ImageVerifierCode 换一换
格式:PDF , 页数:28 ,大小:1.34MB ,
资源ID:1488045      下载积分:5000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-1488045.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(DB44 T 2189.2-2019 移动终端信息安全 第2部分:敏感信息安全等级保护与测评.pdf)为本站会员(postpastor181)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

DB44 T 2189.2-2019 移动终端信息安全 第2部分:敏感信息安全等级保护与测评.pdf

1、ICS 35.060 M 36 DB44 广东省 地方标准 DB44/T 2189.2 2019 移动终端信息安全 第 2 部分:敏感信息安全等级保护与测评 Informataion security of mobile terminal Part2: Testing and evaluation for classified protection of sensitive information security 2019 - 09 - 09 发布 2019 - 12 - 01 实施 广东 省市场监督管理局 发布 DB44/T 2189.2 2019 I 目 次 前 言 . III 1 范围

2、 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 移动终端敏感信息等级保护概述 .1 4.1 敏感信息安全保护等级 .1 4.2 不同等级的安全保护能力 .1 4.3 安全要求 .2 5 移动终端敏感信息安全等级保护要求 .2 5.1 总则 .2 5.2 较轻要 求 .2 5.2.1 敏感信息的生成 .2 5.2.2 敏感信息的存储 .2 5.2.3 敏感信息的加工 .2 5.2.4 敏感信息 的转移 .2 5.2.5 敏感信息的应用 .3 5.2.6 敏感信息的废止与删除 .3 5.3 一般要求 .3 5.3.1 敏感信息的 生成 .3 5.3.2 敏感信息的存储 .3 5.3.3

3、 敏感信息的加工 .3 5.3.4 敏感信息的转移 .3 5.3.5 敏感信 息的应用 .4 5.3.6 敏感信息的废止与删除 .4 5.4 严重要求 .4 5.4.1 敏感信息的生成 .4 5.4.2 敏感信息 的存储 .4 5.4.3 敏感信息的加工 .5 5.4.4 敏感信息的转移 .5 5.4.5 敏感信息的应用 .5 5.4.6 敏感信息的废 止与删除 .5 6 移动终端敏感信息安全等级保护测评原则 .5 6.1 客观性和公正性原则 .5 6.2 经济性和可重用性原则 .5 6.3 可重复性和可再现性原则 .6 DB44/T 2189.2 2019 II 6.4 符合性原则 . 6

4、7 移动终端敏感信息安全等级保护测评要求 . 6 7.1 较轻测评要求 . 6 7.1.1 敏感信息的生成 . 6 7.1.2 敏感信息的存储 . 6 7.1.3 敏感信息的加工 . 7 7.1.4 敏感信息的转移 . 8 7.1.5 敏感信息的应用 . 8 7.1.6 敏感信息的废止与删除 . 9 7.2 一般测评要求 . 9 7.2.1 敏感信息的生成 . 10 7.2.2 敏感 信息的存储 . 10 7.2.3 敏感信息的加工 . 11 7.2.4 敏感信息的转移 . 11 7.2.5 敏感信息的应用 . 12 7.2.6 敏感信息的废止与删除 . 13 7.3 严重测评要求 . 13

5、7.3.1 敏感信息的生成 . 13 7.3.2 敏感信息的存储 . 14 7.3.3 敏感信息的加工 . 15 7.3.4 敏感信息的转移 . 15 7.3.5 敏感信息的应用 . 16 7.3.6 敏感信息的废止与删除 . 17 参 考 文 献 . 18 DB44/T 2189.2 2019 III 前 言 移动终端信息安全分为 4个部分: 移动终端信息安全 第 1部分:敏感信息安全检测技术要求; 移动终端信息安全 第 2部分:敏感信息安全等级保护与测评; 移动终端信息安全 第 3部分:敏感信息风险评估; 移动终端信息安全 第 4部分:敏感信息安全检测方法。 本部分为第 2部分。 本部分按

