《《信息安全技术-移动智能终端安全架构》意见汇总处理表》由会员分享,可在线阅读,更多相关《《信息安全技术-移动智能终端安全架构》意见汇总处理表(8页珍藏版)》请在金锄头文库上搜索。
1、标准草案稿意见汇总处理表标准项目名称:信息安全技术 移动智能终端安全架构 承办人:宁华 共 3 页 标准项目负责起草单位:工业和信息化部电信研究院 电 话:13910506714 2014年2月25日填写序号标准章条编号意见内容提出单位处理意见备注1、标准草案初稿, 信安标委于2013年4月18日召开专家评审会征求意见2013年4月18日 填写1.标题移动智能终端安全体系架构中体系架构的名称,建议改成移动智能终端安全体系结构,或者移动智能终端安全架构。北京大学采纳,改为移动智能终端安全架构2.术语、定义、缩略语移动智能终端的定义概念需要再清晰中国电子技术标准化研究院采纳,添加特征3.全文体系架
2、构各环节间的相互关系需要作进一步描述。电力科学院采纳,添加图示4.标题移动智能终端安全体系架构的英文翻译缺少移动的对应翻译中国电子技术标准化研究院采纳,添加5.术语、定义、缩略语漏洞的分类标准,建议与现有正在制定的国标保持一致国家信息技术安全研究中心采纳,修正6.标题移动智能终端安全体系架构的英文翻译缺少移动的对应翻译北京大学采纳,修正7.术语、定义、缩略语英文翻译小写,格式编排,前言中国电子技术标准化研究院采纳,修正2、标准草案第1稿, WG6于2013年5月16日召开专家评审会征求意见2013年5月16日 填写8.3.1 术语与定义建议移动智能终端定义采用行标相同的定义,并对具体涉及的对象
3、加以说明。电力科学研究院采纳,采用相同定义9.全文建议维持现有架构的模块划分,各部分下面以要求的形式提出,尽量减少安全机制的说法,且不描述具体的技术实现方式。电力科学研究院采纳,修改文稿10.4建议删除第四章威胁与漏洞部分,留下安全目标和资产分析。中国电子技术标准化研究院采纳,删除11.5建议去除与第5章安全管理相关的描述部分,留下与对终端自身安全功能的要求。中国电子技术标准化研究院采纳,删除12.5.1建议用户信息安全改为用户数据安全,信息具有属性华为采纳,改为用户数据安全13.5.1建议系统安全更改为系统软件安全;应用安全更改为应用软件安全:北京邮电大学采纳,14.4.2建议添加TEE等缩
4、略语的定义说明北京邮电大学采纳,添加相关术语3、标准草案第2稿, WG6于2013年7月18日召开组内投票及审查会2013年7月18日 填写15.5.4.35.4.3“已实现此接口的”改为“已实现此功能的”电信研究院采纳16.5.6.15.6.1“应支持移动终端侧和网络侧的双向认证”删除“双向”,华为采纳17.5.6.15.6.1“可通过端到端的语音加密功能”需考虑合法监听问题”华为采纳,删除18.全文“应”“可”等用词,建议统一引用。中兴采纳,修改文稿19.封面及标题封面以及此处标题中英文不对应,封面英文翻译为“智能移动终端”,中文为“移动智能终端”无线网络安全技术国家工程实验室采纳,英文改
5、为mobile smart terminal20.3.1.1“移动智能终端 smart terminal”, 中英文不对应,英文没有体现“移动”无线网络安全技术国家工程实验室采纳, mobile smart terminal说明: 发送标准草案稿的单位数:全国信安标委网站(征求意见)、工作组专家(评审)、全体工作组成员(投票)。 发送标准草案稿后,回函的单位数: 全体工作组成员。 发送标准草案稿后,回函并有建议或意见的单位数: 个。 没有回函的单位数: 0 个。标准征求意见稿意见汇总处理表标准项目名称:信息安全技术 移动智能终端安全架构 承办人:宁华 共 4 页 标准项目负责起草单位:工业和信
6、息化部电信研究院 电 话:13910506714 2013年9月1日填写序号标准章条编号意见内容提出单位处理意见备注21.3.1.1标准文本中,列项的各项之前应使用列项符号(破折号“”或圆点“”),或在列项中的项需要识别时使用字母编号 后带半圆括号的小写拉丁字母,如a)、b)、c)等进行标示。 无线网络安全技术国家工程实验室采纳,改为“”22.3.2标准中的“符号、代号和缩略语”章中的符号、代号或缩略语清单宜按照字母顺序编排。无线网络安全技术国家工程实验室采纳23.4.1“系统软件:包括操作系统、通信协议软件等”应增加标点符号。无线网络安全技术国家工程实验室采纳24.5.1“硬件安全为移动智能
