围（有则适用）；c)移动终端对应用资源的接入应受访问控制策略的约束。7.1.5安全管理7.1.5.1管理员属性初始化应支持对授权管理员的账户、口令等属性进行初始化功能。7.1.5.2管理员唯一性标识应支持授权管理员唯一身份标识功能，能够将授权管理员的身份标识与其所有可审计事件进行关联。7.1.5.3管理员属性修改应支持授权管理员属性（至少包括管理员口令）修改功能。7.1.5.4管理员身份鉴别应在登录和执行重要安全功能操作时，对声称履行授权管理员职责的人员进行身份鉴别，并支持鉴别失败限制功能，当身份鉴别失败的次数达到指定阈值后，应能阻断鉴别请求。7.1.5.5配置管理能力应支持授权管理员对产品进行安全配置和管理的功能，至少包括：a)增加、删除和修改接入控制等相关策略；b)查看当前接入控制策略配置；c)查看和管理审计记录。7.1.5.6管理角色应支持基于角色、属性等的授权管理机制，实现对系统管理、审计管理、安全管理等管理角色的划分。7.1.5.7终端统一管理应支持终端统一管理功能：a)移动终端客户端软件统一安装；b)移动终端应用程序白名单统一下发；c)移动终端操作系统、应用软件、客户端软件等的统一升级。7.1.6客户端保护应支持对安装在移动终端上的客户端软件进行安全保护的功能，对非授权人员的以下操作行为进行监控和告警：a)强行终止客户端软件运行；b)强制取消客户端软件在系统启动时自动加载；GB/T XXXX20XX10c)强行卸载、删除或修改客户端软件。7.1.7安全审计7.1.7.1审计记录生成应能对下列事件生成审计记录，审计记录包括事件发生的日期和时间、事件主体身份、事件描述，成功或失败的标志等：a)授权管理员鉴别的成功和失败；b)终端鉴别的成功和失败事件；c)授权管理员鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；d)终端鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；e)授权管理员的重要操作，如增加和删除管理员、终端用户管理、远程备份移动终端的业务数据、远程锁定移动终端及远程擦除移动终端的业务数据等；f)终端对应用资源接入的所有请求，包括成功和失败。7.1.7.2审计记录存储审计记录应存储在掉电非易失性存储介质中，当存储空间达到阈值时，应自动向授权管理员告警。7.1.7.3审计记录管理应支持以下审计记录管理功能：a)仅允许授权管理员访问审计记录；b)按日期、时间、终端标识等对审计记录进行组合查询；c)对审计记录进行备份。7.2安全保障要求7.2.1开发7.2.1.1安全架构开发者应向评估方提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a)与产品设计文档中对安全功能实施抽象描述的级别一致；b)描述与安全功能要求一致的产品安全功能的安全域；c)描述产品安全功能初始化过程为何是安全的；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全特性被旁路。7.2.1.2功能规范开发者应向评估方提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为处理而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯；GB/T XXXX20XX11g)g)描述安全功能实施过程中，与安全功能接口相关的所有行为；描述安全功能实施过程中，与安全功能接口相关的所有行为；h)h)描述可能由安全功能接口的调用而引起的所有直接错误消息。描述可能由安全功能接口的调用而引起的所有直接错误消息。7.2.1.3实现表示开发者应向评估方提供全部安全功能的实现表示，实现表示应满足以下要求：开发者应向评估方提供全部安全功能的实现表示，实现表示应满足以下要求：a)a)提供产品设计描述与实现表示实例之间的映射，并证明其一致性；提供产品设计描述与实现表示实例之间的映射，并证明其一致性；b)b)按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c)c)以开发人员使用的形式提供。以开发人员使用的形式提供。7.2.1.4产品设计开发者应向评估方提供产品设计文档，产品设计文档应满足以下要求：a)根据子系统描述产品结构；b)标识和描述产品安全功能的所有子系统；c)描述安全功能所有子系统间的相互作用；d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；e)e)根据模块描述安全功能；根据模块描述安全功能；f)f)提供安全功能子系统到模块间的映射关系；提供安全功能子系统到模块间的映射关系；g)g)描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用；描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用；h)h)描述所有实现模块的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用描述所有实现模块的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用及调用的接口；及调用的接口；i)i)描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用。描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用。7.2.2指导性文档7.2.2.1操作用户指南开发者应向评估方提供明确、合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a)描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b)描述如何以安全的方式使用产品提供的可用接口；c)描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；e)标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；f)充分实现安全目的所必须执行的安全策略；g)遵循合法、正当、必要的原则，不得利用该软件收集与其提供的服务无关的个人信息。7.2.2.2准备程序开发者应向评估方提供产品及其准备程序，准备程序描述应满足以下要求：a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)描述安全安装产品及其运行环境必需的所有步骤。