6、照 GB/T 1.1-2009给 出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的 责任。 本部分由广东省工业和信息化厅提出。 本部分由广东省大数据标准化技术委员会 ( GD/TC120) 归口。 本部分起草单位:工业和信息化部电子第五研究所。 本部分主要起草人:王韬、王贵虎、杨春晖、华小方、冯晓荣、谢克强。 本部分为首次发布。 DB44/T 2189.2 2019 1 移动终端信息安全 第 2 部分:敏感信息安全等级保护与测评 1 范围 本部分规定了移动终端敏感信息安全等级保护概述、敏感信息安全等级保护要求、敏感信息安全等 级保护测评原则和敏感信息安全

7、 等级保护测评要求。 本部分适用于移动通信网的手机和平板电脑设备。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 DB44/T 2189.1-2019 移动终端信息安全 第 1 部分:敏感信息安全检测技术要求 3 术语和定义 DB44/T 2189.1-2019 界定的术语和定义适用于本部分。 4 移 动终端敏感信息等级保护概述 4.1 敏感信息安全保护等级 本部分将移动终端敏

8、感信息的安全保护等级分为以下三级: 较轻,敏感信息受到破坏或泄露后,会对个人和其他组织的合法权益造成较轻损害,但不损害社会 秩序和公共利益。 一般,敏感信息受到破坏或泄露后,会对个人和其他组织的合法权益产生一般损害,或者对社会秩 序和公共利益造成损害。 严重,敏感信息受到破坏或泄露后,会对社会秩序和公共利益造成严重损害。 4.2 不同等级的安全保护能力 不同等级的移动终端 敏感信息 应具备的基本安全保护能力如下: 较轻安全保护能力:应能够 防护移动 终端敏感信息 免受来自个人的威胁源发起的攻击所造成的损 害; 一般安全保护能力:应能够防护移动 终端敏感信息 免受来自个人、组织内部的威胁源发起的

9、攻击所 造成的损害; 严重安全保护能力:应能够防护移动 终端敏感信息 免受来自外部组织、拥有较为丰富资源的威胁源 DB44/T 2189.2 2019 2 发起的恶意攻击所造成的危害。 4.3 安全要求 移动终端敏感信息安全等级保护应依据敏感信息的安全保护等级情况保证它们具有相应等级的基 本安全保护能力,不同安全保护等级的敏感信息要求具有不同的安全保护能力。 移动终端敏感信息的处理过程可分为敏感信息的生成、存储、 加 工、转移、应用、废止与删除,移 动终端敏感信息的安全保护贯穿于其中的每个环节。 保护要求依照敏感信息的处理过程的各个环节提 出,从各个层面提出了敏感信息相关联的各个环节应该满足的

10、安全要求。 5 移动终端敏感信息安全等级保护要求 5.1 总则 高级别要求应满足低级别要求,特殊要求除外。 5.2 较轻要求 5.2.1 敏感信息的生成 敏感信息的生成应仅由信息主体完成。 5.2.2 敏感信息的存储 5.2.2.1 安全隔离 移动终端 敏感信息 应 支持逻辑隔离 。 5.2.2.2 加密存储 敏感信息的存储应为加密存储,未经合法授权的操作者应不能对存储区域内的加密敏感信息内容进 行操作, 应进行密钥管理 。 5.2.2.3 备份 移动终端应 能够检测出敏感数据完整性受到破坏;同时能够对敏感信息在操作系统同一分区内进行 备份。 5.2.3 敏感信息的加工 敏感信息应允许信息主体

11、和授权操作者对敏感信息进行加工,授权操作者应在授权范围内对敏感信 息进行加工。 5.2.4 敏感信息的转移 5.2.4.1 身份认证 敏感信息主体应能够对敏感信息接收者的身份进行口令鉴别 。 5.2.4.2 传输确认 敏感信息的合法操作用户应在信息主体授权范围内传输敏感信息。 DB44/T 2189.2 2019 3 5.2.5 敏感信息的应用 5.2.5.1 身份认证 敏感信息主体应能够对敏感信息访问者和共享者的身份进行口令鉴别。 5.2.5.2 敏感信息的访问 敏感 信息被访问时应有记录。 敏感信息操作者应在授权范围内对敏感信息进行访问。在访问者未获得授权的情况下,应禁止该访 问者对敏感信

