组织机构/年会活动: 中国交易银行50人论坛 中国供应链金融产业联盟中国供应链金融年会 中国保理年会 中国消费金融年会 第三届中国交易银行年会
首页 >> 消费金融 >> 列表

《移动终端安全环境安全评估内容和方法》关键点

时间: 2018-01-22 17:38:25 来源: 移动支付网   网友评论 0
  • 不管是GP TEE安全认证,还是泰尔实验室安全认证,还是CC认证,都是按照CC标准规范的评估方法和原则来进行的。

不管是GP TEE安全认证,还是泰尔实验室安全认证,还是CC认证,都是按照CC标准规范的评估方法和原则来进行的。

比如泰尔终端实验室制定了一些规范:

《移动终端安全环境安全评估内容和方法》该文档作为总体性文档。其参考的文档则有:

《YDT 2844.1-2015 移动终端可信环境技术要求 第1部分:总体》

《YDT 2844.2-2015 移动终端可信环境技术要求 第2部分:可信执行环境》

《YDT 2844.3-2015 移动终端可信环境技术要求 第3部分:安全存储》

《YDT 2844.4-2015 移动终端可信环境技术要求 第4部分:操作系统的安全保护》

《YDT 2844.5-2016 移动终端可信环境技术要求 第5部分:与输入输出设备的安全交互》

安全性测试分为脆弱性分析和渗透性测试,具体如下图所示:

\

简要的说,先审核文档和代码,找漏洞、制定测试案例,进行软硬件攻击测试。

该规范将安全级别定义为4个安全级别。

另外该文档对安全功能进行了细化,对于我们产品安全设计具有很好的参考意义:

\

基本上上述安全目标也就是TEE可信执行环境操作系统的特征。

规范最后提出了一些文档要求,这些文档有些事设计文档,有些事安全测试的标准文档,这些文档不管是哪一个安全测试标准、机构都会有比较具体的要求,对于产品的安全性设计来说,这些文档也是必要的。

\

[收藏] [打印] [关闭] [返回顶部]


本文来源:移动支付网 作者:安智客 (责任编辑:dk123)
  •  验证码:
热点文章
中国贸易金融网,最大最专业的中文贸易金融平台