智能终端安全形势及标准化

工业和信息化部电信研究院2011年12月介绍提纲2012年5月2日第2页安全评测标准安全评测思路安全评测形势123第3页2012年5月2日目前,移动智能终端集通信、娱乐、存储于一体,已经成为人们日常生活的一部分手机用户:至2011年10月,全国移动电话用户总量约9.
64亿部据工信部统计,北京人均移动电话1.
2部以上移动智能终端用户:2011年第三季度中国智能手机销量2400万部,首次超过美国成为世界上最大的智能手机市场智能手机12%功能手机88%2010年第四季度智能手机19.
5%功能手机80.
5%2011年第三季度2008年全国手机用户净增0.
94亿,达到6.
41亿2009年全国手机用户净增1.
06亿,达到7.
47亿至2011年10月全国手机用户净增1.
05亿,达到9.
64亿2010年全国手机用户净增1.
12亿,达到8.
59亿安全评测形势—智能终端飞速发展安全评测形势--安全事件频出X卧底软件窥探隐私危害巨大2010年,手机僵尸病毒感染100万部手机,日吸费金额超过200万元网易科技统计,我国40%的Android应用包含吸费陷阱恶意吸费软件:终端预置软件和第三方软件包含恶意吸费陷阱的现象突出,形成黑色产业链.
如:彩绣画皮、僵尸病毒、骷髅头、短信海盗用户隐私窃取:用户私密信息成为恶意代码热衷的攻击目标.
如:安卓短信卧底、终极盗密、盗密空间、给你米系统功能破坏:恶意代码破坏终端系统功能.
如:骷髅头终端远程控制:终端操作系统后门导致远程控制隐患,影响用户数据安全.
如:WindowsPhone7远程删除用户程序,苹果远程搜集用户位置信息等资费损失隐私泄露功能损坏2012年5月2日第4页安全评测形势—2011年安全形势仍旧严峻第5页2012年5月2日移动互联网安全事件频繁发生国内吸费、卧底等恶意软件依然是智能终端面临严重安全问题.
谷歌、苹果等搜集用户信息行为给用户个人信息保护构成威胁.
苹果在线应用商店涉黄,影响未成年人的身心健康.
开源免费的Android平台成为手机木马重灾区.
2012年5月2日第6页智能终端安全问题日益凸显智能终端安全事件影响越来越大用户对智能终端提出更多安全需求移动互联网产业对智能终端安全提出更高要求CPURAMROM+外置存储器100MHz---600MHz---1GHz--8MHz---512MHz--阶段制式理论峰值速率2.
5GGPRS115KbpsEDGE384Kbps3GWCDMA/TD-SCDMA384Kbps-2Mbps3.
5GTD-HSDPA2.
8Mbpscdma20001XEV/DORel-A3.
1Mbps/1.
8MbpsWCDMAHSDPA/HSUPA14Mbps/5.
7Mbps4G待定100Mbps存储的用户信息越来越多处理能力越来越强接入网络的速率越来越高移动互联网移动支付CATMobileTouch定位相关服务与安全相关的各种新业务对移动终端安全提出更高要求安全评测形势—新技术、新业务发展2012年5月2日第7页安全评测形势—政府关心的重点方向党中央、国务院和主管部门高度重视2006年全国人大十届四次会议讨论通过的《国民经济和社会发展第十一个五年规划纲要》明确了将加强国家信息安全保障体系建设列为国家信息化发展的战略重点2007年党的十七大报告指出:"完善国家安全战略,健全国家安全体制,……,切实维护国家安全",其中信息安全与国家安全密切相关.
2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)2006年《2006-2020国家信息化发展战略》(中办发[2006]11号)2010年《通信网络安全防护管理办法》(工信部11号)2011年《移动互联网恶意程序监测与处置机制》(工信部)计划出台《移动智能终端和服务管理办法》国家政策支持方向2012年5月2日第8页安全评测标准安全评测思路安全评测形势123介绍提纲移动互联网移动通信接入网无线宽带接入网智能终端安全通信接入和传输安全移动应用安全安全评测思路—安全风险2012年5月2日第9页重点安全问题:资费损失隐私泄露2012年5月2日第10页应用软件绑定绑定安全评测思路—智能终端的安全架构第三方应用软件智能终端安全评测范畴智能终端操作系统硬件外围接口用户数据智能终端芯片预置应用软件三大层面:硬件、操作系统、应用软件2012年5月2日第11页安全评测标准安全评测思路安全评测形势123介绍提纲安全评测标准第12页2012年5月2日参考标准:CCSATC11WG3《智能终端信息安全设计导则》报批中《移动终端可信环境系列标准》制定中YD/T1886-2009《移动终端芯片安全技术要求和测试方法》修订中《智能终端安全能力技术要求》报批中《智能终端安全能力测试方法》报批中安全评测标准—目标第13页2012年5月2日硬件安全目标移动终端硬件安全目标是在芯片级保证移动通信终端内部Flash和基带的安全.

确保芯片内系统程序、终端参数、安全数据、用户数据不被篡改或非法获取.

操作系统安全目标操作系统安全目标是达到操作系统对系统资源调用的监控、保护、提醒,确保涉及安全的系统行为总是在受控的状态下,不会出现用户在不知情情况下某种行为的执行,或者用户不可控的的行为的执行.
另外操作系统还要保证自身的升级是受控的.
安全评测标准—目标第14页2012年5月2日外围接口安全目标外围接口包括无线外围接口、有线外围接口.
外围接口的安全目标是确保用户对外围接口的连接、数据传输可知、可控.
应用软件安全控制目标应用软件安全控制目标是要保证移动终端对要安装在其上的应用软件可进行来源的识别,对已经安装在其上的应用软件可以进行敏感行为的控制.
另外还要确保预置在移动终端中的应用软件无恶意吸费行为,无未经授权的修改、删除、窃取用户数据的行为.