《信息安全技術(shù) 移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求和測試評(píng)價(jià)方法》編制說明

一、任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)2012年信息安全國家標(biāo)準(zhǔn)項(xiàng)目計(jì)劃，國家標(biāo)準(zhǔn)《信息安全技

術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》由中國移動(dòng)通信研究院負(fù)責(zé)主辦。

任務(wù)參加單位：北京智言金信信息技術(shù)有限公司、中科院研究生院委員會(huì)。

二、編制原則

本標(biāo)準(zhǔn)是全新編制的標(biāo)準(zhǔn)，以自主編寫的方式完成。標(biāo)準(zhǔn)編制參考了《GB/T20271-2006

信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、《GB/T17859-1999計(jì)算機(jī)信息系統(tǒng)安全保

護(hù)等級(jí)劃分準(zhǔn)則》、《YD/T2407-2013移動(dòng)智能終端安全能力技術(shù)要求》《GB/T20272-2006

信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》、《GB/Z28828-2012信息安全技術(shù)公共及商用服

務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》等國家、行業(yè)標(biāo)準(zhǔn)，在進(jìn)行廣泛調(diào)研、征求意見的基礎(chǔ)上，

同時(shí)借鑒國外先進(jìn)理念和技術(shù)，以先進(jìn)性、實(shí)用性、兼容性、可操作性為原則，完成國家標(biāo)

準(zhǔn)《信息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》的研制。

三、主要工作過程

1.成立專門標(biāo)準(zhǔn)編寫組

中國移動(dòng)通信研究院于2012年籌建標(biāo)準(zhǔn)編制組，進(jìn)行了前期研究工作。2013年3月，

由中國移動(dòng)通信研究院牽頭，北京智言金信信息技術(shù)有限公司、中科院研究生院委員會(huì)聯(lián)合

組成編制組，進(jìn)行標(biāo)準(zhǔn)編寫。

2.制定工作計(jì)劃

編制組首先根據(jù)調(diào)研和收集資料、完成草稿、征求意見稿、送審稿的工作流程，制定

了相應(yīng)的工作計(jì)劃，并確定定期召開編制組人員會(huì)議或組內(nèi)通報(bào)編制情況，以及時(shí)征求到意

見和交流情況。

3.確定標(biāo)準(zhǔn)內(nèi)容

經(jīng)編寫組多次會(huì)議討論之后，編寫完成《信息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技

術(shù)要求與測試評(píng)價(jià)方法》標(biāo)準(zhǔn)草稿，“技術(shù)要求”部分包括安全框架、安全目標(biāo)、數(shù)據(jù)存儲(chǔ)

安全等級(jí)劃分、數(shù)據(jù)存儲(chǔ)安全技術(shù)要求，“測試方法”部分包括基礎(chǔ)級(jí)測試評(píng)價(jià)方法和增強(qiáng)

級(jí)測試評(píng)價(jià)方法。

4.主要工作過程

1)前期調(diào)研

2012年12月-2013年2月，進(jìn)行標(biāo)準(zhǔn)前期調(diào)研，研究相關(guān)技術(shù)和標(biāo)準(zhǔn)，形成標(biāo)準(zhǔn)編制

思路。

2)項(xiàng)目啟動(dòng)

2013年3月，中國移動(dòng)通信研究院、北京智言金信信息技術(shù)有限公司、中科院研究生

院委員會(huì)三家單位聯(lián)合成立標(biāo)準(zhǔn)起草小組。

3)初稿編制

2013年6月，標(biāo)準(zhǔn)起草小組完成《信息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求

與測試評(píng)價(jià)方法》草稿，并召開了專家討論會(huì)，征求意見，形成初稿。

4)不斷完善

2013年7月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，根據(jù)會(huì)議專家意見進(jìn)行修改，形成《信

息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》國家標(biāo)準(zhǔn)征求意見第1

稿。

2013年10月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，根據(jù)會(huì)議專家意見進(jìn)行修改，形成《信

息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》國家標(biāo)準(zhǔn)征求意見第2

稿。

2013年12月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，根據(jù)會(huì)議專家意見進(jìn)行修改，形成《信

息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》國家標(biāo)準(zhǔn)征求意見第3

稿。

2014年6月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，根據(jù)會(huì)議專家意見進(jìn)行修改，形成《信

息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》國家標(biāo)準(zhǔn)征求意見第4

稿。

2014年6月~2014年8月，編制組召開多次內(nèi)部會(huì)議和征求意見會(huì)，落實(shí)專家意見，形

成《信息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》征求意見第5稿。

2014年9月，邀請(qǐng)國內(nèi)安全標(biāo)準(zhǔn)專家對(duì)本標(biāo)準(zhǔn)進(jìn)行詳盡修訂，形成《信息安全技術(shù)移

