ICS35.040 L 80 GB 中华人民共和国国家标准 GB/T34975—2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法 Information security technology-Security technical requirements and testing and evaluation approachesfor application software of smartmobileterminals 2017-11-01发布 2018-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 34975—2017 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 安全技术要求 4.1 安全功能要求 4.2 安全保障要求 5 测试评价方法 5.1 安全要求测试 5.2 安全保障要求测试 11 GB/T 34975—2017 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：公安部第三研究所（公安部计算机信息系统安全产品质量监督检验中心）、杭州安 恒信息技术有限公司、华东师范大学、中国电子技术标准化研究院、中国信息安全研究院有限公司、中国 信息通信研究院、中国移动通信集团公司、华东理工大学、国家信息中心 本标准主要起草人：俞优、张艳、陆臻、何道敬、唐迪、顾健、沈亮、杨元原、陈妍、杨晨、许玉娜、范渊、 孙小平、林家骏、杨正军、潘娟、邱勤、袁捷、章恒。 一 GB/T34975—2017 信息安全技术移动智能终端应用软件 安全技术要求和测试评价方法 1范围 本标准规定了移动智能终端应用软件的安全技术要求和测试评价方法。 本标准适用于移动智能终端应用软件的开发、运作与维护等生存周期过程的安全保护与测试评估 不适用于移动智能终端恶意软件的评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2010信息安全技术术语 3术语和定义 GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 3.2 移动智能终端操作系统 operatingsystemofsmartmobileterminal 移动智能终端最基本的系统软件，用于控制和管理移动智能终端各种硬件和软件资源，并提供应用 程序开发接口。 3.3 移动智能终端应用软件 application software of smart mobile terminal 务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件， 4安全技术要求 4.1安全功能要求 4.1.1安装及卸载安全 4.1.1.15 安装要求 终端应用软件的安装需得到明确授权，其安装过程只能运行在特定环境中且不能破坏其运行环境， 具体技术要求如下： 1 GB/T34975—2017 信息安全技术移动智能终端应用软件 安全技术要求和测试评价方法 1范围 本标准规定了移动智能终端应用软件的安全技术要求和测试评价方法。 本标准适用于移动智能终端应用软件的开发、运作与维护等生存周期过程的安全保护与测试评估 不适用于移动智能终端恶意软件的评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2010信息安全技术术语 3术语和定义 GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 3.2 移动智能终端操作系统 operatingsystemofsmartmobileterminal 移动智能终端最基本的系统软件，用于控制和管理移动智能终端各种硬件和软件资源，并提供应用 程序开发接口。 3.3 移动智能终端应用软件 application software of smart mobile terminal 务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件， 4安全技术要求 4.1安全功能要求 4.1.1安装及卸载安全 4.1.1.15 安装要求 终端应用软件的安装需得到明确授权，其安装过程只能运行在特定环境中且不能破坏其运行环境， 具体技术要求如下： 1 GB/T34975—2017 信息安全技术移动智能终端应用软件 安全技术要求和测试评价方法 1范围 本标准规定了移动智能终端应用软件的安全技术要求和测试评价方法。 本标准适用于移动智能终端应用软件的开发、运作与维护等生存周期过程的安全保护与测试评估 不适用于移动智能终端恶意软件的评估。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2010信息安全技术术语 3术语和定义 GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 3.2 移动智能终端操作系统 operatingsystemofsmartmobileterminal 移动智能终端最基本的系统软件，用于控制和管理移动智能终端各种硬件和软件资源，并提供应用 程序开发接口。 3.3 移动智能终端应用软件 application software of smart mobile terminal 务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件， 4安全技术要求 4.1安全功能要求 4.1.1安装及卸载安全 4.1.1.15 安装要求 终端应用软件的安装需得到明确授权，其安装过程只能运行在特定环境中且不能破坏其运行环境， 具体技术要求如下： 1