国家标准》移动终端信息安全技术要求.doc

ICS33M 36Y口中华人民共和国通信行业标准移动终端信息安全技术要求InfO帅ation Security Technical Specification for Mobile Terminal中华人民共和国信息产业部发布目次前言 · ”II1范围 “ ”12规范性引用文件 13术语与定义 24缩略语 35总体安全要求 451慨述I O 0 01 0 01 9 Q452移动终端的基本构成453移动终端的安全框架454移动终端构成的一致性检验I Otl O B·I O BQ O B 555基于角色的身份认证 “ ·656访问控制 757数据存储和访问安全858安全域隔离 959安全审计 96移动终端硬件安全要求lO61关键器件的安全1062物理接口的监控 107移动终端操作系统安全要求1171文件系统 1172指令系统 1273系统管理1374安全服务 168移动终端接入安全要求 - 1681接入安全 1682基本业务与功能 1683安全接入相关信令协议 169移动终柏与卡间的数据传输1710移动终端对业务应用的安全支持18 lO1安全组件的概念 18102安全组件应用的策略 18103安全组件的类别18前言本标准是移动终端信息安全系列标准之一，该系列标准的结构及名称如下；1YDT1699-2007移动终端信息安全技术要求l2YDT1700-2007移动终端信息安全测试方法。其中，YDT1700-2007移动终蛸信息安全测试方法是本标准的配套标准。 本标准在制定过程中参考了GBT 18336信息技术安全技术信息技术安全性评估准则YDT1214-2006(9001800M'rlz TDMA数字蜂窝移动通信网通用分组无线业务(GPRS)设备技术要求：移动 台、YDfr 1215-200690叫1800姗zTDMA数字蜂窝移动通信网通用分组无线业务(GPRS)设备测试方法：移动台和YDT 155820072GI乜edma200馓字蜂窝移动通信网设备技术要求：移动台。本标准由中国通信标准化协会提出并归口。 本标准起草单位：大唐电信科技产业集团、中国移动通信集团公司、信息产业部电信研究院、华为技术有限公司、中兴通讯股份有限公司、中田普天信息产业集团公司 本标准主要起草人：刘迪军、耿静、孙正红、刘国庆、高建英移动终端信息安全技术要求，范围 本标准规定了移动终端设备的信息安全技术要求，包括总体安全要求、终端硬件的安全要求、终端软件的安全要求、操作系统的安全要求及对安全应用的支持。本标准适用于=代(包含二代)以上移动通信网的终端设备。本标准不包含EMC、m缸或电气安全等相关的技术要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条歙。凡是注日期的引用文件，其髓后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的备方研疯 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GBT 158432 信息技术安全技术实体鉴别第2部分；采用对称加密算法的机制 GBT 158433 信息技术安全技术实体鉴别第3部分：用非对称签名技术的机制 GBT 15851 信息技术安全技术带消息恢复的数字签名方案(idt ISOIEC 9796)GBT 166493识别卡带触点的集成电路卡第3部分t电信号和传输协议(kitISOIEC7816-3)YDT 1214-20069001800MHz TDMA数字蜂窝移动通信网通用分组无线业务(GPRS)设备技 术要求：移动台YDfr 121520069001800MHz TDMA数字蜂窝移动通信网通用分组无线业务(GPRS)设备测 试方法：移动台YDT 1558-2007 2GHz cdma2000数字蜂窝移动通信网设备技术要求：移动台 