7.2.3生命周期支持GB/T XXXX20XX127.2.3.1配置管理能力开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；c)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；d)d)配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变；进行已授权的改变；e)e)配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致；实施的配置管理与配置管理计划相一致；f)f)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。7.2.3.2配置管理范围开发者应向评估方提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a)产品、安全保障要求的评估证据和产品的组成部分；b)b)实现表示、安全缺陷报告及其解决状态。实现表示、安全缺陷报告及其解决状态。7.2.3.3交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。7.2.3.4开发安全开发者应向评估方提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设开发者应向评估方提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。7.2.3.5生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行必要的控制，并向评估方提供生命周期开发者应建立一个生命周期模型对产品的开发和维护进行必要的控制，并向评估方提供生命周期定义文档描述用于开发和维护产品的模型。定义文档描述用于开发和维护产品的模型。7.2.3.6工具和技术开发者应明确定义用于开发产品的工具，并向评估方提供开发工具文档无歧义地定义实现中每个开发者应明确定义用于开发产品的工具，并向评估方提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。语句的含义和所有依赖于实现的选项的含义。7.2.4测试7.2.4.1覆盖开发者应向评估方提供测试覆盖文档，测试覆盖描述应满足以下要求：a)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；b)b)表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。7.2.4.2深度开发者应向开发者应向评估方评估方提供测试深度的分析。测试深度分析描述提供测试深度的分析。测试深度分析描述应满足以下要求：应满足以下要求：a)a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；GB/T XXXX20XX13b)b)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。7.2.4.3功能测试开发者应测试产品安全功能，将结果文档化并向评估方提供测试文档。测试文档应包括以下内容：a)测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；b)预期的测试结果，表明测试成功后的预期输出；c)实际测试结果和预期的测试结果一致。7.2.4.4独立测试开发者应向评估方提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。7.2.4.5脆弱性评定开发者应标识潜在脆弱性，并进行安全性测试。基于标识的潜在脆弱性，验证产品能够抵抗以下攻击行为：a)具有基本攻击潜力的攻击者的攻击；b)b)具有增强型基本攻击潜力的攻击者的攻击。具有增强型基本攻击潜力的攻击者的攻击。GB/T XXXX20XX14附录A（资料性附录）典型应用场景移动终端安全管理平台主要针对组织的移动应用、数据等进行安全保护，保障组织人员对移动终端的使用符合安全管理规范。平台部署方式通常采用客户端/服务器架构（安全功能架构见图 A.1），其客户端驻留在组织人员的移动终端上，执行对移动终端的安全防护及监管等一体化的安全管理；服务端安装在专用服务器上，用于制定和分发安全管理策略，对分布式部署的客户端进行集中管控。图 A.1 安全功能架构GB/T XXXX20XX15附录B（规范性附录）等级划分要求B.1安全功能要求等级划分移动终端安全管理平台的安全功能要求等级划分如表 B.1 所示。表 B.1 移动终端安全管理平台安全功能要求等级划分表安全功能要求基本级增强级终端管理终端注册6.1.1.17.1.1.1系统权限控制状态检测7.1.1.2远程管理6.1.1.27.1.1.3存储介质管理6.1.1.37.1.1.4安全监测6.1.1.47.1.1.5口令或生物特征鉴别策略6.1.1.57.1.1.6功能限制6.1.1.67.1.1.7应用管理6.1.27.1.2数据安全数据安全传输6.1.3.17.1.3.1数据安全存储6.1.3.27.1.3.2数据防泄露6.1.3.37.1.3.3个人信息保护6.1.3.47.1.3.4终端接入控制终端用户鉴别管理接入鉴别6.1.4.17.1.4.1.1鉴别失败处理7.1.4.1.2鉴别信息保密性7.1.4.1.3告警功能7.1.4.1.4访问控制策略6.1.4.27.1.4.2安全管理管理员属性初始化6.1.5.17.1.5.1管理员唯一性标识6.1.5.27.1.5.2管理员属性修改6.1.5.37.1.5.3管理员身份鉴别6.1.5.47.1.5.4配置管理能力6.1.5.57.1.5.5管理角色6.1.5.67.1.5.6终端统一管理6.1.5.77.1.5.7客户端保护6.1.67.1.6安全审计审计记录生成6.1.7.17.1.7.1审计记录存储6.1.7.27.1.7.2审计记录管理6.1.7.37.1.7.3B.2安全保障要求等级划分移动终端安全管理平台的安全保障要求等级划分如表 B.2 所示。表 B.2移动终端安全管理平台安全保障要求等级划分表GB/T XXXX20XX16安全保障要求基本级增强级开发安全架构6.2.1.17.2.1.1功能规范6.2.1.27.2.1.2实现表示7.2.1.3产品设计6.2.1.37.2.1.4指导性文档操作用户指南6.2.2.17.2.2.1准备程序6.2.2.27.2.2.2生命周期支持配置管理能力6.2.3.17.2.3.1配置管理范围6.2.3.27.2.3.2交付程序6.2.3.37.2.3.3开发安全7.2.3.4生命周期定义7.2.3.5工具和技术7.2.3.6测试测试覆盖6.2.4.17.2.4.1测试深度7.2.4.2功能测试6.2.4.27.2.4.3独立测试6.2.4.37.2.4.4脆弱性评定6.2.4.47.2.4.5GB/T XXXX20XX17参考文献1 GB/T 18336.12015 信息技术安全技术信息技术安全评估准则第 1 部分：简介和一般模型2 GB/T 18336.22015 信息技术安全技术信息技术安全评估准则第 2 部分：安全功能要求_