移动智能终端操作系统安全技术要求(EAL2-EAL4)

"该文件是中国国家标准GB/TXXXXX—XXXX，名为‘信息安全技术 移动通信智能终端操作系统安全技术要求’的征求意见稿，旨在规范移动智能终端操作系统的安全保护，参照GB/T 18336-2015的安全功能组件和安全保障组件，针对EAL2、EAL3和EAL4保障级提出要求。标准涵盖了术语定义、评估对象描述、安全问题定义、安全目的、安全要求以及基本原理等内容。" 本文档主要关注移动通信智能终端操作系统的安全，确保数据资产的安全性。首先，它定义了标准所使用的术语和缩略语，包括评估对象（如TOE，即Target of Evaluation）和相关的安全特征。接着，文档详细描述了资产（包括硬件、软件和数据）、安全威胁（如非法访问和恶意软件）以及组织的安全策略和假设，这些都是制定安全要求的基础。 在安全目的部分，标准界定了TOE（移动智能终端操作系统）的安全目标，以及环境（例如网络、用户和管理者）的安全目标。安全要求分为安全功能要求和安全保障要求两部分，前者规定了系统必须具备的安全功能组件，后者则涉及实现这些功能所需的管理、配置和维护活动。 在安全功能要求中，标准列举了一系列组件，如安全审计、密码支持、用户数据保护和安全管理等。值得注意的是，标准对某些组件的要求进行了更新或调整，例如增加了防止审计数据丢失的功能，强化了密码支持和用户数据保护的组件，同时也引入了新的安全功能，如密钥生成和基本回退机制。 在安全保障要求方面，标准强调了实施和维护这些安全功能的方法，以确保系统的持续安全性。此外，文档还讨论了安全目的的基本原理和安全要求的基本原理，以及组件之间的依赖关系，帮助理解和实现标准的意图。 最后，标准列出了参考文献，以供进一步研究和理解相关背景。该标准的修订版对比旧版本做了诸多改动，以适应不断发展的移动通信和信息安全环境。这些改动反映了对当前安全挑战的最新认识，旨在提升移动智能终端操作系统的整体安全水平。