YD'r 11682007 CDMA数字蜂窝移动通信网用户识别模块(UIM)技术要求 ISO 8730 银行业务一消息鉴别要求3GPP TS 016l GPRS加密算法要求3GPP TS 24008 移动无线接口层三规范t核心网协议3GPP TS 31102 USIM应用特性3GPP TS 311 1 1 US讧应用工具箱(USAT)3GPPTS 34123-1 用户设备(uE)一致性规范：第1部分：协议一致性规范3GPP2 CS0035 CDMA卡应用工具箱(ccAT)ETSIGSM 1l_14 数字蜂窝通信系统(第“阶段)：用户识别模块一移动设备(SIM-ME)接口 的SIM应用工具包规范ETSITS 102 221 智能卡；UIcc终端接口；物理和逻辑特性ANSI X99 金融机构的消息鉴别OAM DRM v20 数字版权管理标准v20YD厂r 169争273术语与定义下列术语和定义适用于本标准。31文件file文件是在逻辑上具有完整意义的信息的集合，它有一个名称以供识别。32文件系统file system文件系统是操作系统中以文件方式管理移动终端软件资源的软件和被管理的文件和数据结构的集 合。33机密性confidentiality信息不提供给或不泄露给未授权方的属性。34完整性integmy信息不被未授权方变更或破坏的属性。35非否认性can not be disavowed指能够保证信息行为人不能否认其信息行为。36身份认证user authenUcatlon对用户身份标识的有效性进行验证和测试的过程。37授权authodzaUon在用户身份经过认证后，根据预先设置的安全策略授予用户相应权限的过程。38授权用户authorized user依据安全策略可以执行某项操作的用户。根据实际操作的不同，可对应于本文所定义角色的任何一个。39访问控制aocontrol一种防止资源被未授权用户使用的安全策略。310安全事件security event一种在移动终端资产管理、保护和分配过程中具有直接或潜在危害性的操作或行为。311角色role一组预先确定的规则，用于在用户和移动终端之间建立许可的交互。2YDrrl69争硼7312应用application指移动终端上用于实现业务功能的文件组或程序。313数字签名digital signature一种非对称加密数据变换它使得接收方能够验证数据的可靠性和完整性，保护发送和接收的数据不被第三方伪造，同时对于发送者来说：逡醇用予舫止接收努舳伪造。314随机数random number一个无法事先预料的时变参数。315密钥key控制密码变换(如加密、解密、密码校验函数计算、签名产生或签名验证)运算的符号序列。316密钥管理key management实施并运用对密钥材料进行产生、登记、认证、注销、分发、安装、存储、归档、撤销、衍生和销 毁的服务。317证书certification由认证机构签署的某一实体的不可伪造的公开密钥信息。318证书管理certification management实施并运用证书的颁发、撤销、公布、存档和策略建立，批准等服务。319终蛐操作系统operating system是终端最基本的系统软件，它控制和管理终端各种硬件和软件资源，并提供应用程序开发的接口。4缩略语 下列缩略语适用于本标准。