12、息的访问,且应对访问者采取告警的安全措施。 5.2.5.3 敏感信息的共享 敏感信息的共享应经过信息主体的明示同意,应不违背敏感信息主体的意愿。 5.2.6 敏感信息的废止与删除 敏感信息应仅允许信息主体对敏感信息进行废止。敏感信息经过废止后,其管理应符合 GB/Z 28828 2012第 5章中的规定。 敏感信息应允许信息主体和合法操作用户对敏感信息进行删除,删除后应保证被删除的敏感信息在 移动终端不可再恢复和 使用。 5.3 一般要求 5.3.1 敏感信息的生成 敏感信息的标识应在使用范围内统一 。 5.3.2 敏感信息的存储 5.3.2.1 安全隔离 敏感信息存储应支持物理隔离。 5.3

13、.2.2 加密存储 敏感信息的加密存储后应允许信息主体或合法操作用户对存储密码、存储方式及存储属性进行修 改。 5.3.2.3 远程保护 敏感信息的远程存储应允许信息主体简单设置远程操作的条件。 5.3.2.4 备份 移动终端应具有在本地隔离分区对 敏感信息备份 。 5.3.3 敏感信息的加工 敏感信息应允许信息主体和授权操作者对敏感信息进行加工,授权操作者在加工敏感信息前应告知 信息主体加工的目的和方法。 5.3.4 敏感信息的转移 DB44/T 2189.2 2019 4 5.3.4.1 身份认证 敏感信息主 体应能够对敏感信息接收者的身份采用数字证书进行鉴别 。 5.3.4.2 加密传输

14、 敏感信息在传输的过程中应采用加密方式进行密文传输。 5.3.4.3 传输确认 未经敏感信息主体的身份鉴别及明示同意,敏感信息不得被转移给其他任何用户。 5.3.5 敏感信息的应用 5.3.5.1 身份认证 敏感信息主体应能够对敏感信息访问者和共享者的身份 采用数字证书进行鉴别 。 5.3.5.2 敏感信息的访问 敏感信息被访问时应对信息主体进行访问提醒。 如果访问操作没有访问权限,移动终端应能及时检测出来且应对访问者采取阻止操作和记录日志的 安全措施。 5.3.5.3 敏感信息的共享 信息主体应能对敏感信息共享的有效时间进行 设置。 5.3.6 敏感信息的废止与删除 敏感信息应仅允许信息主体

15、对敏感信息进行废止。敏感信息经过废止后,其管理应符合 GB/Z 28828 2012第 5章中的规定。 敏感信息应允许信息主体和合法操作用户对敏感信息进行删除,删除后应保证被删除的敏感信息在 移动终端不可再恢复和使用。 5.4 严重要求 5.4.1 敏感信息的生成 敏感信息的标识应采取知悉的方式,便于信息主体操作, 不宜采取隐蔽手段或间接方式 。 敏感信息生成后应能够提醒信息主体其标识的敏感信息已生成,且敏感信息生成后应允许信息主体 对敏感信息的有效时间和传播次数进行限定。 5.4.2 敏感信息的 存储 5.4.2.1 安全隔离 移动终端为每个进程的数据和指令分配独立的内存空间敏感信息的存储。

16、 5.4.2.2 加密存储 敏感信息加密存储后,合法操作用户进行修改时,应经过敏感信息主体的明示同意。 5.4.2.3 远程保护 DB44/T 2189.2 2019 5 敏感信息的远程存储应允许信息主体详细设置远程操作的条件。 5.4.2.4 备份 移动终端提供敏感信息远程异地备份。 5.4.3 敏感信息的加工 敏感信息被加工时应记录加工过程,记录内容至少包含但不限于敏感信息的修改日期、地点、事件 类型等。 5.4.4 敏感信息的转移 5.4.4.1 身份认证 敏感信息主体应能够对敏感信息接收者的身份采用多种组合方式进行鉴别。 5.4.4.2 加密传输 敏感信息应以密文的方式在专用加密通道传

