"ISCCC-TR-032-2014 移动终端管理控制产品安全技术要求"
本文档详细阐述了移动终端管理控制产品的安全技术要求,旨在规范此类产品的设计、开发和评估,确保在对手机、平板电脑等移动设备进行管理和监控时,能有效保障数据安全和用户隐私。这份技术要求由中国信息安全认证中心发布,适用于第三方测评机构对产品的检测,同时也可作为产品设计和实现的参考标准。
1. 范围:该技术要求覆盖了移动终端管理控制产品的功能要求、安全功能要求以及保证要求。产品应能够对移动终端设备的状态进行查询和控制,支持多终端管理,并具备策略管理、应用管理、客户端卸载管理等功能。
2. 功能要求:
- 移动终端设备状态查询:产品应能实时获取并报告设备的状态信息,包括但不限于位置、网络连接、电量等。
- 设备控制功能:应支持远程锁定、解锁、数据擦除等操作,以应对丢失或被盗的情况。
- 多终端支持:产品需具备同时管理大量不同型号和品牌移动终端的能力。
- 策略管理:提供定制化的安全策略,如密码策略、数据加密策略等。
- 应用管理:允许安装、卸载、更新应用程序,并能监控应用的使用情况。
- 客户端卸载管理:防止非法卸载管理软件,保证管理的有效性。
- 中文化支持:适应中国市场,提供中文界面和服务。
- 报表功能:生成设备管理相关的统计报告,便于分析和决策。
3. 安全功能要求:
- 安全审计:记录并审计所有管理操作,便于追溯和审计。
- 标识与鉴别:确保每个设备和用户都有唯一的标识,以实施权限管理。
- 用户数据保护:保护用户数据不被未经授权的访问、修改或泄露。
- 安全管理:设立安全策略,防范恶意攻击和非法操作。
- TSF保护:保护系统自身免受攻击,确保管理平台的安全稳定运行。
4. 保证要求:
- 配置管理:严格控制产品配置,防止因配置不当导致的安全问题。
- 交付和运行:在产品部署和运行过程中,确保符合安全标准。
- 安全功能开发过程:遵循安全开发流程,减少漏洞的产生。
- 指导性文档:提供详细的操作指南和安全手册,帮助用户正确使用。
- 脆弱性评定:定期进行安全性评估,及时发现并修复安全漏洞。
5. 测评方法:文档详细规定了功能测试和安全性测试的步骤、环境和工具,以确保产品符合上述要求。
这些技术要求旨在建立一个全面的移动终端管理控制产品安全框架,为产品开发者和测评机构提供了清晰的标准,促进移动设备管理行业的健康发展。遵循这些要求,可以提高移动终端管理控制产品的安全性和可靠性,更好地保护企业和个人用户的数字资产。