手機資安檢測 (NCC檢測標準)

智慧型手機系統內建軟體資通安全檢測技術規範

  • 概說
    網路與通訊無遠弗屆,智慧型手機基於高度可攜性與便利性,有效提升生產力與工作 效率,但隨之而來,使用者也必須面對智慧型手機上網後所帶來的資安威脅。有鑒於 此,國家通訊傳播委員會(下稱本會)爰參考國際標準及歐美等國作法,研議訂定「智 慧型手機系統內建軟體資通安全檢測技術規範」(以下簡稱「本規範」),作為智慧 型手機製造商、經銷商、電信業者及資通安全檢測實驗室辦理檢測之依據。

  • 適用範圍
    本規範適用於智慧型手機系統及其系統內建軟體,以確保其符合現階段資訊安全要求, 但不包含使用者於內建軟體中自行下載之附加服務或內容。
    資通安全本質為風險控管概念,智慧型手機系統內建軟體經本規範檢測通過後,並不 能保證受測後之智慧型手機於使用時不會被惡意破解或遭到駭客攻擊,使用者應搭配 良好的使用習慣,並隨時提高資安警覺,以降低資安問題所帶來的風險與影響程度。
    • 內建軟體屬性
      智慧型手機系統內建軟體(以下簡稱內建軟體)分為出廠預載軟體、銷售商加載軟 體及無圖示軟體 3 種屬性,其中無圖示軟體得由申請檢測者(以下簡稱申請者)自行選擇是否檢測:
      • 出廠預載軟體:智慧型手機出廠時已預設安裝之應用軟體,且使用者可透過圖示啟動。
      • 銷售商加載軟體:智慧型手機銷售時預設搭載或首次連結網路後自動安裝之應用軟體,且使用者可透過圖示啟動。
      • 無圖示軟體:於上述兩種情況所安裝之應用軟體,使用者無法透過圖示啟動,且該軟體會啟動通訊功能。
    • 檢測層別
      本規範依據國際間對智慧型手機安全之分層概念,將智慧型手機區分為資料層、應 用程式層、通訊協定層、作業系統層及硬體層五個層別,考量不同層別可能面臨的 資訊安全風險有所不同,故對各層別分別訂定檢測項目。各檢測層別之安全性說明 如下:
      • 資料層(Information/Data):資料之安全性主要包含資料的傳送、儲存或使用等 相關安全,並應確保使用者資料避免遭系統內建軟體未經授權之蒐集、分享、使用、刪除、竄改及儲存。
      • 應用程式層(APPs):應用程式之安全性主要包含程式信任來源、執行授權等相 關安全,並應確保內建軟體避免未經授權存取系統資源。
      • 通訊協定層(Protocol):通訊協定之安全性主要包含無線傳輸技術及通訊協定等 相關安全,並應確保使用者對資料之傳輸、周邊設備之連接的可控管性。
      • 作業系統層(Operating System):作業系統之安全性主要包含作業系統相關服務 與身分辨識等相關安全,並應確保作業系統對系統資源之保護、提醒,並讓使用 者於知情的狀況下進行更新。
      • 硬體層(Hardware):硬體之安全性主要包含金鑰與演算模組等安全,並應確保 金鑰管理、存放之保護,及演算法之安全強度符合國際規範,並讓使用者於知情 的狀況下進行更新。
  • 安全等級
    為配合不同安全需求,本規範將智慧型手機系統內建軟體資通安全等級區分為初級、 中級及高級 3 種,各等級之要求及說明如下。

    • 根據資料敏感性與否及是否為使用者輸入兩個因素,將資料分為第1~4型
    • 檢測項目層別代碼
      層別 代碼
      資料層 D
      應用程式層 A
      通訊協定層 P
      作業系統層 O
      硬體層 H
    • 資通安全等級代碼
      層別 代碼
      初級 B
      中級 M
      高級 H
    • 檢測項目及安全需求說明

 

more...

© 2015 鑒真數位 All Rights Reserved