6.1　安全功能要求測試

6.1.1　身份鑒別

6.1.1.1　用戶標識

測試評價方法：

模擬移動智能終端操作系統用戶進行注冊和登錄操作，檢查用戶標識是否唯一；

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試方法要求作出判斷，應符合：

a) 凡需進入移動智能終端操作系統的用戶，應先進行用戶標識（建立賬號）；

a) 應在移動智能終端操作系統的整個生存周期實現用戶的唯一性標識，以及用戶名或別名、UID等之間的一致性。

6.1.1.2　鑒別技術手段

測試評價方法：

a) 模擬移動智能終端操作系統用戶進行登錄操作，并執行安全參數配置、口令修改、數據備份等安全功能相關操作，檢查用戶在執行任何與移動智能終端操作系統安全功能相關的操作之前是否必須進行鑒別；

b) 檢查移動智能終端操作系統提供的用戶鑒別機制是否包括提供用戶名、口令方式；

c) 查看移動智能終端操作系統是否提供其他用戶鑒別機制，如基于令牌的動態口令鑒別/生物特征鑒別（如指紋、虹膜）/數字證書等。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試測試評價結果要求作出判斷，應符合：

a) 應在用戶執行任何與移動智能終端操作系統功能相關的操作之前至少使用一種鑒別機制進行用戶合法性鑒別；

d) 應至少提供以下鑒別機制中的一種方式進行身份鑒別：口令鑒別/基于令牌的動態口令鑒別/生物特征鑒別（如指紋、虹膜）/數字證書鑒別等，并在每次用戶登錄系統時進行鑒別。

6.1.1.3　鑒別信息保護

測試評價方法：

a) 模擬用戶進行移動智能終端操作系統登錄操作，如輸入口令、指紋信息等；

b) 模擬用戶執行鑒別信息修改操作,查看系統是否要求進行用戶身份鑒別；

c) 根據產品資料確定鑒別信息存放路徑，分別嘗試以授權和非授權的方式讀取用戶的賬號、口令密碼信息。

測試評價結果：

a) 若進行身份鑒別時，用戶口令明文顯示，則本項判為不合格；

d) 若用戶鑒別信息修改操作之前,無需進行身份鑒別，則本項判為不合格；

e) 若以授權方式或非授權方式能夠獲得以上鑒別信息的明文內容，則本項判為不合格。

6.1.1.4　鑒別失敗處理

測試評價方法：

a) 檢查系統是否提供用戶鑒別失敗處理措施；

b) 對不成功的鑒別嘗試的值（包括嘗試次數和時間的閾值）及鑒別失敗處理措施進行參數設置；

c) 模擬移動智能終端操作系統用戶進行登錄操作，并連續鑒別失敗，檢查系統是否依據鑒別失敗處理措施的參數配置進行相應處理。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試測試評價結果要求作出判斷，應符合：

應通過對不成功的鑒別嘗試的值（包括嘗試次數和時間的閾值）進行預先定義，并明確規定達到該值時應采取的措施來實現鑒別失敗的處理。

6.1.1.5　用戶-主體綁定

測試評價方法：

a) 檢查系統是否提供將用戶進程與所有者用戶相關聯的用戶主體綁定功能，使用戶進程的行為可以追溯到進程的所有者用戶；

b) 檢查系統是否提供將系統進程動態地與當前服務要求者用戶相關聯的用戶主體綁定功能，使系統進程的行為可以追溯到當前服務的要求者用戶。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 將用戶進程與所有者用戶相關聯，使用戶進程的行為可以追溯到進程的所有者用戶；

b) 將系統進程動態地與當前服務要求者用戶相關聯，使系統進程的行為可以追溯到當前服務的要求者用戶。

6.1.2　訪問控制

6.1.2.1　訪問控制屬性

測試評價方法：

a) 檢查系統是否提供訪問控制機制，允許用戶規定并控制對客體的訪問；

a) 檢查系統提供的訪問控制機制是否阻止非授權用戶對客體的訪問；

b) 檢查系統提供主體的訪問控制屬性，是否包括讀、寫、執行等；

c) 檢查系統提供客體的訪問控制屬性，是否包括可分配給主體的讀、寫和執行等權限。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 允許命名用戶以用戶的身份規定并控制對客體的訪問，并阻止非授權用戶對客體的訪問；

