ICS 35.240 06V GA 中华人民共和国公共安全行业标准 GA/T1547-2019 信息安全技术移动智能终端用户数据 存储安全技术要求和测试评价方法 Information security technology-Security technical requirements and testing and evaluationmethodsfor user data storage ofmobileintelligent terminal 2019-03-08发布 2019-03-08实施 中华人民共和国公安部 发布
GA/T 1547-2019 目次 前言 1范围 2规范性引用文件 3术语和定义 4总体说明.. 4.1安全技术要求分类 4.2安全等级划分 5安全技术要求 5.1数据存储 5.2数据访问控制 5.3数据备份与恢复 5.4数据销毁 5.5安全审计 6测试评价方法 6.1数据存储 6.2数据访问控制 6.3数据备份与恢复 6.4数据销毁 .... 6.5安全审计 7不同安全等级的要求
GA/T1547-2019 前言 本标准按照GB/T1.1一2009给出的规则起草。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、公安部网络安全保卫局。
本标准主要起草人:邹春明、唐迪、俞优、沈亮、张艳、宋好好、顾健。
GA/T 1547-2019 信息安全技术移动智能终端用户数据 存储安全技术要求和测试评价方法 1范围 本标准规定了移动智能终端的用户数据存储安全技术要求、测试评价方法和等级划分要求。
本标准适用于不同安全等级信息系统中移动智能终端操作系统及应用程序在用户数据存储安全方 面的设计、开发及检测。
2规范性引用文件 下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文 件。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件。
GB/T18336.2一2015信息技术安全技术信息技术安全评估准则第2部分:安全功能组件 GB/T25069一2010信息安全技术术语 3术语和定义 GB/T18336.2-2015、GB/T25069-2010和GB/T30284-2013界定的以及下列术语和定义适 用于本文件。
3.1 移动智能终端mobileintelligentterminal 接人公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端设备。
3.2 用户数据userdata 由用户产生或为用户服务的重要数据。
3.3 主体subject 实施操作的实体。
3.4 客体object 由主体操作的实体对象。
4总体说明 4.1安全技术要求分类 本标准主要基于移动智能终端用户数据存储的生命周期提出各阶段的具体安全技术要求,包括数 据存储、数据访问控制、数据备份与恢复、数据销毁及安全审计五个方面。
GA/T 1547-2019 4.2安全等级划分 移动智能终端用户数据存储安全技术要求的安全等级按照数据存储、数据访问控制、数据备份与恢 复、数据销毁、安全审计的强度划分为基本级和增强级。
5安全技术要求 5.1数据存储 5.1.1存储介质 对用户数据提供安全的存储介质及存储路径: a)用户数据应存储在掉电非易失存储介质中; b)对主体产生的用户数据,应存储在默认或者设定的路径下。
5.1.2资源控制 应按以下要求设计和实现资源分配能力: a)能对应用程序所产生的用户数据所占存储资源进行限制; b)能在数据的存储空间达到阅值时,向移动智能终端操作系统用户进行告警。
5.1.3定义数据属性 应支持以默认方式或授权配置方式定义数据属性: a)基本属性:生成时间、最后修改时间、最后访问时间等; b)安全属性:者、读/写权限、数据类别、授权主体及权限、使用范围等; c)数据的重要程度。
5.1.4数据保密性 应采取措施保证移动智能终端上用户数据的保密性: a)采用密码技术保证用户数据在本地存储时的保密性; b)采用国家密码主管部门认可的密码算法对重要用户数据进行加解密。
5.1.5数据完整性 对移动智能终端上用户数据的完整性进行保护和监测: a)采用校验技术或密码技术保证用户数据存储时的完整性; b)对用户数据完整性进行监测,当完整性被破坏时,具有明确的提示; c)采用密码技术保证重要用户数据存储时的完整性,并采用国家密码主管部门认可的密码算法; d)检测到完整性错误时应对用户数据采取必要的恢复措施。
5.2数据访问控制 5.2.1访问控制策略 应提供默认或者可定义的访...
