谢利涛

（河南省电子产品质量监督检验所，河南 郑州，450003）

移动智能终端蓬勃发展的同时，其所带来的安全问题也不容忽视。除恶意吸费软件、系统功能破坏及远程终端控制等传统问题外，移动支付、位置信息等新技术也对智能终端安全提出了新要求。工信部发布了《关于加强移动智能终端管理的通知》，通过规范移动智能终端的安全技术标准与测试方法，提高智能终端的安全性。该文就YD/T2407-2013 《移动智能终端安全能力技术要求》标准的范围和主要内容做简要介绍。

1 范围

标准规定了移动智能终端安全能力的技术要求，包括移动智能终端硬件安全能力、移动智能终端操作系统安全能力、移动智能终端外围接口安全能力、移动智能终端应用层安全要求、移动智能终端用户数据保护安全能力等，并对安全能力进行了分级。

该标准适用于各种制式的移动智能终端，个别条款不适用于特殊行业、专业应用，其他终端也可参考使用。

2 移动智能终端安全能力框架及目标

2.1 安全能力框架

图1为移动智能终端安全能力框架，主要包括5个部分：最底层是移动智能终端硬件安全能力，之上为操作系统安全能力，顶层为应用层安全要求，外围接口安全能力涉及操作系统层面和硬件安全层面，用户数据保护安全能力涉及硬件、操作系统和应用软件3个层面。

图1 移动智能终端安全能力框架

2.2 安全目标

2.2.1 硬件安全目标是在芯片级保证移动通信终端内部闪存和基带的安全，确保芯片内系统程序、终端参数、安全数据、用户数据不被篡改或非法获取。

2.2.2 操作系统安全目标是达到操作系统对系统资源调用的监控、保护和提醒，确保涉及安全的系统行为总是在受控的状态下，不会出现用户在不知情情况下某种行为的执行，或者用户不可控行为的执行。

