移动智能终端安全测评体系的演进与革新

开篇：润墨网以专业的文秘视角，为您筛选了一篇移动智能终端安全测评体系的演进与革新范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【摘 要】总结了信息技术安全评价通用准则在移动智能终端领域的演进与革新，分析了目前针对智能终端和移动应用的防护轮廓及适用范围，提出了推进标准化、展开测评等相关措施建议。

【关键词】信息技术安全 通用准则 防护轮廓 信息安全测评体系

[Abstract] The evolution and reformation of common criteria of information technology security evaluation in mobile smart terminal were summarized. The protection profile and application scope according to smart terminal and mobile applications were analyzed. Corresponding measure and recommendation to promote standardization and implement evaluation were presented.

[Key words]information technology security common criteria protection profile information security evaluation system

移动互联网的蓬勃发展，丰富了移动智能终端的使用，也催生了大量的移动应用，移动智能终端在一定程度上改变了人们日常工作生活的行为习惯。智能终端以及集中在其上的大量应用软件和用户数据逐渐成为新一轮网络安全的焦点。智能终端厂商和移动应用开发者逐渐在产品中加入了各种安全功能和安全机制，希望能提升产品的安全性。如何通过有效的检测方法和标准，对智能终端和移动应用的安全程度进行相应的测评，成为网络安全和智能终端领域需要面对的共同问题。本文将就智能终端安全测评体系的演进与革新展开讨论，探讨适用于各种安全测试需求的技术标准。

1 传统信息安全测评体系

信息安全发展到今天，已经积累了很多安全标准，对以计算机、服务器和网络设备为主的传统互联网系统进行安全评估和检测。其中，CC标准是比较成熟和被广泛使用的一套体系。上世纪90年代，为了建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则，在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，由6个国家7方（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出了“信息技术安全评价通用准则（The Common Criteria for Information Technology Security Evaluation）”，简称CC标准。它综合了已有的信息安全准则和标准，形成了一个更全面的框架。在此基础上，26个国家共同签署了CCRA（Common Criteria Recognition Arrangement），并成立了管理委员会，以有效地推进CC标准的更新和实施。

CC标准将对安全的要求分为2个部分：安全功能要求（SFR，Security Functional Requirements）和安全保证要求（SAR，Security Assurance Requirements）。在CC标准的系列文档中，将这2个部分要求分别放在文档的第二部分[1]和第三部分[2]进行了具体描述。而第一部分[3]――介绍和通用模型（Introduction and General Model）则对CC标准涉及的概念进行了梳理。同时，CC提供了CEM[4]（Common Methodology for Information Technology Security Evaluation）方法论以指导依据CC标准的信息系统、信息产品的安全评估。CC标准的第一、第二、第三部分被ISO采用，形成ISO/IEC15408；CEM被采用后形成ISO/IEC18045 。为了提高评估效率，对各类产品有相对标准化的安全功能和安全保障要求，CC提出了一系列防护轮廓（PP，Protection Profile）。PP整体上识别了一类产品通常面临的威胁和适用的安全策略，列出了该类产品应使用的安全功能组件和应满足的安全保障要求。申请评估时，产品厂家可以直接选择符合的相应PP，从而简化评估的流程。

CCRA各成员在各自国家成立相应的机构或社团，对CC认证进行本土化操作。美国国家安全局和国家技术标准研究所联合成立了NIAP（National Information Assurance Partnership）团体，并构建了CCEVS（Common Criteria Evaluation and Validation Scheme）体系，实现了对测评实验室的管理、对认证流程的控制、对标准执行的监督，为CC评估各方提供服务。

2 适应移动智能终端特点的安全测评体系

2.1 CC评估的复杂性和局限性

CC评估的流程相对复杂。当产品厂商提出评估需求时，评估机构也就是测试实验室首先要和厂商协同明确评估对象（TOE，Target of Evaluation），然后识别TOE所面临的威胁，列出安全策略以及相关的假设条件，综合这些基本输入导出安全目标（ST，Security Target），评判使用的安全组件功能能否实现ST，并且评估是否达到了所宣称的安全保障级别（EAL，Evaluation Assurance Level）。即使在声明选择了PP并重用了PP的评估结果，仍然要明确被评估产品TOE的ST，而且通常ST需要使用的安全功能比PP中所列的要多，大量的评估工作也依旧集中在对安全保障的验证。由此可以看出，评估需要厂家和测评实验室大量配合协作，特别是对保障的测试需要投入很多时间和精力。这导致很多信息安全产品申请CC认证的整体测评过程常常耗时半年以上。这么长的周期无法适应目前日新月异的智能终端和移动互联网市场。

