信息安全技术移动智能终端操作系统安全技术要求和测试评价方法(GB-T 34976-2017).docx

ICS35.040L 80GB/T XXXX20XX信息安全技术 移动智能终端操作系统安全测试评价方法Information security technologySecurity testing and evaluation approachs for operating system of mobile intellegent terminal（送审稿）（本稿完成日期：2016-9-26）XXXX - XX - XX发布XXXX - XX - XX实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T XXXX20XX目次前言II1 范围12 规范性引用文件13 术语和定义14 移动智能终端操作系统描述15 安全技术要求25.1 安全功能要求25.2 安全保障要求56 测试评价方法76.1 安全功能要求测试76.2 安全保障要求测试14前言本标准按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所、中国电子技术标准化研究院、上海交通大学、北京元心科技有限公司、阿里巴巴网络技术有限公司、中国信息通信研究院泰尔终端实验室、上海辰锐信息科技公司。本标准主要起草人：张艳、俞优、陈妍、陆臻、顾健、赵戈、胡亚兰、郭运尧、杨明强。17信息安全技术 移动智能终端操作系统安全测试评价方法1 范围本标准规定了移动智能终端操作系统的安全技术要求和测试评价方法。本标准适用于移动智能终端操作系统的生产及检测。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336.32015 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保障组件GB/T 250692010 信息安全技术 术语GB/T 302842013 移动通信智能终端操作系统安全技术要求（EAL2级）3 术语和定义GB/T 302842013中界定的以及下列术语和定义适用于本文件。3.1移动智能终端操作系统 operating system of mobile intelligent terminal移动智能终端最基本的系统软件，控制和管理终端上的各种硬件和软件资源，并提供应用程序开发的接口。一般包括移动智能终端图形交互系统GUI、核心功能库、应用框架、安全套件、业务模型组件、SDK、核心业务功能、基础应用软件等多层架构、软件实体。3.2移动智能终端操作系统安全 security of operating system of intelligent terminal移动智能终端操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。4 移动智能终端操作系统描述移动智能终端操作系统的目的是向用户提供良好的操作界面，便于用户使用移动智能终端的功能。通过身份鉴别、访问控制、安全审计等安全功能策略，实现对移动智能终端软、硬件的管理，确保移动智能终端的安全运行。其中，硬件包括：通信设备（蜂窝移动通信设备、无线局域网设备），终端信源传感器（麦克风、摄像头、定位导航系统），终端输入输出设备（红外接口、蓝牙、USB接口、SDIO接口）等；软件包括存储用户信息的文件（电话号码本、通信记录、短消息、电子邮件、记事本等）以及相关应用软件。移动智能终端操作系统保护的资产包括： 用户数据：包含位置信息、账户信息、通信记录、通讯录等。 移动智能终端敏感资源：包含通信资源、外设接口，如摄像镜头、位置传感器等。 移动智能终端操作系统安全功能数据：包含鉴别数据、安全属性等。此外，移动智能终端操作系统自身的重要数据也是受保护的资产。 5 安全技术要求5.1 安全功能要求5.1.1 身份鉴别5.1.1.1 用户标识应具备用户标识功能，具体技术要求如下： a) 凡需进入移动智能终端操作系统的用户，宜先建立用户标识（账号）； b) 若移动智能终端操作系统用户需访问系统安全功能数据等重要数据，应建立用户标识；c) 应在移动智能终端操作系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性。5.1.1.2 鉴别技术手段应具备用户鉴别功能，具体技术要求如下：a) 应在用户执行任何与移动智能终端操作系统安全功能相关的操作之前对用户进行鉴别；b) 应至少支持口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别（如指纹、虹膜）/数字证书鉴别等机制中的一种进行身份鉴别，并在每次用户登录系统时进行鉴别。