2.2.3 外围接口安全目标是确保用户对外围接口的连接及数据传输的可知和可控。

2.2.4 应用层安全目标是要保证移动智能终端对要安装在其上的应用软件可进行来源的识别，对已经安装在其上的应用软件可以进行敏感行为的控制。

2.2.5 用户数据保护安全目标是要保证用户数据的安全存储，确保用户数据不被非法访问、不被非法获取、不被非法篡改，同时能够通过备份保证用户数据的可靠恢复。

3 主要技术要求

3.1 基本要求

移动智能终端应通过给用户相关提示和让用户确认的方式来防范安全威胁，当第三方应用调用相关功能时，操作系统应具备给用户相关提示和让用户确认的能力。

给用户的提示可以是图标提示、文字提示或其他明显的提示方式。在操作执行期间，提示应足够引起用户的注意。

用户确认应使用户有选择的权利，即用户应能确认也能取消。

3.2 硬件安全能力要求

如果移动智能终端硬件提供了远程操作手段，则终端应对其远程操作手段进行保护，防止远程操作被恶意利用。

3.3 操作系统安全能力要求

3.3.1 安全调用控制能力

（1）通信类功能受控机制

应用软件在执行拨打电话、三方通话、发送短信、发送彩信和发送邮件操作时，应应在用户确认的情况下，相应操作才能执行。

（2）移动通信网络数据连接

a）移动智能终端应提供开关，可开启/关闭移动通信网络数据连接；

b）应用软件调用开启移动通信网络数据连接功能时，应给用户相应的提示，当用户确认后连接方可开启；

c）当移动通信网络的数据连接处于已连接状态或正在传送数据时，终端应在用户主界面上给用户相应的状态提示，并且两种状态提示应不同。

（3） WLAN 网络连接

a）移动智能终端应提供开关，可开启/关闭WLAN网络连接；

b）应用软件调用开启WLAN网络连接功能时，应给用户相应的提示，当用户确认后连接方可开启；

c）当WLAN网络连接处于已连接状态或正在传送数据时，终端应在用户主界面上给用户相应的状态提示，并且两种状态提示应不同。

3.3.2 本地敏感功能受控机制

（1） 定位功能

应用软件调用定位功能时，终端应在用户确认的情况下才能调用。调用后，终端宜在用户主界面上给用户相应的状态提示。

（2） 通话录音功能

当应用软件调用启动通话录音时，应在用户确认的情况下才能开启。

（3）本地录音功能

应用软件调用启动本地录音功能时，应在用户确认的情况下才能启动录音操作。

（4）对用户数据的操作

移动智能终端操作系统应提供对用户数据保护的功能，能够对电话本数据、通话记录、短信数据、彩信数据进行保护。

3.3.3 操作系统的更新

移动智能终端通常执行授权的操作系统更新，当不能保证操作系统安全的更新时，应在说明书中明示用户可能带来的安全风险。

3.4 外围接口安全能力要求

3.4.1 无线外围接口

（1）接口开启/关闭受控机制

对于具备蓝牙、NFC功能的移动智能终端应具备开关，可开启/关闭蓝牙、NFC等终端所支持的无线连接方式。

当应用软件调用开启无线外围接口时，终端应给用户相应的提示，当用户确认后连接方可开启。

（2）接口连接建立的确认机制

当通过无线外围接口（仅适用于蓝牙）与不同设备进行第一次连接时，终端能够发现该连接并给用户相应的提示，当用户确认建立连接时，连接才可建立。

（3）接口连接状态提示

当移动智能终端的无线外围接口蓝牙已开启、通过无线外围接口蓝牙建立数据连接、无线外围接口NFC已开启和通过无线外围接口NFC建立数据连接时，移动终端宜在用户主界面上给用户相应的状态提示（图标、声音或振动等）。并且开启状态提示和数据连接状态提示应不同。

（4）接口数据传输的受控机制

当移动智能终端与其他设备已经通过无线外围接口（蓝牙或NFC）实现连接，此时通过无线外围接口进行文件数据传输时，终端应给用户相应的提示。

3.4.2 有线外围接口

（1）有线外围接口连接建立的确认机制

对于仅用于充电或仅用于数据连接的有线外围接口，当通过该接口建立连接时，移动终端应给用户相应的提示。

（2） USB 存储模式的安全机制

如果移动智能终端支持内置式USB存储模式（U盘模式），则应提供访问控制方式。

3.5 移动智能终端应用层安全要求

3.5.1 应用软件安全配置能力要求

移动智能终端可提供机制对所安装的第三方应用软件的调用行为进行配置，包括对拨打电话、发起三方通话、发送短信、发送彩信、调用移动通信网络数据连接、调用定位功能、进行通话录音、本地录音、拍照/摄像、访问电话本、访问通话记录、访问短信和访问彩信的控制。

对以上调用行为进行控制至少有允许调用和禁止调用两种状态

3.5.2 应用软件安全认证机制要求

（1） 非认证签名要求

如果支持对未经认证签名的软件下载和应用，在进行应用软件安装时移动智能终端应能够识别应用软件的签名状态，并能够根据签名状态给用户相应的提示。

（2）认证签名要求

如果采用认证签名机制，在此情况下，未经过认证签名的应用软件仅当用户进行确认后才能执行下一步操作。

(3) 移动通信网络开机自启动程序监控能力

如果具备第三方应用开机自启动程序的能力，应可以浏览和配置应用程序是否开机自启动。

(4)预置应用软件安全要求

移动智能终端中预置的应用软件未向用户明示且未经用户同意时，不得擅自收集和修改用户数据；不得擅自调用终端通信功能，造成用户流量消耗、费用损失和数据泄露。

(5)联网软件安全行为要求

移动智能终端中预置的联网应用软件参见YD/T 2382的相关要求。

3.6 用户数据安全保护能力要求

3.6.1 移动智能终端的密码保护

终端应支持开机时的密码保护和开机后锁定状态下的密码保护，例如口令、图案、生物特征识别等多种形态的密码。

3.6.2 文件类用户数据的授权访问

终端提供文件类用户数据的授权访问能力，当第三方应用访问被保护的用户数据时，应在用户确认的情况下才能访问。文件类用户数据包括图片、视频、音频和文档等。

3.6.3 用户数据的加密存储

未经授权的任何实体应不能从终端的加密存储区域的数据中还原出用户私密数据的真实内容。

3.6.4 用户数据的彻底删除

终端提供数据彻底删除功能，以保证被删除的用户数据不可再恢复出来。

3.6.5 用户数据的远程保护

终端应提供用户数据的远程保护能力，以便用户在手机遗失或其他情况下，终端中的用户数据不被泄露。远程保护能力包括远程锁定移动智能终端和远程销毁用户数据。移动智能终端提供的远程保护功能也应具备安全设置，确保远程保护功能仅在达到了用户预设条件的情况下才会启动。

3.6.6 用户数据的转移备份

移动智能终端应具备用户数据（至少包括电话本、短信、多媒体数据）的转移及备份能力。

用户数据的转移备份包括本地备份和远程备份两种，移动智能终端应至少支持一种备份方式。

4 功能限制性要求

移动智能终端应当真实传送信息，不得通过对传送信息的处理或传送虚假信息使信息接收者错误识别特定通信主体等，不得预置可改变通信系统提示信号的应用软件；不得预置国家法律法规禁止的信息内容，也不得预置为传播发布国家法律法规禁止信息内容提供服务的应用软件。

5 安全能力分级

根据移动智能终端所支持的安全能力的程度，自低到高划分为5个等级。

6 结语

与该标准配套的方法标准是YD/T2408—2013《移动智能终端安全能力测试方法》。建议由相关电子行业标准化管理机构，利用各种条件尽最大可能向所有相关产业集团宣贯该标准。建议在该标准从发行之日起，各相关企业及检测机构、认证机构等即以最快的速度贯彻实施。

YD/T 2407-2013 移动智能终端安全能力技术要求[S]