A阿Application Program Interface 应用程序接口TAttention 终端设备向终端适配器所发送命令 的两个开始字符DRMVigitalRightManagement 数字版权管理n皿丑 International mobile st沮fion Equipment Identiffcation 国际移动台设备识别号卫MSI hn啪ad0IIal Mobile Sub6criber Identity国际移动用户识别号MACMessage Authenticadon Code 消息认证码撇Message In也grity Code 消息完整性码P蹦PersonalInfornmdon Management 个人信息管理3YD丌169争崆007PINlPIN2Personal Identity Number用户身份识别号RSA一种可用于加密和数字签名的公钥密码 算法，I由Rivest、Shamir、Adleman发明5总体安全要求51概述 移动终端作为移动业务对用户的惟一体现形式以及存储用户个人信息的载体，应配合移动网络保证移动业务的安全，实现移动网络与移动终端之间通信通道的安全可靠，同时保证用户个人信息的机密性、 完整性。为了达到以上安全目的，移动终端应提供措施保证系统参数、系统数据、用户数据、密钥信息、证 书、应用程序等的完整性、机密性，终端关键器件的完整性、可靠性以及用户身份的真实性。因此在进 行移动终端应用开发、设计时应充分考虑和提供一系列安全策略。主要如下：应提供措施对系统程序、应用程序、终端关键器件等进行一致性检验：应能够基于角色，为用户提供受控和受限的资源及对象的访问、操作权限；能够在不同角色用户访问移动终端之前，对用户的身份进行认证，识别用户所对应的角色，然后根据用户的角色对用户进行授权l应提供措施对密钥、证书、系统参数、用户数据等进行有效的安全管理，保证存储数据的机密性、完整性、可靠性；移动终端应可对各个物理接口进行接入安全控制；应保证系统程序、不同的应用程序及其所使用数据在物理及逻辑上的隔离：应提供记录安全相关事件的手段，以帮助管理及抵抗潜在攻击；移动终端中的关键器件应具有抵抗防篡改等物理攻击的能力，或应使通过此类攻击获得有效信息十分困难，以提高移动终端的自身安全防护能力；应具有完善的系统操作权限管理能力；应能够安全的接入网络；一应能够与智能卡安全的进行信息交互；应能够识别不同的应用并肩用对应的安全策略。52移动终端的基本构成 移动终端是包括CPu、RAbi、非易失性存储器、内存控制器、中断控制器、时钟电路、IO电路、各种通信接1：3及相关软件(操作系统、应用软件)、通信协议栈等在内的通信设备。作为独立的物理实体。 移动终端由于具有高速的处理器和大容量的存储器，又能够直接和移动网络进行对话，所以很多安全功 能和业务应用都可以比较方便的实现。但由于目前移动终端结构比较松散，没有提供措施对内部器件进 行统一管理和认证；在操作系统设计上缺乏有效的安全策略；同时移动终端中所存储的数据甚至程序在 不同的程度上也是公开或开放的。随着技术和应用的发展，移动终端在进行业务应用时将面临多种安全 威胁，如病毒、机密信息的泄露、代码的非法篡改、关键器件的恶意替换等。53移动终端的安全框架 为了克服移动终端存在冉勺种种漏洞，将安全威胁降低到最小，移动终端应从硬件结构、软件结构入手，制定一系列安全策略保证移动终端以及其承载业务应用安全可靠。4YD厂r169争哩7首先，移动终端应提供措施实现移动终端关键器件的完整性认证、系统代码的完整性认证、数据流 的安全监控、应用程序的安全服务等，以保证移动终端在工作时，进入一个安全、可信的工作环境。其次，移动终端还应制定完善的安全控制策略、程序的域隔离策略，以实现用户的身份认证、程序 的访问权限控制、程序之闻通信的安全可靠以及防止程序在运行过程中出现读取、修改、删除其他程序 空间数据的非法攻击。除了以上功能外，移动终端还应根据数据、文件的敏感性，对其进行分类存储，并对不同级别的数 据、文件采取不同的安全措施；同时定义完善的安全审计策略，以帮助发现已发生的安全事件和潜在的 安全风险54移动镰麓鞠戚的致性检验541硬件横块的一致性检t 开机时。移动终端应具有硬件的自检测功能。包括： l>硬件是否缺失，2)关键部件是否被更换过；3)更换的新部件是否合法l4)是否出现了未知的硬件设备。 