a) 主體的訪問控制屬性至少應有：讀、寫、執行等；客體的訪問控制屬性應包含可分配給主體的讀、寫和執行等權限。

6.1.2.2　訪問授權規則

測試評價方法：

a) 檢查系統是否提供訪問授權規則；

b) 查看系統提供訪問授權規則的授權范圍，是否包括主體和客體及相關的訪問控制屬性，并指出主體和客體對這些規則應用的類型；

c) 查看系統提供訪問授權規則的授權范圍，是否覆蓋了系統中的每一個客體，并由客體的創建者以用戶指定方式確定其對該客體的訪問權限；

d) 檢查系統中客體的擁有者是否擁有該客體的全部控制權，并允許該客體擁有者把該客體的控制權分配給其他主體。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 授權的范圍應包括主體和客體及相關的訪問控制屬性，同時應指出主體和客體對這些規則應用的類型；

b) 對系統中的每一個客體，都應能夠實現由客體的創建者以用戶指定方式確定其對該客體的訪問權限；

c) 客體的擁有者對其擁有的客體應具有全部控制權，允許客體擁有者把該客體的控制權分配給其他主體。

6.1.3　安全審計

6.1.3.1　審計內容

測試評價方法：

a) 模擬用戶對移動智能終端進行連續鑒別失敗、數據存儲空間耗盡、參數設置、網絡訪問等操作；

b) 查看審計日志，檢查審計數據是否包括系統運行記錄、報警記錄、操作日志、網絡流量記錄、用戶行為記錄、應用軟件運行日志、配置信息等。

c) 檢查日志項是否包括了事件發生的日期和時間、觸發事件的主體、事件的類型、事件成功或失敗等。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 應能夠獲取各種類型安全事件的審計數據，如：系統運行記錄、報警記錄、操作日志、網絡流量記錄、用戶行為記錄、應用軟件運行日志、配置信息等；

b) 每個事件的審計記錄，應包括以下信息：事件發生的日期和時間、觸發事件的用戶或進程主體、事件的類型、事件成功或失敗等。

6.1.3.2　審計保護

測試評價方法：

a) 檢測系統是否提供對審計功能的保護措施，限制未授權用戶對審計記錄的訪問；

b) 檢測系統是否提供用戶打開和關閉審計的機制；

c) 模擬用戶對審計功能進行打開/關閉操作，重啟系統，查看系統是否根據用戶設置提供默認的審計機制。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 能夠生成、維護及保護審計過程，使其免遭修改、非法訪問及破壞，特別要保護審計數據，要嚴格限制未經授權的用戶訪問；

a) 應提供用戶一個受保護的打開和關閉審計的機制，該機制能選擇和改變審計事件，并在系統工作時處于默認狀態。

6.1.3.3　審計跟蹤管理

測試評價方法：

a) 檢測系統是否提供審計存儲空間維護功能；

b) 模擬操作系統用戶設置審計跟蹤極限的閾值；

c) 當存儲空間被耗盡時，檢測系統是否依據設定的閾值，按操作系統用戶的設置提供指定的措施，如報警并丟棄未記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 操作系統用戶應能夠定義超過審計跟蹤極限的閾值；

d) 當存儲空間被耗盡時，應能按操作系統用戶的指定決定采取的措施，包括：報警并丟棄未記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。

6.1.4　用戶數據安全

6.1.4.1　用戶數據保護

測試評價方法：

a) 模擬非授權用戶對嘗試對用戶數據進行查閱和修改，檢測系統能否限制類似非授權行為；

b) 檢測系統能否對應用軟件獲取用戶數據的行為進行自動分析、告警和阻斷。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 產品應保證用戶數據不被未授權查閱或修改；

a) 對應用軟件獲取用戶數據行為進行自動分析、告警和阻斷。

6.1.4.2　用戶數據完整性

測試評價方法：

分別對用戶數據在存儲、傳輸和處理過程中進行完整性破壞，檢測系統是否提供用戶數據在存儲和處理過程中的完整性保護措施。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

