5.1　安全功能要求

5.1.1　身份鑒別

5.1.1.1　用戶標識

應具備用戶標識功能，具體技術要求如下：

a) 凡需進入移動智能終端操作系統的用戶，宜先建立用戶標識（賬號）；

b) 若移動智能終端操作系統用戶需訪問系統安全功能數據等重要數據，應建立用戶標識；

c) 應在移動智能終端操作系統的整個生存周期實現用戶的唯一性標識，以及用戶名或別名、UID等之間的一致性。

5.1.1.2　鑒別技術手段

應具備用戶鑒別功能，具體技術要求如下：

a) 應在用戶執行任何與移動智能終端操作系統安全功能相關的操作之前對用戶進行鑒別；

d) 應至少支持口令鑒別/基于令牌的動態口令鑒別/生物特征鑒別（如指紋、虹膜）/數字證書鑒別等機制中的一種進行身份鑒別，并在每次用戶登錄系統時進行鑒別。

5.1.1.3　鑒別信息保護

應具備鑒別信息保護的能力，具體技術要求如下：

a) 進行身份鑒別時，產品應僅將最少的反饋（如：輸入的字符數，鑒別的成功或失敗）提供給被鑒別的用戶；

b) 在用戶執行鑒別信息修改操作之前，必須經過身份鑒別；

e) 鑒別信息應是不可見的，應采用加密方法對鑒別信息的存儲進行安全保護。

5.1.1.4　鑒別失敗處理

應通過對不成功的鑒別嘗試的值（包括嘗試次數和時間的閾值）進行預先定義，并明確規定達到該值時應采取的措施來實現鑒別失敗的處理。

1.1.1.5　用戶-主體綁定

應具備用戶-主體綁定功能，具體技術要求如下：

a) 將用戶進程與所有者用戶相關聯，使用戶進程的行為可以追溯到進程的所有者用戶；

f) 將系統進程動態地與當前服務要求者用戶相關聯，使系統進程的行為可以追溯到當前服務的要求者用戶。

1.1.2　訪問控制

1.1.2.1　訪問控制屬性

應按以下要求設計和實現訪問控制屬性：

a) 允許命名用戶以用戶的身份規定并控制對客體的訪問，并阻止非授權用戶對客體的訪問；

b) 主體的訪問控制屬性至少應包括：讀、寫、執行等；客體的訪問控制屬性應包含可分配給主體的讀、寫和執行等權限。

1.1.2.2　訪問授權規則

應按以下要求設計和實現訪問授權規則：

a) 授權的范圍應包括主體和客體及相關的訪問控制屬性，同時應指出主體和客體對這些規則應用的類型；

c) 對系統中的每一個客體，都應能夠實現由客體的創建者以用戶指定方式確定其對該客體的訪問權限；

d) 客體的擁有者對其擁有的客體應具有全部控制權，允許客體擁有者把該客體的控制權分配給其他主體。

1.1.3　安全審計

1.1.3.1　審計內容

應對與移動智能終端操作系統安全相關的以下事件生成審計日志：系統運行記錄、報警記錄、操作日志、網絡流量記錄、用戶行為記錄、應用軟件運行日志、配置信息等；審計日志的內容至少應包括事件發生的日期、時間、主體標識、事件類型描述和結果（成功或失敗）、關聯的進程。

1.1.3.2　審計保護

應按以下要求設計和實現訪問審計保護能力：

a) 應能夠生成、維護及保護審計過程，使其免遭修改、非法訪問及破壞；

b) 應提供授權管理員一個受保護的打開和關閉審計的機制，該機制能選擇和改變審計事件，并在系統工作時處于默認狀態；

c) 僅允許授權管理員訪問審計日志。

1.1.3.3　審計跟蹤管理

應按以下要求設計和實現審計跟蹤管理：

a) 操作系統用戶應能夠定義審計跟蹤的閾值；

d) 當為審計系統分配的存儲空間耗盡時，應能按操作系統用戶的設置決定采取的措施，包括：報警并丟棄未記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。

