GB∕T 39720-2020 信息安全技术 移动智能终端安全技术要求及测试评价方法.docxVIP

ICS35.040CCSL80

中华人民共和国国家标准

GB／T39720—2020

信息安全技术移动智能终端安全技术要求及测试评价方法

Informationsecuritytechnology—Securitytechnicalrequirementsandtestevaluationapproachesforsmartmobileterminal

2020-12-14发布2021-07-01实施

国家市场监督管理总局国家标准化管理委员会

发布

GB／T39720—2020

目次

前言 Ⅰ

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5概述 2

6安全技术要求 3

6.1硬件安全 3

6.2系统安全 3

6.3应用软件安全 4

6.4通信连接安全 5

6.5用户数据安全 5

7测试评价方法 6

7.1硬件安全 6

7.2系统安全 6

7.3应用软件安全 10

7.4通信连接安全 11

7.5用户数据安全 12

参考文献 15

Ⅰ

GB／T39720—2020

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：深圳信息通信研究院、中国信息通信研究院、OPPO广东移动通信有限公司、中国科学院信息工程研究所、北京邮电大学、北京三星通信技术研究有限公司、维沃移动通信有限公司、华为技术有限公司、北京奇虎科技有限公司、武汉安天信息技术有限责任公司、南昌黑鲨科技有限公司。

1

GB／T39720—2020

信息安全技术移动智能终端安全技术要求及测试评价方法

1范围

本文件规定了移动智能终端安全技术要求及测试评价方法，包括硬件安全、系统安全、应用软件安全、通信连接安全、用户数据安全。

本文件适用于移动智能终端的设计、开发、测试和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T

25069

信息安全技术

术语

GB/T

32927

信息安全技术

移动智能终端安全架构

GB/T

35273

信息安全技术

个人信息安全规范

3术语和定义

GB/T25069、GB/T32927、GB/T35273界定的以及下列术语和定义适用于本文件。3.1

移动智能终端smartmobileterminal

具有能够提供应用程序开发接口的开放系统，并能够安装和运行第三方应用软件的移动终端。

［来源：GB/T32927—2016,3.1.9,有修改］3.2

用户user

使用移动智能终端，与移动智能终端进行交互的对象。［来源：GB/T32927—2016,3.1.11]

3.3

用户数据userdata

由用户产生或为用户服务的数据，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。

［来源：GB/T32927—2016,3.1.12]3.4

移动应用软件mobileapplication

移动智能终端系统之上安装的、向用户提供服务功能的应用软件。3.5

访问控制accesscontrol

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。

2

GB／T39720—2020

［来源：GB/T32927—2016,3.1.5]3.6

授权authorization

根据预先认可的安全策略，赋予主体可实施相应行为权限的过程。

［来源：GB/T32927—2016,3