動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》征求意見第6稿。

5)形成送審稿

2014年10月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，對(duì)標(biāo)準(zhǔn)進(jìn)行審議，會(huì)后我們根據(jù)成員

單位的意見進(jìn)行了修改，形成了送審稿第1稿。

2015年1月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，對(duì)標(biāo)準(zhǔn)進(jìn)行審議，會(huì)后我們根據(jù)成員

單位的意見進(jìn)行了修改，形成了送審稿第2稿。

6)形成報(bào)批稿

2015年3月，參加信安標(biāo)委組織的標(biāo)準(zhǔn)審查會(huì)，根據(jù)會(huì)議專家意見進(jìn)行修改，形成《信

息安全技術(shù)移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測試評(píng)價(jià)方法》國家標(biāo)準(zhǔn)報(bào)批稿。

四、標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)

本標(biāo)準(zhǔn)從數(shù)據(jù)加解密、數(shù)據(jù)校驗(yàn)、訪問控制、安全隔離、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)銷毀和

安全審計(jì)等七個(gè)終端安全能力劃分了移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全等級(jí)，按照不同的安全等級(jí)

提出了具體的移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求和測試評(píng)價(jià)方法。

本標(biāo)準(zhǔn)主要由數(shù)據(jù)信息分類、安全框架和目標(biāo)、安全等級(jí)劃分、安全技術(shù)要求和測試評(píng)

價(jià)方法四部分。

數(shù)據(jù)信息的分類：對(duì)移動(dòng)智能終端中的數(shù)據(jù)分為以下四大類：硬件信息、操作系統(tǒng)數(shù)據(jù)、

應(yīng)用軟件數(shù)據(jù)和用戶個(gè)人數(shù)據(jù)。對(duì)每個(gè)大的分類分別進(jìn)行了細(xì)化分類。

安全框架主要包含4個(gè)部分：最底層是硬件信息存儲(chǔ)安全，中間層是操作系統(tǒng)數(shù)據(jù)存儲(chǔ)

安全，頂層是應(yīng)用軟件數(shù)據(jù)存儲(chǔ)安全，用戶個(gè)人數(shù)據(jù)存儲(chǔ)安全涉及到應(yīng)用軟件、操作系統(tǒng)及

硬件3個(gè)層面，對(duì)4個(gè)部分分別提出數(shù)據(jù)存儲(chǔ)安全技術(shù)要求，以達(dá)到數(shù)據(jù)存儲(chǔ)安全的機(jī)密性、

完整性和可用性的目的。

安全等級(jí)劃分依據(jù)數(shù)據(jù)存儲(chǔ)安全能力劃分了基本級(jí)和增強(qiáng)級(jí)?；炯?jí)規(guī)定了移動(dòng)智能終

端數(shù)據(jù)存儲(chǔ)安全的基本技術(shù)要求，其包含了基本級(jí)應(yīng)支持的數(shù)據(jù)存儲(chǔ)安全能力集合。增強(qiáng)級(jí)

規(guī)定了移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全應(yīng)滿足基本級(jí)要求以外還應(yīng)滿足的增強(qiáng)的數(shù)據(jù)存儲(chǔ)安全

技術(shù)要求，其包含了增強(qiáng)級(jí)應(yīng)支持的數(shù)據(jù)存儲(chǔ)安全能力集合。

安全技術(shù)要求分別對(duì)基本級(jí)和增強(qiáng)級(jí)從數(shù)據(jù)加解密、數(shù)據(jù)校驗(yàn)、訪問控制、安全隔離、

數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)銷毀和安全審計(jì)等七個(gè)方面提出了具體的安全技術(shù)要求。

測試方法對(duì)測評(píng)方法、步驟進(jìn)行了規(guī)范，測試內(nèi)容來自于本標(biāo)準(zhǔn)中技術(shù)要求部分相關(guān)章

節(jié)。本標(biāo)準(zhǔn)確定了所有的測試項(xiàng)目及結(jié)果，力求準(zhǔn)確全面。

五、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)智能終端的迅猛發(fā)展，移動(dòng)智能終端所面臨的安全問題也日益凸

顯。與此同時(shí)，移動(dòng)智能終端越來越多地涉及商業(yè)秘密和個(gè)人隱私等敏感信息，面臨著盜取

涉密信息、竊取個(gè)人隱私等安全威脅，對(duì)我國經(jīng)濟(jì)、社會(huì)發(fā)展帶來了潛在威脅。為確保移動(dòng)

智能終端安全，保護(hù)移動(dòng)智能終端數(shù)據(jù)信息安全，制定移動(dòng)智能終端數(shù)據(jù)安全技術(shù)要求迫在

眉睫。

本標(biāo)準(zhǔn)依據(jù)國家和相關(guān)行業(yè)信息安全法規(guī)、制度和規(guī)范性