智慧型手機系統內建軟體資安測試規範簡介
為提供智慧型手機內建軟體資安檢測標準供手機製造商參考,國家通訊傳播委員會(NCC)於106年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」(已於111年2月23日停止適用),然而手機功能日新月異,為此,NCC於108年7月委由財團法人電信技術中心(TTC)參考前述技術規範,在作業系統層中納入eSIM測項、應用程式層中納入常見弱點與漏洞(Common Vulnerabilities and Exposures, CVE)與敏感性資料儲存於系統日誌等測試項目,並協調由台灣資通產業標準協會辦理制定工作,於109年7月公告「TS-0029 v1.0-智慧型手機系統內建軟體資安標準」,110年1月公告「TS-0030 v1.1-智慧型手機系統內建軟體資安測試規範」以作為產業標準。後續NCC提案請經濟部標準檢驗局訂定國家標準,經該局與台灣資通產業標準協會合作,參考該協會制定之智慧型手機系統內建軟體資安標準及測試規範產業標準,並參酌國際間智慧型手機相關資通安全之標準、規範及指引等,於111年9月制定公布「CNS 16176:智慧型手機系統內建軟體資通安全要求事項」及「CNS 16177:智慧型手機系統內建軟體資通安全測試法」2項國家標準,提供手機製造商、軟體開發商及檢測實驗室做為智慧型手機系統內建軟體資安檢測依據,以協助業者強化產品資訊安全。適用範圍為手機製造商於出廠時安裝在手機上的軟體,包含系統內具圖示與無圖示軟體(選測),不含使用者自行安裝或下載軟體之附加服務。
智慧型手機系統內建軟體依其屬性,分為內建軟體及無圖示軟體(如下圖所示)。
「TS-0029 v1.0-智慧型手機系統內建軟體資安標準」產業標準係依據國際間對智慧型手機資通安全之分層概念將「智慧型手機系統內建軟體資通安全檢測技術規範」(已於111年2月23日停止適用)資料層測項併入應用程式層,區分為應用程式層、通訊協定層、作業系統層及硬體層四個層別,「TS-0030 v1.1-智慧型手機系統內建軟體資安測試規範」亦同,考量不同層別面臨的資安風險有所不同,故對各層別分別訂定檢測項目。「CNS 16176:智慧型手機系統內建軟體資通安全要求事項」及「CNS 16177:智慧型手機系統內建軟體資通安全測試法」國家標準之分層概念亦同前揭二項產業標準。