5.1.1.3 鉴别信息保护应具备鉴别信息保护的能力，具体技术要求如下：a) 进行身份鉴别时，产品应仅将最少的反馈（如：输入的字符数，鉴别的成功或失败）提供给被鉴别的用户；b) 在用户执行鉴别信息修改操作之前，必须经过身份鉴别；c) 鉴别信息应是不可见的，应采用加密方法对鉴别信息的存储进行安全保护。5.1.1.4 鉴别失败处理应通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理。5.1.1.5 用户-主体绑定 应具备用户-主体绑定功能，具体技术要求如下：a) 将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户； b) 将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务的要求者用户。 5.1.2 访问控制 5.1.2.1 访问控制属性应按以下要求设计和实现访问控制属性：a) 允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问；b) 主体的访问控制属性至少应包括：读、写、执行等；客体的访问控制属性应包含可分配给主体的读、写和执行等权限。 5.1.2.2 访问授权规则应按以下要求设计和实现访问授权规则：a) 授权的范围应包括主体和客体及相关的访问控制属性，同时应指出主体和客体对这些规则应用的类型； b) 对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限；c) 客体的拥有者对其拥有的客体应具有全部控制权，允许客体拥有者把该客体的控制权分配给其他主体。5.1.3 安全审计 5.1.3.1 审计内容应对与移动智能终端操作系统安全相关的以下事件生成审计日志：系统运行记录、报警记录、操作日志、网络流量记录、用户行为记录、应用软件运行日志、配置信息等；审计日志的内容至少应包括事件发生的日期、时间、主体标识、事件类型描述和结果（成功或失败）、关联的进程。5.1.3.2 审计保护应按以下要求设计和实现访问审计保护能力：a) 应能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏；b) 应提供授权管理员一个受保护的打开和关闭审计的机制，该机制能选择和改变审计事件，并在系统工作时处于默认状态； c) 仅允许授权管理员访问审计日志。5.1.3.3 审计跟踪管理应按以下要求设计和实现审计跟踪管理：a) 操作系统用户应能够定义审计跟踪的阈值；b) 当为审计系统分配的存储空间耗尽时，应能按操作系统用户的设置决定采取的措施，包括：报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。 5.1.4 用户数据安全5.1.4.1 用户数据保护应按以下要求设计和实现用户数据保护：a) 产品应保证用户数据不被未授权查阅或修改；b) 对应用软件获取用户数据行为进行自动分析、告警和阻断。5.1.4.2 用户数据完整性 应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护； 5.1.4.3 用户数据保密性 应对用户敏感数据采用一定强度的加密储存或采用隐藏技术，以减小移动终端丢失所造成的损失。5.1.4.4 剩余信息保护应按以下要求设计和实现剩余信息保护：a) 应确保非授权用户不能查找使用后返还系统的存储介质中的信息内容； b) 应确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容。5.1.5 数据安全应按以下要求设计和实现数据安全保护能力：a) 应对重要的系统数据（如配置和控制信息、告警和事件数据等）进行存储保护，保证重要系统数据不被泄漏或篡改；b) 应具有用户数据、系统数据的安全备份与恢复功能；c) 应在数据的存储空间达到阈值时能够向移动智能终端操作系统用户进行报警； d) 当存储空间将要耗尽时，应采取一定措施保证重要的数据不丢失。5.1.6 存储介质管理应按以下要求设计和实现存储介质管理：a) 应对移动智能终端中的存储设备（包括智能芯片、存储卡等）进行有效监测和统一管理； b) 在单用户系统中，存储介质保护应防止用户进程影响系统的运行； c) 在多用户系统中，存储介质保护应确保多用户间采取一定隔离机制，防止用户数据的非授权访问；d) 在多系统情况下，应确保多系统间采取一定隔离机制，防止系统数据的非授权访问。5.1.7 应用软件安全管理应对第三方应用程序的安装、运行、卸载进行安全规范：a) 应支持用户对应用软件的安装进行授权或禁止；b) 应支持用户修改、指定应用软件的安装位置；c) 应支持用户对应用软件使用的终端资源（包含通信资源和外设接口）和终端数据进行确认；d) 应在应用软件卸载时删除由其生成的资源文件、配置文件和用户数据。