1 ICS 33.050 M 30 NB-IoT终端安全测试细则和送检指引 2020-04-09发布 2020- 04-09实施 电 信 终 端 产 业 协 会 发布 团体标准 T/TAF 054-2020 T/TAF 054-2020 I 目 次 目次 ................................ ................................ ................. I 一、 适用范围 ................................ ................................ ...... II 二、 检验依据 ................................ ................................ ....... 1 三、 检测项目一览表 ................................ ................................ . 1 四、 测试项目 ................................ ................................ ....... 1 1、操作系统安全能力测试 ................................ .............................. 1 2、应用安全保护能力测试 ................................ .............................. 2 五、 判定原则 ................................ ................................ ....... 2 1、操作系统安全能力测试 ................................ .............................. 2 2、应用安全保护能力测试 ................................ .............................. 3 六、 测试送检指引 ................................ ................................ ... 3 1、 操作系统安全能力测试 ................................ ............................. 3 1.1 不支持更新时的需提供的材料 ................................ ....................... 3 1.2 安全措施未全部提供时的需提供的材料 ................................ ............... 4 1.3 提供安全措施时的需提供的材料 ................................ ..................... 4 1.3.1 本地升级的需提供的材料 ................................ ....................... 4 1.3.1.1 文档材料 ................................ ................................ ... 4 1.3.1.2 硬件 ................................ ................................ ....... 5 1.3.1.3 软件 ................................ ................................ ....... 5 1.3.2 在线FOTA升级的需提供的材料 ................................ .................. 5 1.4 系统安全文档内容建议 ................................ ............................. 6 1.5 常见问题及解答 ................................ ................................ ... 6 2、 应用安全保护能力测试 ................................ ............................. 7 2.1 需提供的材料 ................................ ................................ ..... 7 2.1.1 文档材料 ................................ ................................ ..... 7 2.1.2 测试条件 ................................ ................................ ..... 8 2.2 应用安全说明文档内容建议 ................................ ......................... 8 2.3 常见问题及解答 ................................ ................................ ... 9 七、更新说明 ................................ ................................ ...... 10 T/TAF 054-2020 II 前 言 本标准由 电信终端产业协会 协会提出并归口。 本标准起草单位： 中国信息通信研究院 本标准主要起草人： 刘陶、詹维骁、 宁华、王嘉义、路晔绵 、王剑 1 NB-IoT终端安全测试细则和送检指引 一、 适用范围 本文件适用电信终端设备中 能够独立接入我国公用电信网 的“移动用户终端” NB-IoT制式网络信 息安全能力（通信安全部分除外） ， 包括NB-IoT制式的无线数据终端等。 二、 检验依据 1. YD/T 2408 -2013 《移动终端安全能力测试方法》 2. YD/T 3228 -2017 《移动应用软件安全评估方法 》 注 1：除以上标准外，产品应符合“电信条例”的相关要求； 三、 检测项目一览表 序号 检测项目 测试项数 备注 网络信息安全 1、 操作系统安全能力测试 1 2、 应用安全保护能力测试 4 注2：本文档不包含网络信息安全中的“通信安全”测试项。 四、 测试项目 1、操作系统 安全能力 测试 （标准依据： YD/T 2408 -2013） 序号 检验项目 标准与要求 1 4.3.1.3 操作系统的更新 终端提供操作系统 的更新机制 时，应保 证执行授权的操作系统 更新；终端不能 保证操作系统安全的更新时，应在说明 书中明示用户可能带来的安全风险 。 2 2、应用安全 保护能力 测试 （标准依据： YD/T 3228 -2017） 序号 检验项目 标准与要求 2 6.2.1.1 签名规范 应用软件应包含供应者或开发者的数 字签名信息和软件属性信息（如名称、 版本信息和描述等），且签名 信息应真 实、规范。 3 6.3.1.5 升级行为 应用软件的升级前应明示用户 ,且用户 可有效的确认或取消继续升级； 升级前 应对升级可能带来的安全风险进行明 示，且用户可有效确认或拒绝继续升 级； 如果取消升级应用软件或者升级失 败时， 软件能回到更新前的版本且能正 常使用。 注：第2项适用于承载可安装的业务应用程序的 终端； 第3项适用于 承载可安装的业务应用程序 且具备应用界面的终端 ； （标准依据： YD/T 3228 -2017） 序号 检验项目 标准与要求 4 6.4.1.7.2 个人信息的加密传输 如果应用软件涉及个人信息（金融支付 类，信息通信类，账户设置类，传感采 集类信息） 等，应用软件应无敏感信息 明文传输的行为。 5 6.5.3.1 身份认证机制 厂商提供的文档中 应包含用户身份认证 机制，且应用的用户身份认证机制与文 档中一致。 注：第4项适用于具备业务应用程序，且传输敏感个人信息的 终端； 第5项适用于 具备业务应用 程序的终端； 五、 判定原则 1、 操作系统 安全能力 测试 该项测试目的是为了检测在被测设备固件或操作系统升级过程中是否提供了相应的安全措施以保 证授权更新， 升级过程应满足以下要求： 3 1) 设备应可判断升级包是否 来源于设备生产厂商官方 ， 拒绝刷入非官方来源的包， 或即使能刷入 ， 设备识别来源不正确后也不会进行实际的升级操作，而是依旧运行