7、终端提供了基础的安全保障系统软件安全基于硬件安全,提供系统级别的安全保障应用软件安全保障业务层面的安全可靠用户数据安全则为个人信息提供保护”应增加标点符号。无线网络安全技术国家工程实验室采纳,添加;号25.5.2.3文字重复“关键器件具有抵抗篡改等物理攻击的能力,通过通过攻击获得有效信息十分困难。”无线网络安全技术国家工程实验室采纳,删除“通过”26.5.2.4“移动智能终端存储芯片具备完整性和机密性保护机制。”只要求了存储芯片?其他芯片没有要求?无线网络安全技术国家工程实验室采纳,删除“存储”27.5.5.7“建立通讯录、通话记录、信息、浏览记录、账户信息、照片、基站、位置、WiFi等用户数
8、据的安全保护机制,阻止未经许可获取用户的个人数据。”无线网络安全技术国家工程实验室采纳,将“WiFi”改为“WLAN”28.5.61)作为智能终端安全架构标准,对于无线、有线外围接口的安全仅从功能和应用角度进行了规范,标准对无线、有线外围接口自身通信的安全未做规范和要求,如终端实体间的身份鉴别、通信安全等,这对于智能终端产品的互联互通缺少必要的指导作用;2)网络通信经常处于这样的环境,非授权的终端设备可以物理的连接到网络上,授权的终端设备所连接的网络也不一定是它所期望的,因此在终端和网络通信前,需要通过鉴别和授权功能互相鉴别对方身份的合法性,以保证通信的安全。对此通信和信息技术业界一直在寻找经
9、济有效的安全解决方案,安全的网络应受到保护,免遭恶意和无意的攻击,并且应满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、可核查性、真实性和可靠性的要求;3)国家标准GB/T 28455-2012规范了一套适用于网络访问控制和身份管理的,支撑上层业务的,具有普遍适用性的实体鉴别与安全接入协议和结构。该标准对实现诸如“合法终端访问合法网络”的通信和网络安全,防止“信息未经授权使用、误用”等信息安全问题可起到支撑作用,在此基础上可衍生出多种安全接入协议,普遍适用于无线移动、有线网络、近距离通信等领域。无线网络安全技术国家工程实验室在参考文献中添加国家标准GB/T 28455-201229.参考
10、文献5GB/T 25069-2010 信息安全技术 术语,在“规范性引用文件”中已列出,参考文献清单中不必重复出现。无线网络安全技术国家工程实验室采纳,删除该引用30.5.2.1配置信息不适合用来做一致性效验,因配置文件本身属于可变化的内容,会随着各个不同的要求做不同的配置,建议删除配置信息相关描述华为终端采纳,删除31.5.2.4“移动智能终端存储芯片具备完整性和机密性保护机制”-芯片本身可以具备也可以通过增加安全芯片达到保护,不应要求存储芯片具备完整性和机密性机制; 可以考虑删除或修改为“移动智能终端保护机制或移动终端支持通过增加安全芯片来保证完整性和机密性。”)华为终端采纳,改为”移动智
11、能终端存储芯片具备完整性和机密性保护机制,或支持通过增加安全芯片来保证完整性和机密性。”32.5.6.6严格限制重要和敏感数据不能存储在外置存储设备中” 严格限制不能存储, 感觉意思不太明确, 若为不能存储外部则对应用增加了很大的限制, 重要的数据可以加密保存在外部;华为终端采纳,修改为“对于支持外置存储设备的移动智能终端,限制非授权应用软件对外置存储设备的访问。授权应用软件存储、移动、复制、转存重要数据至外置存储设备时,移动智能终端应提供加密机制。”说明: 发送征求意见稿的单位数: 大部门(副主任单位),以及全国信安标委网站征求意见。 发送征求意见稿后,回函的单位数: 2 个。 发送征求意见
12、稿后,回函并有建议或意见的单位数: 2个。 没有回函的单位数: 0个。标准送审稿意见汇总处理表标准项目名称:信息安全技术 移动智能终端安全架构 承办人:宁华 共 1 页 标准项目负责起草单位:工业和信息化部电信研究院 电 话:13910506714 2014年2月25日填写序号标准章条编号意见内容提出单位处理意见备注33.34.35.1)说明: 发送标准送审稿的单位数: 全国信安标委全体委员,以及全国信安标委网站征求意见。 发送标准送审稿后,回函的单位数: 全国信安标委全体委员。 发送标准送审稿后,回函并有建议或意见的单位数: 个。 没有回函的单位数: 0 个。 信息系统安全管理要求标准编制组 二一一年一月二十日- 8 -