5.1.8 用户策略管理应提供以下用户策略管理：a) 应对移动智能终端用户提供初始化策略；b) 支持授权用户对用户策略的添加、删除、修改操作；c) 支持用户策略查询、导入、导出策略等操作。5.1.9 运行安全保护 应提供以下运行安全保护：a) 系统在设计时不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口； b) 应将移动智能终端操作系统程序与用户程序进行隔离；c) 应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作。5.1.10 升级能力应提供以下升级能力：a) 支持操作系统的更新升级；b) 至少采取一种安全机制，保证升级过程的安全性；c) 保证升级后前的系统安全属性与升级前保持一致；d) 在升级失败时，系统应能够回滚，并保证系统完整性，且安全属性与升级前一致；e) 至少采取一种安全机制，保证升级的时效性，例如自动升级，更新通知等手段；f) 支持用户获取、统一管理并运用补丁对移动智能终端操作系统的漏洞进行修补。5.1.11 超时锁定或注销应按以下要求设计和实现超时处理能力：a) 具有登录超时锁定或注销功能；b) 提供用户设定最大超时时间的功能；c) 在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新操作；d) 提供用户主动锁定或注销的功能。5.1.12 运行监控应提供对移动智能终端设备运行状态（比如CPU使用率、内存占用率、存储空间等）、网络连接、系统环境、敏感数据访问状态、敏感功能使用状态的监测。5.1.13 可靠时钟应提供手工设定系统时钟和远程时钟服务自动时钟同步两种方式的系统时钟设置功能。5.1.14 可用性5.1.14.1 稳定性正常工作状态下，移动智能终端操作系统应能稳定运行，功耗低、内存占用少，不应造成移动智能终端死机现象。5.1.14.2 兼容性应按以下要求设计和实现兼容性：a) 除了自带的应用程序，移动智能终端操作系统应提供良好的第三方软件应用接口，能够支持第三方应用软件的安装、运行和升级功能；b) 具备无线接入互联网的能力。5.2 安全保障要求5.2.1 开发5.2.1.1 安全架构开发者应提供终端操作系统安全功能的安全架构描述，安全架构描述应满足以下要求：a) 与产品设计文档中对安全功能实施抽象描述的级别一致；b) 描述与安全功能要求一致的终端操作系统安全功能的安全域；c) 描述终端操作系统安全功能初始化过程为何是安全的；d) 证实终端操作系统安全功能能够防止被破坏；e) 证实终端操作系统安全功能能够防止安全特性被旁路。5.2.1.2 功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a) 完全描述终端操作系统的安全功能；b) 描述所有安全功能接口的目的与使用方法；c) 标识和描述每个安全功能接口相关的所有参数；d) 描述安全功能接口相关的安全功能实施行为；e) 描述由安全功能实施行为处理而引起的直接错误消息；f) 证实安全功能要求到安全功能接口的追溯。5.2.1.3 产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：a) 根据子系统描述终端操作系统结构；b) 标识和描述终端操作系统安全功能的所有子系统；c) 描述安全功能所有子系统间的相互作用；d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。5.2.2 指导性文档5.2.2.1 操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a) 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b) 描述如何以安全的方式使用终端操作系统提供的可用接口；c) 描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；e) 标识终端操作系统运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；f) 充分实现安全目的所必须执行的安全策略。5.2.2.2 准备程序开发者应提供终端操作系统及其准备程序，准备程序描述应满足以下要求：a) 描述与开发者交付程序相一致的安全接收所交付终端操作系统必需的所有步骤；b) 描述安全安装终端操作系统及其运行环境必需的所有步骤。5.2.3 生命周期支持5.2.3.1 配置管理能力开发者的配置管理能力应满足以下要求：a) 为终端操作系统的不同版本提供唯一的标识；b) 使用配置管理系统对组成终端操作系统的所有配置项进行维护，并唯一标识配置项；c) 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。