1.1.4　用戶數據安全

1.1.4.1　用戶數據保護

應按以下要求設計和實現用戶數據保護：

a) 產品應保證用戶數據不被未授權查閱或修改；

b) 對應用軟件獲取用戶數據行為進行自動分析、告警和阻斷。

1.1.4.2　用戶數據完整性

應提供移動智能終端操作系統用戶數據在存儲和處理過程中的完整性保護；

1.1.4.3　用戶數據保密性

應對用戶敏感數據采用一定強度的加密儲存或采用隱藏技術，以減小移動終端丟失所造成的損失。

1.1.4.4　剩余信息保護

應按以下要求設計和實現剩余信息保護：

a) 應確保非授權用戶不能查找使用后返還系統的存儲介質中的信息內容；

c) 應確保非授權用戶不能查找系統現已分配給其的存儲介質中以前的信息內容。

1.1.5　數據安全

應按以下要求設計和實現數據安全保護能力：

a) 應對重要的系統數據（如配置和控制信息、告警和事件數據等）進行存儲保護，保證重要系統數據不被泄漏或篡改；

d) 應具有用戶數據、系統數據的安全備份與恢復功能；

e) 應在數據的存儲空間達到閾值時能夠向移動智能終端操作系統用戶進行報警；

f) 當存儲空間將要耗盡時，應采取一定措施保證重要的數據不丟失。

1.1.6　存儲介質管理

應按以下要求設計和實現存儲介質管理：

a) 應對移動智能終端中的存儲設備（包括智能芯片、存儲卡等）進行有效監測和統一管理；

b) 在單用戶系統中，存儲介質保護應防止用戶進程影響系統的運行；

c) 在多用戶系統中，存儲介質保護應確保多用戶間采取一定隔離機制，防止用戶數據的非授權訪問；

d) 在多系統情況下，應確保多系統間采取一定隔離機制，防止系統數據的非授權訪問。

1.1.7　應用軟件安全管理

應對第三方應用程序的安裝、運行、卸載進行安全規范：

a) 應支持用戶對應用軟件的安裝進行授權或禁止；

e) 應支持用戶修改、指定應用軟件的安裝位置；

f) 應支持用戶對應用軟件使用的終端資源（包含通信資源和外設接口）和終端數據進行確認；

g) 應在應用軟件卸載時刪除由其生成的資源文件、配置文件和用戶數據。

1.1.8　用戶策略管理

應提供以下用戶策略管理：

a) 應對移動智能終端用戶提供初始化策略；

b) 支持授權用戶對用戶策略的添加、刪除、修改操作；

c) 支持用戶策略查詢、導入、導出策略等操作。

1.1.9　運行安全保護

應提供以下運行安全保護：

a) 系統在設計時不應以維護、支持或操作需要為借口，設計有違反或繞過安全規則的任何類型的入口和文檔中未說明的任何模式的入口；

d) 應將移動智能終端操作系統程序與用戶程序進行隔離；

e) 應禁止在用戶模式下運行的進程對系統段進行寫操作，而在系統模式下運行時，應允許進程對所有的虛存空間進行讀、寫操作。

1.1.10　升級能力

應提供以下升級能力：

a) 支持操作系統的更新升級；

b) 至少采取一種安全機制，保證升級過程的安全性；

c) 保證升級后前的系統安全屬性與升級前保持一致；

d) 在升級失敗時，系統應能夠回滾，并保證系統完整性，且安全屬性與升級前一致；

e) 至少采取一種安全機制，保證升級的時效性，例如自動升級，更新通知等手段；

f) 支持用戶獲取、統一管理并運用補丁對移動智能終端操作系統的漏洞進行修補。

1.1.11　超時鎖定或注銷

應按以下要求設計和實現超時處理能力：

a) 具有登錄超時鎖定或注銷功能；

g) 提供用戶設定最大超時時間的功能；

h) 在設定的時間段內沒有任何操作的情況下，終止會話，需要再次進行身份鑒別才能夠重新操作；

i) 提供用戶主動鎖定或注銷的功能。

1.1.12　運行監控

應提供對移動智能終端設備運行狀態（比如CPU使用率、內存占用率、存儲空間等）、網絡連接、系統環境、敏感數據訪問狀態、敏感功能使用狀態的監測。

1.1.13　可靠時鐘

應提供手工設定系統時鐘和遠程時鐘服務自動時鐘同步兩種方式的系統時鐘設置功能。

1.1.14　可用性

1.1.14.1　穩定性

正常工作狀態下，移動智能終端操作系統應能穩定運行，功耗低、內存占用少，不應造成移動智能終端死機現象。

1.1.14.2　兼容性

應按以下要求設計和實現兼容性：

a) 除了自帶的應用程序，移動智能終端操作系統應提供良好的第三方軟件應用接口，能夠支持第三方應用軟件的安裝、運行和升級功能；

b) 具備無線接入互聯網的能力。