CC存在的另一个问题是评估的一致性。NIAP总结过往10年CC测评的经验发现，保障其实可以通过各种技术相对自然的实现，但是在测评的过程中，对保障的评估很难达到CC理论级别的要求。尽管EAL4是一个标准级别，但是很难形成标准化的评估方法和工具，在针对不同产品的评估时能直接使用。这直接影响了评估结果的可信度。提升CC评估检测的“可实现、可重复、可测试”成为CC发展必须要解决的一个关键问题[5]。

此外，对CC的内容也应该随着智能终端和各种移动应用的发展而进行补充，确保SFR和SAR的广泛适用性，或者制定针对移动智能终端和其上应用的PP，供测评使用。

2.2 CC标准的演进与革新

CC最直观的演进是推出针对智能终端和移动应用的PP，包括MDF PP（Protection Profile for Mobile Device Fundamentals）[6]、MDM PP（Protection Profile for Mobile Device Management）[7]、MDM AGENT PP（Extended Package for Mobile Device Management Agents）[8]以及APP PP（Protection Profile for Application Software）[9]。这些PP都已获得NIAP批准，可投入到测评工作中。

NIAP作的进一步变革是优化了评估方法论：在实际评估时不再对EAL级别进行判定。同时改进PP，精简保障的要求，将一些保障要求与功能要求直接对应，便于实施；同时增加了大量客观性要求，减少了主观因素对评估结果的影响，增强了各检测实验室评估结果的可比性[5]。这些革新措施使CC评估更加直观和标准化，提升了评估的效率，缩短了评估时间，增强了评估结果的客观性和可信度。

2.3 适用于智能终端安全测评的PP

适用于智能终端和移动应用的几个PP，其各自的TOE是不同的。终端厂商或者移动应用开发者在申请测评服务时，应当选择适合的PP，以对应正确的TOE。下面具体描述一下这些PP的TOE和适用范围。

MDF PP的TOE是机构使用的智能终端，包括硬件平台和运行在其上的系统软件，即操作系统。终端应能建立无线连接，并通过各种安全的方式访问机构的网络、数据和应用，包括与其它终端的通信。终端应该能够提供加密、静态数据防护、存储等安全功能，以保证终端上的应用能够安全运行。目前已有多款三星手机、微软手机等通过基于MDF PP的安全测评，苹果iOS 8正在测评过程中。基于MDF PP的测评周期较以往基于CC的评估缩短了很多，特别是对于TOE边界很清晰的产品，通常2～3个月就可以得出测评结果。这强有力地促进了移动智能终端在安全性方向上的发展。MDF PP的TOE图示如图1所示：

MDM PP是针对MDM系统的PP，MDM系统包括MDM SERVER和MDM AGENT。MDM SERVER负责管理终端设备注册，收集终端状态，向MDM AGENT下发配置、策略以及指令。PP中根据终端所有权的不同，细分了TOE的类型：包括公司拥有终端但个人使用的情况（COPE，Corporately Owned， Personally Enabled ），公司拥有终端且只运行高安全性应用的情况，以及个人拥有终端但需要访问企业资源的情况（BYOD，Bring Your Own Device）。目前已经通过MDM PP测评的有三星的CellWe EMM系统。MDM PP的TOE图示如图2所示：

MDM AGENT PP实际是对MDM PP的扩充，MDM AGENT是安装在终端上的应用或集成为终端操作系统的一部分的软件。MDM AGENT与MDM SERVER建立的安全连接由机构管理，并且与终端密切配合。对终端的基于MDF PP的评估必须先于或与MDM AGENT PP的评估同时进行。MDM AGENT PP的TOE图示如图3所示：

APP PP可以用于测评智能终端上应用的安全性。PP中涵盖的APP不仅包括在终端上运行的APP，也包括安装在台式机和服务器上的软件应用。一些更加具体的应用，如软件文件加密，则通过Extended Package的形式进行了进一步的定义。根据应用嵌入内核深度的不同，TOE的边界也略有不同，如图4和图5所示。目前还没有通过该项PP测评的应用产品。这主要是因为一方面目前移动应用相对比较简单；另一方面，传统的服务器端的软件，特别是以往已通过CC认证的软件，还在沿用传统的测评标准。相信随着移动应用的发展，会有开发者提出基于APP PP的测评申请。