5.2.3.2 配置管理范围开发者应提供终端操作系统配置项列表，并说明配置项的开发者。配置项列表至少包含终端操作系统、安全保障要求的评估证据和终端操作系统的组成部分。5.2.3.3 交付程序开发者应使用一定的交付程序交付终端操作系统，并将交付过程文档化。在给用户方交付终端操作系统的各版本时，交付文档应描述为维护安全所必需的所有程序。5.2.4 测试5.2.4.1 覆盖开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的终端操作系统的安全功能间的对应性。5.2.4.2 功能测试开发者应测试终端操作系统安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：a) 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；b) 预期的测试结果，表明测试成功后的预期输出；c) 实际测试结果和预期的测试结果一致。5.2.4.3 独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。5.2.5 脆弱性评定开发者应执行脆弱性分析，并提供脆弱性分析文档。基于已标识的潜在脆弱性，终端操作系统能够抵抗具有基本攻击潜力攻击者的攻击。6 测试评价方法6.1 安全功能要求测试6.1.1 身份鉴别6.1.1.1 用户标识测试评价方法：模拟移动智能终端操作系统用户进行注册和登录操作，检查用户标识是否唯一；测试评价结果：记录测试结果并对该结果是否完全符合上述测试方法要求作出判断，应符合：a) 凡需进入移动智能终端操作系统的用户，应先进行用户标识（建立账号）； b) 应在移动智能终端操作系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性。6.1.1.2 鉴别技术手段测试评价方法：a) 模拟移动智能终端操作系统用户进行登录操作，并执行安全参数配置、口令修改、数据备份等安全功能相关操作，检查用户在执行任何与移动智能终端操作系统安全功能相关的操作之前是否必须进行鉴别；b) 检查移动智能终端操作系统提供的用户鉴别机制是否包括提供用户名、口令方式；c) 查看移动智能终端操作系统是否提供其他用户鉴别机制，如基于令牌的动态口令鉴别/生物特征鉴别（如指纹、虹膜）/数字证书等。测试评价结果：记录测试结果并对该结果是否完全符合上述测试测试评价结果要求作出判断，应符合：a) 应在用户执行任何与移动智能终端操作系统功能相关的操作之前至少使用一种鉴别机制进行用户合法性鉴别；b) 应至少提供以下鉴别机制中的一种方式进行身份鉴别：口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别（如指纹、虹膜）/数字证书鉴别等，并在每次用户登录系统时进行鉴别。6.1.1.3 鉴别信息保护测试评价方法：a) 模拟用户进行移动智能终端操作系统登录操作，如输入口令、指纹信息等；b) 模拟用户执行鉴别信息修改操作,查看系统是否要求进行用户身份鉴别；c) 根据产品资料确定鉴别信息存放路径，分别尝试以授权和非授权的方式读取用户的账号、口令密码信息。 测试评价结果：a) 若进行身份鉴别时，用户口令明文显示，则本项判为不合格；b) 若用户鉴别信息修改操作之前,无需进行身份鉴别，则本项判为不合格；c) 若以授权方式或非授权方式能够获得以上鉴别信息的明文内容，则本项判为不合格。6.1.1.4 鉴别失败处理测试评价方法：a) 检查系统是否提供用户鉴别失败处理措施；b) 对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）及鉴别失败处理措施进行参数设置；c) 模拟移动智能终端操作系统用户进行登录操作，并连续鉴别失败，检查系统是否依据鉴别失败处理措施的参数配置进行相应处理。测试评价结果：记录测试结果并对该结果是否完全符合上述测试测试评价结果要求作出判断，应符合：应通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理。6.1.1.5 用户-主体绑定 测试评价方法：a) 检查系统是否提供将用户进程与所有者用户相关联的用户主体绑定功能，使用户进程的行为可以追溯到进程的所有者用户；b) 检查系统是否提供将系统进程动态地与当前服务要求者用户相关联的用户主体绑定功能，使系统进程的行为可以追溯到当前服务的要求者用户。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户； b) 将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务的要求者用户。