ICS 35.240 A.90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX—XXXX 信息安全技术 移动智能终端用户数据存 储安全技术要求和测试评价方法 Information security technology Security technical requirements and testing and evaluation methods for user data storage of mobile intelligent terminal （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国公安部 发布 GA/T XXXX —XXXX I 目 次 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 总体说明 ................................ ................................ ........... 1 4.1 安全技术要求分级 ................................ ................................ . 2 4.2 安全技术要求分类 ................................ ................................ . 2 5 安全技术要求 ................................ ................................ ....... 2 5.1 数据存储 ................................ ................................ ......... 2 5.2 数据访问控制 ................................ ................................ ..... 2 5.3 数据备份与恢复 ................................ ................................ ... 3 5.4 数据销毁 ................................ ................................ ......... 3 5.5 安全审计 ................................ ................................ ......... 3 6 测试评价方法 ................................ ................................ ....... 3 6.1 数据存储 ................................ ................................ ......... 4 6.2 数据访问控制 ................................ ................................ ..... 5 6.3 数据备份与恢复 ................................ ................................ ... 6 6.4 数据销毁 ................................ ................................ ......... 6 6.5 安全审计 ................................ ................................ ......... 7 7 不同安全等级的要求 ................................ ................................ . 7 GA/T XXXX —XXXX II 前 言 本标准按照 GB/T 1.1 -2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心 、公安部网络安全保卫局。 本标准主要起草人：邹春明 、唐迪、俞优、 沈亮、张艳、宋好好 、顾健。 GA/T XXXX —XXXX 1 信息安全技术 移动智能终端用户数据存储安全技术要求和测试评 价方法 1 范围 本标准规定了移动智能终端 的用户数据存储安全 技术要求、 测试评价方法 和等级划分要求 。 本标准适用于 不同安全等级 信息系统中移动智能终端操作系统及应用程序在 用户数据存储安全 方 面的设计、开发 及检测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18336.2 －2015 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件 GB/T 25069－2010 信息安全技术 术语 GB/T 30284 －2013 移动通信智能终端操作系统安全技术要求（ EAL2级） 3 术语和定义 GB/T 18336.2－2015、GB/T 25069－2010和GB/T 30284 －2013界定的以及 下列术语和定义适用于本 文件。 3.1 移动智能终端 mobile intelligent terminal 接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端设备 。 3.2 用户数据 user data 由用户产生或为用户服务的 重要数据。 3.3 主体 subject 实施操作的实体 。 3.4 客体 object 由主体操作的 实体对象。 4 总体说明 GA/T XXXX —XXXX 2 4.1 安全技术要求分级 移动智能终端用 户数据存 储安全技术要求 的安全等级按照 数据存储 、数据访问控制 、数据备份与恢 复、数据销毁 、安全审计 的强度划分为基本级和增强级 。 4.2 安全技术要求分类 本标准主要基于移动智能终端用户数据存储的生命周期提出各阶段的具体安全技术要求， 包括数据 存储、数据访问控制、数据备份与恢复、数据销毁及安全审计 五个方面。 5 安全技术要求 5.1 数据存储 5.1.1 存储介质 对用户数据提供安全的存储介质及存储路径 ： a） 用户数据应存储在掉电非 易失存储介质中； b） 对主体产生的用户数据，应存储在默认 或者设定 的路径下。 5.1.2 资源控制 应按以下要求设计和实现 资源分配能力： a） 能对应用程序所产生的用户数 据所占存储资源进行限制； b） 能在数据的存储空间达到阈值时 ，向移动智能终端操作系统用户 进行告警 。 5.1.3 定义数据属性 应支持以默认方式或授权配置方式定义数据属性 ： a） 基本属性：生成时间、最后修改时间、最后访问时间等 ； b） 安全属性：所有者 、读/写权限、数据类别、 授权主体及权限、 使用范围 等； c） 数据的重要程度。 5.1.4 数据保密性 应采取措施保证 移动智能 终端上用户数据的保密性： a） 采用密码技术保证 用户数据在本地存储时的保密性； b） 采用国家密码主管部门认可 的密码算法 对重要用户数据进行加解密 。 5.1.5 数据完整性 对移动智能 终端上用户 数据的完整性 进行保护和监测： a） 采用校验技术或密码技术保证用户数据存储时的完整性； b） 对用户数据完整性进行监测，当完整性被破坏时，具有明确的提示； c） 采用密码技术保证重要用户数据存储时的完整性，并采用 国家密码主管部门认可 的密码算法； d） 检测到完整性错误时应对用户数据采取必要的恢复措施。 5.2 数据访问控制 5.2.1 访问控制策略 应提供默认或者可定义的访问控制策略 ： GA/T XXXX —XXXX 3 a) 访问控制策略应包括授权主体、访问方式（读、写、删除等）、客体等元素； b) 访问控制策略应覆盖所有的主 体、客体以及之间的操作 ； c) 采用默认禁止原则的访问控制策略 ； d) 遵循最小授权原则 ，为主体授 予业务所 必需的最小权限 。 5.2.2 主体身份鉴别与识别 对用户数据执行任何操作之前，