應提供移動智能終端操作系統用戶數據在存儲和處理過程中的完整性保護。

6.1.4.3　用戶數據保密性

測試評價方法：

檢測系統是否對用戶敏感數據（如各類賬號、口令、定位信息、通訊錄、短信、照片等）采用加密存儲或隱藏技術。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

用戶敏感數據應采用一定強度的加密儲存或采用隱藏技術，以減小移動終端丟失所造成的損失。

6.1.4.4　剩余信息保護

測試評價方法：

檢測系統是否提供剩余信息保護功能，以確保非授權用戶無法查找系統現已分配給其的存儲介質中以前的信息內容，以及使用后返還系統的存儲介質中的信息內容。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 應確保非授權用戶不能查找使用后返還系統的存儲介質中的信息內容；

b) 應確保非授權用戶不能查找系統現已分配給其的存儲介質中以前的信息內容。

6.1.5　數據安全

測試評價方法：

a) 檢測系統是否采用訪問控制、加密等機制，提供對重要的系統數據（如配置和控制信息、告警和事件數據等）的安全保護措施；

b) 檢測系統是否具備對日常數據安全備份與恢復功能，模擬系統用戶進行數據備份和恢復操作，驗證該項功能的有效性；

c) 模擬系統用戶設置數據存儲空間閾值參數，當數據的存儲空間達到閾值時，檢測系統能否向系統用戶進行自動報警；

d) 查看系統在存儲空間將要耗盡時，是否提供相應措施保證未及時保存的數據不丟失。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 應提供有效、合理、安全的數據存儲方案，對重要的系統數據（如配置和控制信息、告警和事件數據等）進行存儲保護，保證重要系統數據不被泄漏或篡改；

c) 應具有日常數據安全備份與恢復功能；

d) 應在數據的存儲空間達到閾值時能夠向移動智能終端操作系統用戶進行報警；

e) 當存儲空間將要耗盡時，應采取一定措施保證從數據源傳來的未及時保存的數據不丟失。

6.1.6　存儲介質管理

測試評價方法：

a) 檢測系統是否提供對移動智能終端中的存儲設備（包括智能芯片、存儲卡等）的統一管理和檢測功能；

b) 在多用戶系統中，分別模擬不同用戶A、用戶B登錄操作系統，操作終端并各自生成用戶數據存儲于存儲介質上，嘗試以用戶A訪問存儲介質中由用戶B生成的用戶數據，查看是否能否訪問成功。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 可對移動智能終端中的存儲設備（包括智能芯片、存儲卡等）進行有效監測和統一管理；

a) 在單用戶系統中，存儲介質保護可防止用戶進程影響系統的運行；

b) 在多用戶系統中，系統對多用戶間采取一定隔離機制，防止用戶數據的非授權訪問。

6.1.7　應用軟件安全管理

測試評價方法：

a) 在移動智能終端上安裝終端應用軟件，檢查是否提示用戶對應用軟件的安裝進行授權；

b) 檢查用戶是否能夠修改默認安裝位置，并設置應用軟件的安裝位置；

c) 檢查用戶是否能夠對應用軟件使用的終端資源（如網絡通信模塊、攝像頭、導航定位等）和終端數據（如相冊、通訊錄等）進行確認；

d) 卸載終端應用軟件，檢查其安裝及使用生成的數據是否被完全刪除。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 系統依據用戶對應用軟件的安裝授權正確在移動智能終端上安裝應用軟件，并生成相應圖標；

e) 安裝位置可由終端操作系統用戶指定；

f) 提示終端操作系統用戶對其使用的終端資源和終端數據進行確認；

g) 終端應用軟件安裝后，終端操作系統和其他應用軟件仍能正常使用；

h) 卸載時能夠將其安裝及使用過程產生的資源文件、配置文件和用戶數據全部刪除。

6.1.8　用戶策略管理

測試評價方法：

檢測系統是否為系統用戶提供了初始化策略；

模擬用戶對于策略進行添加、刪除、修改、查詢、導入、導出等操作，查看能否操作成功。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 應對移動智能終端用戶提供初始化策略；