6.1.2 访问控制 6.1.2.1 访问控制属性测试评价方法：a) 检查系统是否提供访问控制机制，允许用户规定并控制对客体的访问；b) 检查系统提供的访问控制机制是否阻止非授权用户对客体的访问；c) 检查系统提供主体的访问控制属性，是否包括读、写、执行等；d) 检查系统提供客体的访问控制属性，是否包括可分配给主体的读、写和执行等权限。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问；b) 主体的访问控制属性至少应有：读、写、执行等；客体的访问控制属性应包含可分配给主体的读、写和执行等权限。 6.1.2.2 访问授权规则测试评价方法：a) 检查系统是否提供访问授权规则；b) 查看系统提供访问授权规则的授权范围，是否包括主体和客体及相关的访问控制属性，并指出主体和客体对这些规则应用的类型；c) 查看系统提供访问授权规则的授权范围，是否覆盖了系统中的每一个客体，并由客体的创建者以用户指定方式确定其对该客体的访问权限；d) 检查系统中客体的拥有者是否拥有该客体的全部控制权，并允许该客体拥有者把该客体的控制权分配给其他主体。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 授权的范围应包括主体和客体及相关的访问控制属性，同时应指出主体和客体对这些规则应用的类型； b) 对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限；c) 客体的拥有者对其拥有的客体应具有全部控制权，允许客体拥有者把该客体的控制权分配给其他主体。6.1.3 安全审计 6.1.3.1 审计内容测试评价方法：a) 模拟用户对移动智能终端进行连续鉴别失败、数据存储空间耗尽、参数设置、网络访问等操作；b) 查看审计日志，检查审计数据是否包括系统运行记录、报警记录、操作日志、网络流量记录、用户行为记录、应用软件运行日志、配置信息等。c) 检查日志项是否包括了事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败等。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 应能够获取各种类型安全事件的审计数据，如：系统运行记录、报警记录、操作日志、网络流量记录、用户行为记录、应用软件运行日志、配置信息等； b) 每个事件的审计记录，应包括以下信息：事件发生的日期和时间、触发事件的用户或进程主体、事件的类型、事件成功或失败等。6.1.3.2 审计保护测试评价方法：a) 检测系统是否提供对审计功能的保护措施，限制未授权用户对审计记录的访问；b) 检测系统是否提供用户打开和关闭审计的机制；c) 模拟用户对审计功能进行打开/关闭操作，重启系统，查看系统是否根据用户设置提供默认的审计机制。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问； b) 应提供用户一个受保护的打开和关闭审计的机制，该机制能选择和改变审计事件，并在系统工作时处于默认状态。6.1.3.3 审计跟踪管理测试评价方法：a) 检测系统是否提供审计存储空间维护功能；b) 模拟操作系统用户设置审计跟踪极限的阈值；c) 当存储空间被耗尽时，检测系统是否依据设定的阈值，按操作系统用户的设置提供指定的措施，如报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 操作系统用户应能够定义超过审计跟踪极限的阈值；b) 当存储空间被耗尽时，应能按操作系统用户的指定决定采取的措施，包括：报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。 6.1.4 用户数据安全6.1.4.1 用户数据保护测试评价方法：a) 模拟非授权用户对尝试对用户数据进行查阅和修改，检测系统能否限制类似非授权行为；b) 检测系统能否对应用软件获取用户数据的行为进行自动分析、告警和阻断。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 产品应保证用户数据不被未授权查阅或修改；b) 对应用软件获取用户数据行为进行自动分析、告警和阻断。6.1.4.2 用户数据完整性 测试评价方法：分别对用户数据在存储、传输和处理过程中进行完整性破坏，检测系统是否提供用户数据在存储和处理过程中的完整性保护措施。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：应提供移动智能终端操作系统用户数据在存储和处理过程中的完整性保护。 6.1.4.3 用户数据保密性 测试评价方法：检测系统是否对用户敏感数据（如各类账号、口令、定位信息、通讯录、短信、照片等）采用加密存储或隐藏技术。