ICS 35.060 M 36 DB44 广 东 省 地 方 标 准 DB44/T 2189.4—2019 移动终端信息安全 第 4 部分：敏感信息安全检测方法 Informataion security of mobile terminal——Part 4：Safety testing method for sensitive informatiom 2019 - 09 - 09 发布 广东省市场监督管理局 2019 - 12 - 01 实施 发 布 DB44/T 2189.4—2019 目 次 前言 ..................................................................................II 1 范围 ................................................................................1 2 规范性引用文件 ......................................................................1 3 术语和定义 ..........................................................................1 4 移动终端敏感信息安全检测基本要求 ....................................................1 4.1 检测前准备 ......................................................................1 4.2 检测条件 ........................................................................1 4.3 检测结果 ........................................................................1 5 敏感信息安全检测方法 ................................................................2 5.1 生成阶段的检测 ..................................................................2 5.2 存储阶段的检测方法 ..............................................................2 5.2.1 安全域隔离的检测 ............................................................2 5.2.2 敏感信息加密存储得检测 ......................................................2 5.2.3 敏感信息远程保护的检测 ......................................................3 5.2.4 敏感信息备份的检测 ..........................................................3 5.3 加工阶段的检测方法 ..............................................................4 5.4 转移阶段的检测方法 ..............................................................4 5.4.1 总则 ........................................................................4 5.4.2 敏感信息转移的身份验证检测 ..................................................4 5.4.3 敏感信息加密传输的检测 ......................................................5 5.4.4 敏感信息传输确认的检测 ......................................................5 5.5 应用阶段的检测方法 ..............................................................6 5.5.1 敏感信息访问者的身份检测 ....................................................6 5.5.2 敏感信息访问的检测 ..........................................................6 5.5.3 敏感信息共享的安全检测 ......................................................7 5.6 废止与删除阶段的检测方法 ........................................................8 5.6.1 敏感信息废止的检测 ..........................................................8 5.6.2 敏感信息删除的检测 ..........................................................8 参 考 文 献 .........................................................................9 I DB44/T 2189.4—2019 前 言 《移动终端信息安全》分为4个部分： ——移动终端信息安全 第1部分：敏感信息安全检测技术要求； ——移动终端信息安全 第2部分：敏感信息等级保护与测评； ——移动终端信息安全 第3部分：敏感信息风险评估； ——移动终端信息安全 第4部分：敏感信息安全检测方法。 本部分为第4部分。 本部分按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由广东省工业和信息化厅提出。 本部分由广东省大数据标准化技术委员会（GD/TC120）归口。 本部分起草单位：工业和信息化部电子第五研究所。 本部分主要起草人：王韬、王贵虎、杨春晖、华小方、林军、冯晓荣、谢克强。 本部分为首次发布。 II DB44/T 2189.4—2019 移动终端信息安全 第 4 部分：敏感信息安全检测方法 1 范围 本部分规定了移动终端敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段及废止与删 除阶段的检测方法。 本部分适用于移动通信网的智能手机和平板电脑设备。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T 1700-2007 移动终端信息安全测试方法 YD/T 2408-2013 移动智能终端安全能力测试方法 DB44/T 2189.1-2019 移动终端信息安全 第1部分：敏感信息安全检测技术要求 3 术语和定义 DB44/T 2189.1-2019界定的术语和定义适用于本部分。 4 移动终端敏感信息安全检测基本要求 4.1 检测前准备 移动终端能够正常使用，且移动终端厂家能够提供移动终端相关信息，其相关的信息应按YD/T 1700-2007表1中的规定。 4.2 检测条件 移动终端应能够符合以下检测条件： a) 移动终端处于正常工作状态； b) 辅助测试无线环境工作正常； c) 已在相关的系统数据库中对测移动终端进行了正确的配置。 4.3 检测结果 移动终端敏感信息安全检测结果可分以下两种情况： a) 未见异常：通过检测没有发现存在敏感信息安全的风险和隐患； b) 存在异常：通过检测发现存在敏感信息安全的风险和隐患。 1 DB44/T 2189.4—2019 5 敏感信息安全检测方法 5.1 生成阶段的检测 生成阶段的检测见表1。 表1 技术要求：满足 DB44/T 2189.1—2019，5.1 中的要求 预置条件：移动终端处于正常工作状态 检测步骤： a) 检查被测试的移动终端是否提供敏感信息标识； b) 标识是否容易被识别； c) 检查移动终端是否能够设置敏感信息的有效时间。 检测结果： a) 有提醒信息主体对所创建的信息进行敏感标识，且标识的选项位易于信息主体识别； b) 能够提供设置敏感信息有效时间的选项。 符合以上检测结果，该项检测结果为“未见异常” ，反之该项目检测结果为不符合要求。 5.2 存储阶段的检测方法 5.2.1 安全域隔离的检测 安全域隔离的检测见表2。 表2 技术要求：满足 DB44/T 2189.1—2019，5.2.1 中的要求 预置条件：移动终端处于正常工作状态 检测步骤： a) 在移动终端上创建敏感信息； b) 保存已创建的敏感信息； c) 查看敏感信息保存的位置。 检测结果： 检查到敏感信息与非敏感信息保存的位置不一致，敏感信息单独存在隔离区域。 符合以上检测结果，该项检测结果为“未见异常” ，反之该项目检测结果为不符合要求。 5.2.2 敏感信息加密存储得检测 敏感信息加密存储的检测见表3。 表3 技术要求：满足 DB44/T 2189.1—2019，5.2.2 中的要求 预置条件：移动终端处于正常工作状态 2 DB44/T 2189.4—2019 表3（续） 检测步骤： a) 在移动终端上创建敏感信息； b) 保存已创建的敏感信息，选择加密存储； c) 输入错误的密码打开敏感信息； d)输入正确的密码打开敏感信息。 检测结果： a) 在步骤 2 后，移动终端提供设置敏感信息查看密码的选项； b) 在步骤 3 后，不能查看敏感信息； c) 在步骤 4 后，能查看敏感信息。 符合以上检测结果，该项检测结果为“未见异常” ，反之该项目检测结果为不符合要求。 5.2.3 敏感信息远程保护的检测 敏感信息远程保护的检测见表4。 表4 技术要求：满足 DB44/T 2189.1—2019，5.2.3 中的要求 预置条件：被测移动终端处于正常工作状