3 应用新标准展开终端安全测评

目前，我国在进网中对终端开展的安全能力检测以终端行为是否符合用户意愿为测评依据，不规定具体实现方法[10]。厂家要从根本上实现安全能力，必然会在产品设计和开发阶段参考安全技术规范，例如选择适用于自身产品的PP。这种标准化的设计开发，在满足进网要求的同时，系统地提升了产品的安全性。厂商迫切希望通过针对产品安全功能和安全保障的检测来证明其从根本上实现了安全保障。因此，有必要扩充针对智能终端和移动应用的安全测评标准，一方面可以使产品在设计与开发阶段有安全技术标准可以依据；另一方面，可以依据标准对产品进行验证，增强产品的市场认可，为产品走出国门、走向世界增强竞争力。

NIAP的PP标准系列，既考虑到对传统信息安全标准的继承，又针对移动互联网的特点进行了演进与革新，是适合时代适合行业的安全测评标准。各种PP的制定，实际上是为广大申请测评的用户提供了多种选择。用户可以根据产品的定位选择相应的PP：终端厂商可以选择MDF PP；大型企业用户如果开发了MDM系统，可以使用MDM PP+MDM AGENT PP对系统进行整体评估；移动应用开发者可以根据APP PP对软件进行测试。建议相关部门可以参考PP系列，形成国内智能终端和移动应用的安全测评标准。

形成国内标准时需要注意的一点是，在PP中，对加密的安全功能要求往往会引用美国的标准，对此，标准制定者应当依据国内要求进行调整，采用同等强度的加密算法。这些技术调整不应影响整体评估流程和安全功能的全面性及系统性，也不会对保障机制的评判产生根本影响。标准化进程应当加快速度，以满足日益增长的智能终端和移动应用安全测评需求。

与制定标准同时推进的是国内有资质的实验室自身的能力建设。积累测评所需的知识，开发供测评使用的工具和流程，为支撑移动互联网相关测评做好准备。泰尔终端实验室作为智能终端和应用软件测试领域的领头羊，积极参与到参考PP制定国内标准的工作中，并储备了技术人才，积蓄了技术实力，为给行业内有需求依据PP规范开展测试的厂家提供服务做好了准备。

参考文献：

[1] Common Criteria. Common Criteria for Information Technology Security Evaluation， Part 2： Security functional components Version 3.1， Revision 4[EB/OL]. [2015-05-27]. http：///files/ccfiles/CCPART2V3.1R4.pdf.

[2] Common Criteria. Common Criteria for Information Technology Security Evaluation， Part 3： Security assurance components Version 3.1， Revision 4[EB/OL]. [2015-05-28]. http：///files/ccfiles/CCPART3V3.1R4.pdf.

[3] Common Criteria. Common Criteria for Information Technology Security Evaluation， Part 1： Introduction and general model Version 3.1， Revision 4[EB/OL]. [2015-05-28]. http：///files/ccfiles/CCPART1V3.1R4.pdf.

[4] Common Criteria. Common Criteria for Information Technology Security Evaluation， Evaluation methodology Version 3.1， Revision 4[EB/OL]. [2015-05-29]. http：///files/ccfiles/CEMV3.1R4.pdf.

[5] NIAP. Frequently Asked Questions for NIAP/CCEVS and the Use of Common Criteria in the US [EB/OL]. [2015-05-30]. https：///NIAP_Evolution/faqs/niap_evolution/FAQs28Mar_v6.pdf.

[6] NIAP. Protection Profile for Mobile Device Fundamentals Version 2.0[EB/OL]. [2015-05-30]. https：///pp/pp_md_v2.0.pdf.

[7] NIAP. Protection Profile for Mobile Device Management Version 2.0[EB/OL]. [2015-05-30]. https：///pp/pp_mdm_v2.0.pdf.

[8] NIAP. Extended Package for Mobile Device Management Agents Version 2.0[EB/OL]. [2015-05-30]. https：///pp/pp_mdm_agent_v2.0.pdf.

[9] NIAP. Protection Profile for Application Software Version 1.1[EB/OL]. [2015-05-30]. https：///pp/pp_app_v1.1.pdf.

[10] 工业和信息化部电信研究院，北京展讯高科通信技术有限公司，大唐电信科技产业集团. YD/T 2407-2013移动智能终端安全能力技术要求[S]. 2013.