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：用户敏感数据应采用一定强度的加密储存或采用隐藏技术，以减小移动终端丢失所造成的损失。6.1.4.4 剩余信息保护测试评价方法：检测系统是否提供剩余信息保护功能，以确保非授权用户无法查找系统现已分配给其的存储介质中以前的信息内容，以及使用后返还系统的存储介质中的信息内容。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 应确保非授权用户不能查找使用后返还系统的存储介质中的信息内容； b) 应确保非授权用户不能查找系统现已分配给其的存储介质中以前的信息内容。6.1.5 数据安全测试评价方法：a) 检测系统是否采用访问控制、加密等机制，提供对重要的系统数据（如配置和控制信息、告警和事件数据等）的安全保护措施；b) 检测系统是否具备对日常数据安全备份与恢复功能，模拟系统用户进行数据备份和恢复操作，验证该项功能的有效性；c) 模拟系统用户设置数据存储空间阈值参数，当数据的存储空间达到阈值时，检测系统能否向系统用户进行自动报警；d) 查看系统在存储空间将要耗尽时，是否提供相应措施保证未及时保存的数据不丢失。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 应提供有效、合理、安全的数据存储方案，对重要的系统数据（如配置和控制信息、告警和事件数据等）进行存储保护，保证重要系统数据不被泄漏或篡改；b) 应具有日常数据安全备份与恢复功能；c) 应在数据的存储空间达到阈值时能够向移动智能终端操作系统用户进行报警； d) 当存储空间将要耗尽时，应采取一定措施保证从数据源传来的未及时保存的数据不丢失。6.1.6 存储介质管理测试评价方法：a) 检测系统是否提供对移动智能终端中的存储设备（包括智能芯片、存储卡等）的统一管理和检测功能；b) 在多用户系统中，分别模拟不同用户A、用户B登录操作系统，操作终端并各自生成用户数据存储于存储介质上，尝试以用户A访问存储介质中由用户B生成的用户数据，查看是否能否访问成功。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 可对移动智能终端中的存储设备（包括智能芯片、存储卡等）进行有效监测和统一管理； b) 在单用户系统中，存储介质保护可防止用户进程影响系统的运行； c) 在多用户系统中，系统对多用户间采取一定隔离机制，防止用户数据的非授权访问。6.1.7 应用软件安全管理测试评价方法：a) 在移动智能终端上安装终端应用软件，检查是否提示用户对应用软件的安装进行授权；b) 检查用户是否能够修改默认安装位置，并设置应用软件的安装位置；c) 检查用户是否能够对应用软件使用的终端资源（如网络通信模块、摄像头、导航定位等）和终端数据（如相册、通讯录等）进行确认；d) 卸载终端应用软件，检查其安装及使用生成的数据是否被完全删除。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 系统依据用户对应用软件的安装授权正确在移动智能终端上安装应用软件，并生成相应图标；b) 安装位置可由终端操作系统用户指定；c) 提示终端操作系统用户对其使用的终端资源和终端数据进行确认；d) 终端应用软件安装后，终端操作系统和其他应用软件仍能正常使用；e) 卸载时能够将其安装及使用过程产生的资源文件、配置文件和用户数据全部删除。6.1.8 用户策略管理测试评价方法：检测系统是否为系统用户提供了初始化策略；模拟用户对于策略进行添加、删除、修改、查询、导入、导出等操作，查看能否操作成功。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 应对移动智能终端用户提供初始化策略；b) 支持授权用户对用户策略的添加、删除、修改操作；c) 支持用户策略分发、查询、导入、导出策略等操作。6.1.9 运行安全保护 测试评价方法：a) 查看操作系统设计文档，检查系统设计时是否有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口；b) 查看操作系统设计文档，检查系统是否将系统程序与用户程序进行隔离。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 系统在设计时不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口； b) 应将移动智能终端操作系统程序与用户程序进行隔离；c) 应禁止在用户模式下运行的进程对系统段进行写操作；而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作。