如果检测发现硬件模块出现问题，根据出现问题的不同类型，移动终端应能够采取如下安全措施中的一个或几个t1)告警；2)记录日志l3)关机_542系统软件的一致性检验 移动终端应具有系统软件的自检测功能，包括：1)系统软件是否被非法篡改(包括删除、修改和增加)：2)系统配置是否被非法篡改。 如果检测发现系统软件出现问题。根据出现问恿的不同类型，移动终端应能够采取如下安全措施中的一个或几个：1)告警；2)记录日志3)关机4)恢复被修改的系统代码t5)恢复被修改的系统设置。543应用软件的一致性检验 移动终端应能对应用软件进行一致性检验，包括：1)软件代码完整性l2)软件配置是否被非法篡改。 如果检测发现应用软件出现问题，根据出现问题的不同类型，移动终端应能够采取如下安全措施中的一个或几个：5YD仃1争伽71)告警；2)记录日志；3)禁止使用：4)恢复被修改的配置；5)恢复被修改的代码。55基于角色的身份认证551基于角色的权限划分 角色是一组用户的集合加上一组操作权限的集合，根据移动终端的应用场景，将与移动终端接触的实体划分为四种角色：终端拥有者、业务提供商、终端生产商和终端维修商。终端生产商这一角色所对 应的权限只在终端出厂前有效，终端出厂后，终端生产商拥有终端维修商角色所对应的权利。1“终端拥有者”角色拥有的权限1)使用终端接受移动网络运营商提供的服务包括拨打，接听电话、发送，接受短消息、发送，接受多 媒体短消息等；2)使用终端接受业务提供商提供的业务，包括手机银行、数据下载、浏览网络、浏览视频等；3)对移动终端系统进行配置，满足用户的个性化需要；4)安装删除，使用应用程序5)读取、创建、修改、删除用户个人数据：6)读取系统产生的审计记录、系统日志等。2“业务提供商”角色拥有的权限1)仅针对所提供的业务，读取、写入、删除、修改移动终端上有关的数据；2)仅针对所提供的业务对移动终端进行与业务有关的配置：3)仅针对所提供的业务，对移动终端上相关数据加解密。3“终端生产商”角色拥有的权限1)对移动终端进行出厂配置i2)创建特定的系统文件3)加密特定的数据；4)预留维修指令。4“终端雏惨商”角色拥有的权限1)使用维修指令；2)更换移动终端硬件；3)为使移动终端正常工作而对终端进行必要的重新配置：4)读取、写入、删除、修改与维修移动终端有关的明文数据-5)加密、解密与维修移动终端有关的加密数据。552身份认证方式 不同角色用户访问移动终端之前，移动终端应对用户的身份进行认证，识别用户所对应的角色，然后根据用户的角色对用户进行授权旃6YD厂r1699-2007移动终端的激活可以采用的身份认证方式有口令认证、智能卡认证、生物特征识别及实体鉴别机制4 种方式，并根据终端要达到的安全要求以及不同的角色选用其中的一种或者几种的组合。5521口令认证 用户登录口令长度不应小于4位，而且还应规定一次登录用户能够尝试的口令次数不超过5次，以防止强力攻击。如果用户在规定的次数内没有输入正确的口令，移动终端应采用适当的安全措施，例如： 关机、锁定，停止用户正在进行的操作，并对此事件进行记录。用户登录口令在移动终端中应以密文或 散列值的形式进行存储。移动终端应提供界面供授权用户对用户登录口令进行更改。但不向用户提供直接读取的权限。5522智能卡认证 与用户身份认证的相关信息存储在单独的智能卡中。使用时，用户首先要把智能卡插入移动终端，然后移动终端首先与智能卡交互，根据卡中的信息确定用户是否有进行该操作的权限。如果用户有相应 的权限，操作正常进行：如果用户没有相应的权限，移动终端可以采用如下安全措施中的一种或者几种：1)停止用户正在进行的操作：2)告警；3)记录日志。除了智能卡，也可以采用USB Key等能代表身份的具有计算功能的防篡改硬件。智能卡认证方式需 要移动终端具有能够插入智能卡、USB Key等设备的物理接口。5523生物特征认证 生物特征信息应以密文或散列值等形式进行存储。 