移动终端安全管理与接入控制1 范围本标准规定了移动终端安全管理与接入控制产品的安全功能要求、安全保障要求及等级划分要求。

本标准适用于移动终端安全管理与接入控制产品的设计、开发及测试。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T 25069-2010 信息安全技术术语3 术语和定义GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。

3.1移动终端 mobile terminal可以在移动中使用的计算机设备，包括手机、笔记本、平板电脑等；终端应用场景如POS机、执法记录仪、医疗终端、公司办公终端等。

3.2越狱jailbreak获取IOS操作系统移动终端的系统管理员权限，经过越狱的苹果终端拥有对系统底层的读写权限。

3.3移动终端ROOT mobile terminal ROOT获取Android操作系统移动终端的系统管理员权限，经过ROOT的移动终端拥有对系统底层的读写权限。

3.4移动终端安全管理与接入控制产品mobile terminal security management and access control product为增强移动终端的安全性、可控性和时效性，通过定制安全策略对移动终端进行统一管理和安全接入控制的产品。

4 移动终端安全管理与接入控制产品描述移动终端安全管理与接入控制产品（mobile terminal security management and access control product）通过对终端实施安全防护，防止不安全或无权限的终端接入被保护的网络，访问被保护的应用；避免引起的内网安全威胁，保护在移动终端上缓存的敏感业务数据不被泄露。

实现了对移动终端的统一设备管理、统一接入认证管理、统一的安全策略管理。

图1是移动终端安全管理与接入控制产品的一个典型运行环境。

图1 移动终端安全管理与接入控制产品典型运行环境5 总体说明5.1 安全技术要求分类本标准将移动终端安全管理与接入控制产品安全技术要求分为安全功能要求和安全保障要求两类。

其中，安全功能要求是对移动终端安全管理与接入控制产品应具备的安全功能提出具体要求，包括移动终端安全管理、移动终端接入控制、自身安全功能要求；安全保障要求针对移动终端安全管理与接入控制产品的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持和测试等。

移动终端安全管理与接入控制产品的用户包括管理员用户和普通用户。

5.2 安全等级划分本标准按照移动终端安全管理与接入控制产品安全功能的强度，以及按照GB/T18336.3-2015，对移动终端安全管理与接入控制产品等级进行划分。

安全等级突出安全特性，分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。

6 安全功能要求6.1 移动终端安全管理6.1.1 移动终端注册应提供对移动终端的注册，注册信息包括的注册日期、硬件型号、设备序列号、系统软件版本、所属部门等信息。

6.1.2 移动终端权限状态检测应支持对移动终端超权限状态的检测，即终端“越狱”或“ROOT”权限状态的检测。

6.1.3 移动终端远程监测应能对移动终端位置信息、运行服务、软件版本（至少应包括操作系统、应用程序、杀毒工具等）等信息进行监测。

6.1.4 移动终端非授权外联监控应能检测出移动终端的非授权外联行为，并能自动对非授权外联行为进行有效的阻止（如断网、锁屏、蓝牙禁用等措施）。

6.1.5 移动终端远程管理应提供以下远程管理功能：a)能锁屏移动终端；b)能擦除移动终端存储的敏感业务数据；c)能备份移动终端存储的敏感业务数据；d)能卸载移动终端安装的违规应用软件。

6.1.6 移动终端外围接口控制应支持移动终端所有外围接口的控制，如USB型数据接口、蓝牙、WIFI、2G/3G/4G数据链路接口等。

6.1.7 移动终端应用数据保密性如果移动终端需要保存业务数据，则产品应提供以下数据保密性措施：a)对移动终端存储空间上（包括终端机身内存和SD卡）的敏感业务数据应进行加密处理；b)能自动擦除未加密的敏感业务数据；c)敏感应用数据应禁止复制、剪切和分享；d)数据加密算法应满足国家密码管理局的规定。

6.1.8 移动终端应用数据完整性如果移动终端需要保存业务数据，则产品应确保移动终端中存储的敏感业务数据的完整性，需采取必要的措施对其完整性进行检验。

6.1.9 移动终端帐户安全应具备移动终端强制设置账户密码保护的功能。

6.1.10 移动终端应用程序白名单应提供设置应用白名单的功能，禁止运行白名单外的应用程序。

6.1.11 移动终端集中管理应具备安全策略的集中管理功能：a)移动终端接入控制策略可统一下发；b)移动终端客户端软件可统一升级。

6.1.12 移动终端客户端自身保护应能对安装在移动终端上的客户端提供一定的保护措施，防止非授权用户进行以下操作：a)强行终止该组件运行；b)强制取消该组件在系统启动时自动加载；c)强行卸载、删除或修改该组件。

6.2 移动终端接入控制6.2.1 移动终端用户认证管理6.2.1.1 用户管理应提供以下用户管理能力：a)对用户进行管理的功能，可以创建、修改和删除用户；b)对用户组进行管理的功能，包括：创建、修改和删除用户组，以及修改用户所属的用户组；c)维护用户标识与移动终端标识的关联关系（如，绑定、解绑）。