6.1.10 升级能力测试评价方法：a) 检查产品的升级更新方式，进行相应策略配置，验证升级功能的有效性；b) 检查产品的升级频率，验证升级功能的及时性；c) 对系统进行安全属性配置后进行升级更新操作，查看升级后的系统安全属性是否与升级前一致；d) 在系统更新升级过程中，通过断网、关机等操作导致升级失败，查看系统是否具备回滚机制，确保系统安全属性与升级操作前一致；e) 对升级包进行篡改，检查产品能否升级成功。测试评价结果：系统应具有及时更新、升级功能，并确保升级前后的系统安全属性一致性；应通过签名验证等机制确保升级包的完整性。6.1.11 超时锁定或注销测试评价方法：a) 检测系统是否提供用户登录超时锁定或注销功能；b) 模拟系统用户设置最大超时时间阈值，并在设定的时间段内没有任何操作，检测系统能否终止用户会话，检测用户是否须进行身份鉴别后才能继续系统操作。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 应具有登录超时锁定或注销功能；b) 应提供用户设定最大超时时间的功能；c) 在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新操作。6.1.12 运行监控测试评价方法：检测系统是否提供对移动智能终端设备运行状态（比如CPU使用率、内存占用率、存储空间等）、网络连接、系统环境的状态实时监测。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：应提供对移动智能终端设备运行状态（比如CPU使用率、内存占用率、存储空间等）、网络连接、系统环境的监测。6.1.13 可靠时钟测试评价方法：a) 检测系统是否提供手工、自动时钟设置功能；b) 手动更改系统日期和时间，查看界面显示日期和时间是否更新为所设日期和时间；c) 选择自动设置日期和时间，查看界面显示时间是否更新为当前实际日期和时间；d) 手动更改系统时区，查看界面显示系统时区是否更新。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：应提供手工设定系统时钟和远程时钟服务自动时钟同步两种方式的系统时钟设置功能。6.1.14 可用性6.1.14.1 稳定性测试评价方法：模拟用户在智能终端上部署并使用操作系统，进行各种功能操作。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 产品在智能终端正常工作状态下应工作稳定，不应造成移动智能终端死机现象；b) 产品的运行不应影响移动智能终端的正常网络通信。6.1.14.2 兼容性测试评价方法：a) 检测系统是否提供了第三方软件应用接口，模拟用户在操作系统上安装并使用第三方应用软件，并进行软件升级操作；b) 配置相应参数，使用移动智能终端进行互联网无线接入，检测系统是否支持3G、4G、WiFi等方式。测试评价结果：记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断，应符合：a) 除了自带的应用程序，移动智能终端操作系统应提供良好的第三方软件应用接口，能够支持第三方应用软件的安装、运行和升级功能；b) 具备多种无线接入互联网的能力。6.2 安全保障要求测试6.2.1 开发6.2.1.1 安全架构安全架构的测试方法与预期结果如下：a) 测试方法：审查安全架构文档是否准确描述如下内容：1） 与产品设计文档中对安全功能实施抽象描述的级别一致；2） 描述与安全功能要求一致的终端操作系统安全功能的安全域；3） 描述终端操作系统安全功能初始化过程为何是安全的；4） 证实终端操作系统安全功能能够防止被破坏；5） 证实终端操作系统安全功能能够防止安全特性被旁路。b) 预期结果：开发者提供的文档内容应满足上述要求。6.2.1.2 功能规范功能规范的测试方法与预期结果如下：a) 测试方法：审查功能规范文档是否准确描述如下内容：1） 完全描述终端操作系统的安全功能；2） 描述所有安全功能接口的目的与使用方法；3） 标识和描述每个安全功能接口相关的所有参数；4） 描述安全功能接口相关的安全功能实施行为；5） 描述由安全功能实施行为处理而引起的直接错误消息；6） 证实安全功能要求到安全功能接口的追溯。b) 预期结果：开发者提供的文档内容应满足上述要求。6.2.1.3 产品设计产品设计的测试方法与预期结果如下：a) 测试方法：审查产品设计文档是否准确描述如下内容：1） 根据子系统描述终端操作系统结构；2） 标识和描述终端操作系统安全功能的所有子系统；3） 描述安全功能所有子系统间的相互作用；4） 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。b) 预期结果：开发者提供的文档内容应满足上述要求。6.2.2 指导性文档6.2.2.1 操作用户指南操作用户指南的测试方法与预期结果如下：a) 测