移动终端应提供界面供授权用户对生物特征信息进行修改，在进行修改操作前需要输入用户口令，该口令可以和用户登陆口令相同，也可以是单独的用户口令。 移动终端不向用户提供读取生物特征信息的权限。5524实体鉴别机制 实体鉴别机制可有两类，一类以公钥体制为基础，采用数字签名技术，服务提供商或服务使用者使用本身的私钥对消息签名。而验证者使用对方的公钥验证签名，若正确，则确定对方的身份：一类为对 称密码体制，服务提供商或服务使用者利用与验证方共事的密钥封装一消息，如验证方能够成功解析出 消息成验证消息的正确性，则确认对方的身份，此过程若双向进行，则完成双方的身份的确认。另外， 也可通过第三方来实现声称者的确认。由于各类业务的保障要求，各业务应用实体宜通过实体鉴别后方可交换业务和相关信息，同时考虑 到时效性，可根据业务应用实体的不同采用对应的实体鉴别机制，既保证应用系统的安全，又要提高认 证的效率。56访问控制561系统资源的访问控制 本节的系统资源是指CPU指令、存储器、通信模块、设备驱动以及系统内核等资源。 用户程序不能直接调用系统资源，如不能直接调用硬件资源、系统指令、通信模块等，所有的系统资源应通过操作系统提供的API接口才能进行访问。 对于加载的应用程序，如果没有被授权或没通过认证，则不能调用系统资源。7YD厂r 1 699-2007操作系统不应向用户程序开放访问电信智能卡、修改IMEI等数据的程序接口。 一旦发现用户试图访问无权访问的系统资源，根据非法访问的不同情况，移动终端应能够采取如下安全措施中的一个或几个：1)告警：2)禁止该操作；3)记录日志；4)系统锁定；5)关机。562业务应用的使用控制 可以允许每个业务应用程序定义各自的访问口令。 对于高度安全的应用，还应允许应用程序可以定义自己的访问控制策略。 一旦发现用户试图访问无权访问的应用业务，移动终端应能够采取如下安全措施中的一个或几个：1)告警：2)禁止该操作：3)记录日志；4)锁定用户；5)关机。57数据存储和访问安全571数据的存储安全5711数据的安全分级存储 根据安全级别，移动终端中的数据分为机密数据、敏感数据、私有数据、普通数据。 机密数据是指对移动终端安全、应用安全等起重要作用的数据，比如密钥、口令、IMEI、安全配置信息等。机密数据在存储时要进行加密和完整性校验。 敏感数据是指对移动终端安全、应用安全等起一定作用的数据，如系统数据、证书、审计记录等。敏感数据在存储时要进行完整性校验，并根据数据的重要程度决定是否要进行加密存储。在正常操作时， 此类数据只能由操作系统或应用程序进行调用。私有数据是指和终端使用者有关的个人数据，私有数据在存储时应进行完整性校验，并由用户决定 是否需要进行加密存储。此类数据只用终端使用者才能进行读取与修改。普通数据是指对移动终端安全、应用安全等没有影响的数据，比如一张无关紧要的图片。普通数据 的存储没有特殊要求，可以以明文形式存放。5712机密性要求 移动终端应能对重要数据进行加密。5713完整性要求 移动终端应能够检测存储在移动终端内的数据是否被篡改，以防止出现非法修改存储数据的逻辑攻击。57-2数据的访问 移动终端应支持并执行下面的访问控制策略以决定访问的操作是否被允许：8YD厂r1699_2007权限管理：定义各种访闯数据文件的权限，不同安全属性的数据提供不同访问权限的机密性保护， 只有获得相应的访问权限才可以对数据文件进行对应的操作，如读、更新、删除、删除恢复等操作；如 果访问超出其规定的权限，移动终端应能及时检测出来，并采取以下措施中的一项或者几项：1)阻止该访问操作的继续进行2)告警：3)记录日志；4)系统锁定。 访问级别：数据访问应该根据需要设置一定的等级权限以应对不同级别的授权用户，数据访问等级策略一旦确定，将适用于所有的访闻操作且不允许进行修改；当检测到有破坏终端内存储数据完整性 的操作后，移动终端应采取以下安全措施的一项或或几项：1)阻止该操作的进一步执行i2)恢复被破坏的数据：3)告警；4)记录日志：5)系统锁定。