6.2.1.2 多鉴别机制用户的鉴别信息应采用两种或两种以上的身份鉴别机制（如：动态口令、数字证书或基于生物特征的鉴别信息）。

6.2.1.3 用户身份鉴别当用户请求远程接入应用资源时，产品应鉴别用户身份。

若采用口令鉴别机制，不以明文方式显示口令，并在存储时对鉴别信息进行加密保护。

6.2.1.4 鉴别失败处理应能为用户身份鉴别设定一个鉴别尝试次数阈值，当用户的鉴别不成功次数超过阈值，产品应阻止用户进一步的鉴别请求。

6.2.1.5 鉴别信息保密性若在用户身份鉴别的过程中，用户鉴别信息必须通过网络进行传输，产品应保证数据保密性，防止用户鉴别信息的泄露。

6.2.2 移动终端接入控制功能6.2.2.1 基于用户的远程接入控制策略应能够针对不同用户制定不同的应用资源远程接入控制策略。

6.2.2.2 基于用户组的远程接入控制策略应能够针对不同用户组制定不同的应用资源远程接入控制策略。

6.2.2.3 接入限制能力应提供以下远程接入限制能力：a)用户限制：只有授权用户能够对应用资源进行远程接入；b)接入内容限制：授权用户对应用资源进行远程接入的内容不能超出预定义的范围；c)动作限制：授权用户对应用资源进行远程接入的动作（如对文件、文件夹进行读、写、复制、下载等操作）不能超出预定义的范围；d)时间限制：授权用户对应用资源进行远程接入的时间不能超出预定义的范围；e)序列号/地址限制：授权用户通过网络对应用资源进行远程接入时，该用户所使用的移动终端的序列号/地址不能超出预定义的范围；f)次数限制：授权用户对应用资源进行远程接入的次数不能超出预定义的范围（有则适用）；g)接入方式：授权用户因能对终端接入的方式进行限制。

6.2.2.4 接入控制策略不可旁路应确保用户对应用资源的远程接入都要受到远程接入控制策略的制约。

6.3 自身安全功能要求6.3.1 安全管理6.3.1.1 管理员属性初始化应提供授权管理员属性的初始化能力。

6.3.1.2 管理员唯一性标识应为授权管理员提供唯一的身份标识，同时将授权管理员的身份标识与该授权管理员的所有可审计事件相关联。

6.3.1.3 管理员属性修改应提供授权管理员的属性（至少包括管理员口令）的修改能力。

6.3.1.4 管理员身份鉴别应在执行任何与安全功能相关的操作之前应鉴别任何声称要履行授权管理员职责的管理员身份。

6.3.1.5 管理员身份鉴别失败处理当对授权管理员鉴别失败的次数达到指定阈值后，产品应阻止授权管理员进一步的鉴别请求。

6.3.1.6 管理员配置管理功能应提供授权管理员配置和管理产品安全功能的能力，至少包括：a)增加、删除和修改远程接入控制相关策略；b)查阅当前远程接入控制策略配置；c)查阅和管理审计日志。

6.3.1.7 管理角色应能对管理员角色进行区分，从而实现基于不同角色的安全管理限制：a)具有至少两种不同权限的管理员角色；b)根据不同的功能模块，自定义各种不同权限角色，并可对管理员分配角色。

6.3.2 远程传输安全应保证远程数据的传输安全：a)管理员远程管理会话非明文传输；b)移动终端远程接入应用资源时，能够保证远程接入会话的保密性。

6.3.3 审计功能6.3.3.1 审计日志生成应能对下列事件生成审计记录：a)授权管理员鉴别成功和失败；b)用户身份鉴别成功和失败事件；c)管理员鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；d)用户身份鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；e)管理员的重要操作，如增加、删除管理员，用户管理，远程备份移动终端的业务数据，远程锁屏移动终端等；f)对应用资源远程接入的所有请求，包括成功和失败。

应在每一个审计记录中记录事件发生的日期和时间、事件主体身份、事件描述，成功或失败的标志。

6.3.3.2 审计日志存储应提供以下功能对审计日志进行存储：a)存储在掉电非易失性存储介质中；b)当存储空间达到阈值时，通知授权管理员。

6.3.3.3 审计日志管理应提供以下功能对审计日志进行管理：a)只允许授权管理员访问审计日志；b)按日期、时间、用户标识、网络资源标识等条件对审计日志进行组合查询；c)对审计日志进行备份。

6.3.4 报警功能移动终端应提供以下事件的报警功能：a)进行ROOT权限获取的操作；b)非授权安装应用程序的操作；c)非授权外联行为。

6.3.5 报警响应应对报警事件进行响应，如终端自动关机、阻止终端资源访问等。

7 安全保障要求7.1 开发7.1.1 安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a)与产品设计文档中对安全功能实施抽象描述的级别一致；b)描述与安全功能要求一致的产品安全功能的安全域；c)描述产品安全功能初始化过程为何是安全的；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全特性被旁路。

7.1.2 功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为处理而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯；g)描述安全功能实施过程中，与安全功能接口相关的所有行为；h)描述可能由安全功能接口的调用而引起的所有直接错误消息。