17、输。 5.4.4.3 传输确认 合法操作用户在成功接收到敏感信息后,应知会信息主体。 5.4.5 敏感信息的应用 5.4.5.1 身份认证 敏感信息主体应能够对敏感信息访问者和共享者的身份 采用至少两种方式进行鉴别 。 5.4.5.2 敏感信息的验证 敏感信息被验证时应提供验证查询。 5.4.5.3 敏感信息的共享 信息主体在共享敏感信息时移动终端应进行记录或提醒,并允许信息主体查询已共享的敏感信息。 5.4.6 敏感信息的废止与删除 敏感信息应仅允许信息主体对敏感信息进行废止。敏感信息经过废止后,其管理应符合 GB/Z 28828 2012第 5章中的规定。 敏 感信息应允许信息主体和合法操

18、作用户对敏感信息进行删除,删除后应保证被删除的敏感信息在 移动终端不可再恢复和使用。 6 移动终端敏感信息安全等级保护测评原则 6.1 客观性和公正性原则 测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下, 按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。 6.2 经济性和可重用性原则 DB44/T 2189.2 2019 6 基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果 和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还 能适用于目前的系统,能反映 目前系统的安全状态。 6

19、.3 可重复性和可再现性原则 无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到 同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评 者重复执行相同测评的结果的一致性。 6.4 符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用 正确的方法以确保其满足了测评指标的要求。 7 移动终端敏感信息安全等级保护测评要求 7.1 较轻测评要求 7.1.1 敏感信息的生成 7.1.1.1 测评指标 见 本部分 5.2.1。 7.1.1.2 测评实施 本项要求包括: 应检查敏感信息的生

20、成是否仅由信息主体完成。 7.1.1.3 结果判定 如果 7.1.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元测 评指标要求。 7.1.2 敏感信息的存储 7.1.2.1 安全隔离 7.1.2.1.1 测评指标 见本部分 5.2.2.1。 7.1.2.1.2 测评实施 本项要求包括: 应检查移动终端敏感信息 是否 应 支持逻辑隔离 。 7.1.2.1.3 结果判定 如果 7.1.2.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 DB44/T 2189.2 2019 7 7.1.2.2 加密存储 7.1.2.

21、2.1 测评指标 见本部分 5.2.2.2。 7.1.2.2.2 测评实施 本项要求包括: a) 应检查移动终端是否允许授权用户对敏感信息加密存储; b) 应检查 未经合法授权的操作者是否禁止对存储区域内的加密敏感信息内容进行操作; c) 应检查是否对密钥进行管理。 7.1.2.2.3 结果判定 如果 7.1.2.2.2 要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评指标要求。 7.1.2.3 备份 7.1.2.3.1 测评指标 见本部分 5.2.2.3。 7.1.2.3.2 测评实施 本项要求包括: a)应检查 移动终端是否 能够检测出敏感数据完整性是否受到

22、破坏 ; b)应检查移动终端是否 能够对在操作系统同一分区内进行备份。 7.1.2.3.3 结果判定 如果 7.1.2.4.2 要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评指标要求。 7.1.3 敏感信息的加工 7.1.3.1 测评指标 见本部分 5.2.3。 7.1.3.2 测评实施 本项要求包括: a) 应检查 移动终端是否 允许信息主体和授权操作者对敏感信息进行加工; b) 应检查移动终端是否禁止非授权用户能够对敏感信息进行变更; c) 应检查授权操作者是否在授权范围内对敏感信息进行加工。 7.1.3.3 结果判定 如果 7.1.3.2 要求均为肯 定

23、,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 DB44/T 2189.2 2019 8 7.1.4 敏感信息的转移 7.1.4.1 身份认证 7.1.4.1.1 测评指标 见本部分 5.2.4.1。 7.1.4.1.2 测评实施 本项要求包括: 应检查敏感信息主体是否能够对敏感信息接收者的身份进行口令鉴别。 7.1.4.1.3 结果判定 如果 7.1.4.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.1.4.2 传输确认 7.1.4.2.1 测评指标 见本部分 5.2.4.2。 7.1.4.2.2 测评实