文件控制：建立文件结构的过程和指令包括文件访问条件都应受其访问控制规则的约束。58安全域隔离 安全域隔离分为物理隔离和逻辑隔离。 物理隔离是指对移动终端中的物理存储空间进行划分。不同的存储空问用于存储不同的数据或代码具体要求如下：1)移动终端操作系统中用于进行基础认证的信息和程序应放于不可更改的存储空间；2)系统数据、系统备份数据和用户数据应存储于不同的存储空间：3)解密后的机密数据应根据安全级别的不同存储于不同的存储空间。 逻辑隔离主要包括进程隔离、数据的分类存储，具体要求如下：1)操作系统应为每个进程的数据和指令分配独立的内存空间，以防止进程间数据的非法访问：2)进程间的通信应是在操作系统核控制下进行，操作系统应提供方式对进程的权限进行判断，以 决定是否允许其能进行进程问通信；3)数据的分类存储见57，11。59安全审计591审计策略 移动终端的安全审计是指对指定操作的错误尝试次数及相关安全事件进行记录、分析的过程。通过分析记录结果移动终端可判断发生了哪些安全相关活动。并采取预先设定的安全措施。另外检查审计 记录结果还可以帮助分析潜在攻击。移动终端应该具备与以下安全操作相关的审计记录生成、保护等能力以及相应的结果处理能力：1)用户认证；2)终端构成的一致性认证；3)非法访问：9YD仃169争274)非法数据传输；5)程序加载：6)程序的安装、删除、更新；7)远程控制；8)证书的获取、更新、销毁等。592审计记录的生成 移动终端应能够第一时间对相关安全事件生成准确客观的审计记录，以标明或间接反映出安全事件的影响程度或当前终端的状态。 每一条审计记录中至少应该包含的信息有事件发生的事件类型、执行结果(成功或失败)、引起此事件的用户的标志等审计信息。593审计记录的保护 移动终端应保证审计记录存储的完整性。 操作系统应对审计记录进行严格的访问控制，同时提供界面让授权用户访问审计记录。 对于可公开的审计记录，授权用户可以修改或删除，但对于认证剩余次数等审计记录只能由操作系统进行修改、复位等操作。594安全告警 移动终端应该具有根据安全事件的类型，针对那些会对移动终端安全构成威胁的操作不予执行并且进行主动告警的能力。 安全告警的内容应包括安全事件的威胁类型以及相应操作的潜在威胁信息。安全告警事件类型主要包括用户认证、终端构成的一致性认证、数据的非法访问，数据的完整性检验等。6移动终端硬件安全要求61关键器件的安全611器件的物理安全 为了保证移动终端硬件的安全性，它应该满足以下条件：1)基带芯片应能抵抗探针探测、光学显微镜探测等物理攻击，或应使通过此类攻击难以获得有效信息；2)基带芯片的结构应具有抵抗逻辑操纵或修改的能力，以抵抗软件逻辑攻击：3)基带芯片在硬件设计和软件开发上应使其所储存或运算的机密信息不会通过分析电流波形、频 率、能量消耗、功率等表征变化而泄露：4)移动终端出厂时所有芯片测试模式需禁用。612器件的稳定性 基带芯片应具有高低压检测的功能，以防止攻击者输入特殊电压而使芯片进入非正常工作状态。当基带芯片检测到输入电压超过正常工作电压范围时，应采取相应的安全措施，如停止正常工作、自锁等， 保护基带芯片的稳定性。62物理接口的监控 随着移动终端功能的日益强大，移动终端将会通过多个物理接口与外界进行通信。移动终端应可对从各个物理接口进行接入安全控制。10YD厂r1699-2007涉及的接入安全控制要求包括：1)访问控制能力2)指令的许可性判定。 为了实现对物理接口的监控，移动终端应该具有以下两种逻辑接口：1)数据输入接口：移动终端在此接口可对所有输入数据的合法性进行验证；2)数据输出接口：移动终端在此接口可对所有输出数据的合法性进行验证。在自检和存在错误状 态时，所有通过数据输出接口的输出数据应该被禁止。