a) 支持授權用戶對用戶策略的添加、刪除、修改操作；

b) 支持用戶策略分發、查詢、導入、導出策略等操作。

6.1.9　運行安全保護

測試評價方法：

a) 查看操作系統設計文檔，檢查系統設計時是否有違反或繞過安全規則的任何類型的入口和文檔中未說明的任何模式的入口；

b) 查看操作系統設計文檔，檢查系統是否將系統程序與用戶程序進行隔離。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 系統在設計時不應以維護、支持或操作需要為借口，設計有違反或繞過安全規則的任何類型的入口和文檔中未說明的任何模式的入口；

c) 應將移動智能終端操作系統程序與用戶程序進行隔離；

d) 應禁止在用戶模式下運行的進程對系統段進行寫操作；而在系統模式下運行時，應允許進程對所有的虛存空間進行讀、寫操作。

6.1.10　升級能力

測試評價方法：

a) 檢查產品的升級更新方式，進行相應策略配置，驗證升級功能的有效性；

b) 檢查產品的升級頻率，驗證升級功能的及時性；

c) 對系統進行安全屬性配置后進行升級更新操作，查看升級后的系統安全屬性是否與升級前一致；

d) 在系統更新升級過程中，通過斷網、關機等操作導致升級失敗，查看系統是否具備回滾機制，確保系統安全屬性與升級操作前一致；

e) 對升級包進行篡改，檢查產品能否升級成功。

測試評價結果：

系統應具有及時更新、升級功能，并確保升級前后的系統安全屬性一致性；應通過簽名驗證等機制確保升級包的完整性。

6.1.11　超時鎖定或注銷

測試評價方法：

a) 檢測系統是否提供用戶登錄超時鎖定或注銷功能；

a) 模擬系統用戶設置最大超時時間閾值，并在設定的時間段內沒有任何操作，檢測系統能否終止用戶會話，檢測用戶是否須進行身份鑒別后才能繼續系統操作。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 應具有登錄超時鎖定或注銷功能；

a) 應提供用戶設定最大超時時間的功能；

b) 在設定的時間段內沒有任何操作的情況下，終止會話，需要再次進行身份鑒別才能夠重新操作。

6.1.12　運行監控

測試評價方法：

檢測系統是否提供對移動智能終端設備運行狀態（比如CPU使用率、內存占用率、存儲空間等）、網絡連接、系統環境的狀態實時監測。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

應提供對移動智能終端設備運行狀態（比如CPU使用率、內存占用率、存儲空間等）、網絡連接、系統環境的監測。

6.1.13　可靠時鐘

測試評價方法：

a) 檢測系統是否提供手工、自動時鐘設置功能；

b) 手動更改系統日期和時間，查看界面顯示日期和時間是否更新為所設日期和時間；

c) 選擇自動設置日期和時間，查看界面顯示時間是否更新為當前實際日期和時間；

d) 手動更改系統時區，查看界面顯示系統時區是否更新。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

應提供手工設定系統時鐘和遠程時鐘服務自動時鐘同步兩種方式的系統時鐘設置功能。

6.1.14　可用性

6.1.14.1　穩定性

測試評價方法：

模擬用戶在智能終端上部署并使用操作系統，進行各種功能操作。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 產品在智能終端正常工作狀態下應工作穩定，不應造成移動智能終端死機現象；

a) 產品的運行不應影響移動智能終端的正常網絡通信。

6.1.14.2　兼容性

測試評價方法：

a) 檢測系統是否提供了第三方軟件應用接口，模擬用戶在操作系統上安裝并使用第三方應用軟件，并進行軟件升級操作；

b) 配置相應參數，使用移動智能終端進行互聯網無線接入，檢測系統是否支持3G、4G、WiFi等方式。

測試評價結果：

記錄測試結果并對該結果是否完全符合上述測試評價方法要求作出判斷，應符合：

a) 除了自帶的應用程序，移動智能終端操作系統應提供良好的第三方軟件應用接口，能夠支持第三方應用軟件的安裝、運行和升級功能；

a) 具備多種無線接入互聯網的能力。