24、施 本项要求包括: 敏感信息的合法操作用户应在信息主体授权范围内传输敏感信息。 7.1.4.2.3 结果判定 如果 7.1.4.2.3要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.1.5 敏感信息 的应用 7.1.5.1 身份认证 7.1.5.1.1 测评指标 见本部分 5.2.5.1。 7.1.5.1.2 测评实施 本项要求包括: 应检查 敏感信息主体是否能够对敏感信息访问者和共享者的身份进行口令鉴别。 7.1.5.1.3 结果判定 如果 7.1.5.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求

25、。 7.1.5.2 敏感信息的访问 7.1.5.2.1 测评指标 DB44/T 2189.2 2019 9 见本部分 5.2.5.2。 7.1.5.2.2 测评实施 本项要求包括: a) 应检查敏感信息被访问时是否有记录; b) 应检查敏感信息操作者是否在授权范围内对敏感信息进行访问; c) 应检查在访问者未获得授权的情况下,是否禁止该访问者对敏感信息的 访问,且应对访问者采 取告警的安全措施。 7.1.5.2.3 结果判定 如果 7.1.5.2.2 要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评指标要求。 7.1.5.3 敏感信息的访问 7.1.5.3.1

26、测评指标 见本部分 5.2.5.2。 7.1.5.3.2 测评实施 本项要求包括: a) 应检查敏感信息的共享是否经过信息主体的明示同意; b) 应检查敏感信息的共享是否 不违背敏感信息主体的意愿 。 7.1.5.3.3 结果判定 如果 7.1.5.3.2要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评指标要求。 7.1.6 敏感信息的废止与删除 7.1.6.1 测评指标 见 本部分 5.2.6。 7.1.6.2 测评实施 本项要求包括: a) 应检查敏感信息是否仅允许信息主体对敏感信息进行废止; b) 应检查 敏感信息经过废止后,其管理是否符合 GB/Z 28

27、828 2012 第 5 章中的规定; c) 应检查 敏感信息是否允许信息主体和合法操作用户对敏感信息进行删除; d) 应检查敏感信息 删除后,被删除的敏感信息在移动终端是否不可再恢复和使用。 7.1.6.3 结果判定 如果 7.1.6.2要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2 一般测评要求 DB44/T 2189.2 2019 10 7.2.1 敏感信息的生成 7.2.1.1 测评指标 见本部分 5.3.1。 7.2.1.2 测评实施 本 项要求包括: 应检查 敏感信息的标识是否在使用范围内统一 。 7.2.1.3 结果判定 如果

28、7.2.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元测 评指标要求。 7.2.2 敏感信息的存储 7.2.2.1 安全隔离 7.2.2.1.1 测评指标 见本部分 5.3.2.1。 7.2.2.1.2 测评实施 本项要求包括: 应检查移动终端敏感信息存储是否支持物理隔离。 7.2.2.1.3 结果判定 如果 7.2.2.1.2要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.2.2 加密存储 7.2.2.2.1 测评指标 见本部分 5.3.2.2。 7.2.2.2.2 测评实施 本项要求包括: 应检查 敏感信息

29、的加密存储后是否允许信息主体或合法操作用户对存储密码、存储方式及存储属性 进行修改。 7.2.2.2.3 结果判定 如果 7.2.2.2.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.2.3 远程保护 7.2.2.3.1 测评指标 DB44/T 2189.2 2019 11 见本部分 5.3.2.3。 7.2.2.3.2 测评实施 本项要求包括: 应检查 敏感信息的远程存储是否允许信息主体简单设置远程操作的条件 。 7.2.2.3.3 结果判定 如果 7.2.2.3.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本

30、单元 测评指标要求。 7.2.2.4 备份 7.2.2.4.1 测评指标 见本部分 5.3.2.4。 7.2.2.4.2 测评实施 本项要求包括: 应检查 移动终端是否 具有本地隔离分区对 敏感信息备份 。 7.2.2.4.3 结果判定 如果 7.2.2.4.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.3 敏感信息的加工 7.2.3.1 测评指标 见本部分 5.3.3。 7.2.3.2 测评实施 本项要求包括: a) 应检查敏感信息是否允许信息主体和授权操作者对敏感信息进行加工; b) 应检查授权操作者在加工敏感信息前是否告知信息主体加