7移动终端操作系统安全要求71文件系统711概述本节主要是描述文件系统中文件的创建、文件的存储、文件的访问、文件的管理等方面的安全要求， 不涉及文件系统的组织结构、文件的逻辑结构、文件的命名方式等具体要求。移动终端中的文件主要包括：系统文件、应用文件和库文件。一系统文件是指由操作系统核心和各种系统应用程序和数据组成的文件。一应用文件是用户、应用程序创建的文件以及其他与用户有关的个人信息文件，这类文件只能由授权的用户才能使用。一库文件是指能供应用程序或系统程序调用的子程序及常用应用程序组成文件。712安全目的 作为操作系统的主要组成部分，文件系统应提供措施保证文件信息的安全存储以及文件的安全访问，以防止未授权用户对文件进行非法删除、修改、复制，对文件、目录的安全属性进行非法更改，对文件 的存取路径进行非法更改。并保证文件内容的安全等。为了达到以上安全目的，文件系统在进行设计时。应满足以下安全策略：1)在文件进行创建时，应提供措施设置文件的访问控制权限；2)应提供措施保证文件的安全访问。713文件的创建与存储 操作系统应保证只有授权用户才能在移动终端上创建文件。 对于授权用户在移动终端中创建的文件和目录，文件系统应自动设置以下信息并提供修改的用户接口：1)有关文件存取控制的信息：文件名、用户名、存取权限、文件类型、文件属性，如读写文件、 只读文件等；2)有关文件管理的信息：文件建立日期、文件最近修改日期、访问日期、文件的有效期限、文件 的大小等。文件系统还应允许授权用户在创建文件时，为每一个色0建的文件设置一个口令，并将该相关信息写 在文件头中。文件系统应提供措施对文件的存储空间进行统一管理，不同类型的文件应存储在不同的物理分区或 不同类型的存储设备中，如系统文件存储在ROM中，应用文件只能存储在操作系统预先设定的应用文件 存储空间。同时还应保证属于不同业务的文件应存储在不同的目录文件下。YD厂r 169争-2007系统文件应以隐藏的形式进行存储，同时文件系统还应提供接口并允许授权用户把用户文件设置为 隐藏形式，当文件设置为隐藏形式后，只允许授权用户对其属性进行修改。操作系统还应内置一定的安全算法，并提供安全算法的API接口，以允许授权用户对文件进行加密存 储。714文件的访问安全操作系统只允许授权用户对权限范围内的文件和目录的各神属性， 包括隐藏属性、系统属性、只读 属性、存档属性等进行修改。操作系统只允许授权用户对权限范围内的用户目录进行删除操作， 对于系统目录，操作系统不向用 户提供删除权限。应充分考虑在对文件进行更新、删除等操作时，由于突然掉电、更新失败等异常对文件可能造成的 损坏，以及对应的解决办法。操作系统应根据用户或者应用程序的权限、文件的安全属性判断文件访问操作的合法性，其具体要 求参见561以及572。715系统文件的备份 操作系统应划分特定的存储空间用于系统文件的备份，同时操作系统应提供接口，允许用户对系统文件进行备份。 对于备份文件应以隐藏的形式进行存储。 操作系统不向应用程序或用户提供访问系统备份文件的接口，只有当需要进行系统恢复、备份文件更新时，操作系统才对备份文件进行操作。 系统备份文件和系统文件具有相同的安全存储要求。 当系统文件更新后，操作系统应及时的对系统备份文件进行更新操作。716文件。膏理 文件系统应提供措施对授权用户在权限范围内的目录和文件的删除、文件的移动、文件的复制、文件的更新、文件的控制管理信息等进行有效的管理。 当授权用户对权限范围内的目录进行删除时。操作系统应向用户进行告警，并删除目录文件下面的所有目录和文件，以释放存储空间。当授权用户对权限范围内的文件进行删除时，操作系统应向用户进行告警。并删除与文件有关的控 制管理信息。当授权用户对文件进行访问或更新时，文件系统应及时更新与文件相关的大小、修改时间、访问时 间等管理信息。当一个文件被复制或移动到一个新的目录里时，这个文件将继承目标目录的权限。