移动终端安全能力的框架包括什么
移动终端安全能力的框架包括:
移动终端硬件安全能力评估:移动终端硬件本地安全能力评估主要参考标准YD/T 1886—2009。如果移动终端硬件提供了远程操作手段,则评估移动终端是否对其远程操作手段进行保护,防止远程操作被恶意利用。
移动终端操作系统安全能力评估:评估项目主要包括以下几个方面。第一,通信类功能受控机制评估。主要评估应用软件执行拨打电话、三方通话、发送短信、发送彩信、发送邮件、开启/关闭蜂窝网络数据连接、开启/关闭WLAN网络连接等操作时,应给用户相应的提示,仅当用户确认后,拨打操作才能执行。第二,本地敏感功能受控机制评估。主要评估应用软件调用定位功能、通话录音、拍照或摄像功能、对电话本数据、通话记录、短信数据、彩信数据等重要用户数据进行写操作或删除操作时,移动终端应给用户相应的提示,仅当用户确认后才能调用。
外围接口安全能力评估:对无线外围接口来说,当应用软件调用开启无线外围接口时、通过无线外围接口与不同设备进行第一次连接时移动终端应给用户相应的提示,仅当用户确认后连接方可开启。当移动终端通过无线外围接口(蓝牙或WLAN直连)已建立数据连接,通过无线外围接口进行数据传输时,移动终端应给用户相应的提示。对有线外围接口移动终端也应给用户相应的连接建立提示和状态提示。如果移动终端支持内置式USB存储模式(U盘模式),则应提供访问控制方式。
移动终端应用软件安全评估:移动终端对应用软件应有安全配置能力,支持最小权限原则,禁止应用软件违规调用移动终端敏感功能组。预置应用软件没有恶意吸费行为、信息窃取、篡改、删除行为。预置短信过滤软件和预置通信过滤软件应支持黑白名单过滤,并支持对已拦截短信和通话的统计、查询和删除。
移动终端用户数据安全保护能力评估:移动终端应支持开机时的密码保护和开机后锁定状态下的密码保护,未经授权的任何实体应不能从移动终端的加密存储区域的数据中还原出用户私密数据的真实内容。用户数据需保证彻底删除。移动终端应提供用户数据的远程保护能力,以便用户在手机遗失或其他情况下,终端中的用户数据不被泄露。远程保护能力包括远程锁定移动终端、远程取回用户数据、远程销毁用户数据。移动终端应提供用户数据本地备份和远程备份功能。