31、工的目的和方法。 7.2.3.3 结果判定 如果 7.2.3.2 要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符 合本单元 测评指标要求。 7.2.4 敏感信息的转移 7.2.4.1 身份认证 7.2.4.1.1 测评指标 见本部分 5.3.4.1。 7.2.4.1.2 测评实施 DB44/T 2189.2 2019 12 本项要求包括: 应检查 敏感信息主体是否能够对敏感信息接收者的身份采用数字证书进行鉴别 。 7.2.4.1.3 结果判定 如果 7.2.4.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.4.2

32、加密传输 7.2.4.2.1 测评指标 见本部分 5.3.4.2。 7.2.4.2.2 测评实施 本项要求包括: 应检查 敏感信息在传输的过程中是否采用加密方式进行密文传输。 7.2.4.2.3 结果判定 如果 7.2.4.2.2要求为肯定,则移动终端敏感信息符合本单 元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.5 敏感信息的应用 7.2.5.1 身份认证 7.2.5.1.1 评指标 见本部分 5.3.5.1。 7.2.5.1.2 测评实施 本项要求包括: 应检查 敏感信息主体是否能够对敏感信息访问者和共享者的身份 采用数字证书进行鉴别 。 7.2.5.1.3 结果判定 如果

33、7.2.5.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.5.2 敏感信息的访问 7.2.5.2.1 测评指标 见本部分 5.3.5.2。 7.2.5.2.2 测评实施 本项要求包括: a) 应检查敏感信息被访问时是否对信息主体进行访问提醒; b) 应检查如果访问操作没有访问权限,移动终端 是否能及时检测出来且应对访问者采取阻止操作 和记录日志的安全措施。 DB44/T 2189.2 2019 13 7.2.5.2.3 结果判定 如果 7.2.5.2.2 要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评

34、指标要求。 7.2.5.3 敏感信息的共享 7.2.5.3.1 测评指标 见本部分 5.3.5.3。 7.2.5.3.2 测评实施 本项要求包括: 应检查信息主体是否能对敏感信息共享的有效时间进行设置。 7.2.5.3.3 结果判定 如果 7.2.5.3.2要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单元 测评指标要求。 7.2.6 敏感信息的废止与删除 7.2.6.1 测评指标 见 本部分 5.3.6。 7.2.6.1.1 测评实施 本项要求包括: a) 应检查敏感信息是否仅允许信息主体对敏感信息进行废止; b) 应检查 敏感信息经过废止后,其管理是否符合 GB/Z

35、28828 2012 第 5 章中的规定; c) 应检查 敏感信息是否允许信息主体和合法操作用户对敏感信息进行删除; d) 应检查敏感信息 删除后,被删除的敏感信息在移动终端是否不可再恢复和使用。 7.2.6.1.2 结果判定 如果 7.2.6.1.2 要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评指标要求。 7.3 严重测评要求 7.3.1 敏感信息的生成 7.3.1.1.1 测评指标 见本部分 5.4.1。 7.3.1.1.2 测评实施 本项要求包括: a) 应 检查敏感信息的标识是否采取知悉的方式,便于信息主体操作; b) 应检查敏感信息的标识是否禁止

36、宜采取隐蔽手段或间接方式; DB44/T 2189.2 2019 14 c) 应检查 敏感信息生成后是否够提醒信息主体其标识的敏感信息已生成; d) 应检查敏感信息生成后是否允许信息主体对敏感信息的有效时间和传播次数进行限定。 7.3.1.1.3 结果判定 如果 7.3.1.1.2要求均为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本单 元测评指标要求。 7.3.2 敏感信息的存储 7.3.2.1 安全隔离 7.3.2.1.1 测评指标 见本部分 5.4.2.1。 7.3.2.1.2 测评实施 本项要求包括: 应检查移动终端是否 为每个进程的数据和指令分配 独立的内存空间 。 7.3.2.1.3 结果判定 如果 7.3.2.1.2 要求为肯定,则移动终端敏感信息符合本单元测评指标要求,否则,不符合本

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1