72指令系统721AT指令 操作系统应禁止向未授权应用程序提供直接调用AT指令的公开API函数。 操作系统应只允许授权应用程序利用衄指令对移动终端进行操作，并与移动网络进行交互。如应用程序可以通过T命令进行呼叫、短信、电话本、数据业务、补充业务等方面的控制。操作系统应禁止任何应用程序使用AT指令对智能卡进行任何操作，如读取电信智能卡中的NISI信12YD，T1 699"-2007息、修改PINlPIN2码、对智能卡进行锁定等。 操作系统应只允许授权用户通过串口等外部接口使用AT指令对移动终端和电信智能卡进行操作，如用户使用AT指令前，应输入用户口令(该口令可以和用户登陆口令相同，也可以是单独的用户口令)等。 操作系统应对使用AT指令的事件进行记录，记录的详细要求及日志文件的安全要求参见734。722智能卡主动式命令本节是描述支持ETSI GSM 1114数字蜂窝通信系统(第2+阶段)：用户识别模块移动设备 (SIMME)接口的SIM应用工具包规范、3GPPTS 31111(USIM应用工具箱(UsAl)、3GPP2CS0035 (CDMA卡应用工具箱(CCAT)其中之一的全部或部分主动式命令的移动终端所具有的附加安全要求。 以下所指移动终端是支持ETSIGSMll14、3GPP"IS 31111、3GPP2CS0035其中之一的全部或部分主动式命令的移动终端。 移动终端操作系统不应向非授权应用程序提供直接调用智能卡主动式命令的接口。 对于支持对电信智能卡进行认证的移动终端，移动终端操作系统只执行已认证的电信智能卡发送的智能卡主动式命令。 当移动终端执行电信智能卡发送的不需要移动终端用户干预的主动式命令时，操作系统应具有向用户进行文字提示等告警的能力。 移动终端操作系统应具有对主动式命令事件进行记录的能力，记录的详细要求及日志文件的安全要求参见734。723其他用户操作指令 操作系统应只允许授权用户输入查看移动终端的用户操作指令如只允许授权用户使用查看移动终端IMEI号、移动终端软件版本、信号强度、存储器容量、出厂日期、最后修理日期等用户指令。 操作系统应只向授权用户开放可以改变移动终端当前设置的用户操作指令，如把移动终端复位到出厂设置、设置移动终端的工作频率、调节终端传输速率等用户操作指令。 操作系统应禁止开放可以旁路移动终端安全策略的用户操作指令，如不需要用户口令就可以对移动终端解锁、对网络解锁的用户操作指令等。 操作系统应禁止开放对移动终端内存中所存储数据进行修改、删除的用户操作指令，如直接对存放移动终端解锁码的内存字段进行修改、直接清除内存中存储的用户电话号码的用户操作指令等。 操作系统应禁止开放使终端进入调试或工程模式的用户操作指令。 操作系统应具有对用户操作指令使用事件进行记录的能力，记录的详细要求及日志文件的安全要求参见734。73系统管理731配置信息管理 移动终端中的配置信息主要包括操作系统、驱动程序、应用程序的设置参数、版本号、生产厂商、安装时间、占用内存空间大小等。操作系统应通过文件或数据库的形式记录移动终端中的各种配置信息，并对其设置不同的访问控制 权限。当对操作系统、驱动程序、应用程序进行更新后，操作系统应及时的更改其对应的配置信息。 当对驱动程序、应用程序进行删除后，操作系统应及时的删除其对应的配置信息。YD厂r 1699-2007当在操作系统中安装新的驱动程序、应用程序后，操作系统应及时的建立其对应的配置信息。 对于操作系统、驱动程序、应用程序的设置参数，应只对授权用户提供读取的权限，但不提供修改、删除的权限。732设备管理 本标准中的设备管理主要包括移动终端中硬件的基本信息(硬件提供商、序列号信息等)管理、内存空间的管理、外接硬件设备的加载与卸载管理等。 操作系统应以文件的形式记录硬件的基本信息、内存空间使用情况等。并对授权用户提供读取的权限，但不提供修改、删除的访问权限。 当移动终端中的硬件被合法更换后，操作系统应能及时更新硬件的基本信息。 操