移动互联网应用软件安全通用技术规范(试行)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信、支付宝等进行认证。 4.1.1.2 安全输入 一般要求: a) 移动应用软件应提供用户输入密码的即时防护功能,例如采取逐字符加密、
随机键位软键盘、 防范键盘窃听技术、计算 MAC 校验码等措施。 增强要求: a) 移动应用软件应提供用户输入敏感信息,诸如身份证号、手机号、邮箱、姓
名等信息的即时防护功能,如被其它软件截获。 4.1.1.3 敏感信息显示 一般要求: a) 移动应用软件的密码框应禁止明文显示密码,应使用同一特殊字符(例如*
建多个并发的会话来消耗系统资源,影响业务的可用性。 4.2 数据安全 4.2.1 数据获取 4.2.1.1 数据防窃取 一般要求: a) 用户输入敏感信息时,应采取安全措施确保敏感信息不被移动终端的其他程
序窃取,如使用经过第三方专业机构检测的安全软键盘等; b) 移动应用软件应注意保护内存中的敏感信息,敏感信息在输入完成后应立即
防止暴力破解攻击。 4.1.6 会话安全 一般要求: a) 应采取会话保护措施,保证软件与后台服务器之间的会话不可被窃听、篡改、
伪造、重放等; b) 移动应用软件应确保用户在执行注销/登出后,会话被安全终止; c) 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,移
动应用软件自动退出登录状态; d) 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创
3
增强要求: a) 移动应用软件登录应采用两种或两种以上的要素对用户身份进行鉴别;短信
验证码不宜作为第二种身份鉴别方式; b) 当移动应用软件进入终端系统后台后,再次被唤醒切换到前台时,应采取措
施对用户身份进行鉴别; c) 对于涉及敏感信息修改或转账、支付等重要业务,除密码认证以外,还应采
用其他安全认证方式; d) 涉及敏感信息及重要业务操作,应用软件不宜通过第三方帐户,如微博、微
漏洞的出现,确保鉴别流程无法被绕过; b) 对于处理重要业务或敏感信息的功能逻辑设计应充分考虑其合理性,避免逻
辑漏洞的出现,保证重要业务安全,防止敏感信息泄露。 4.1.5 防暴力破解 一般要求: a) 移动应用软件应严格设置登录策略,按安全策略要求具备防范账户暴力破解
攻击措施的能力; b) 当用户实施密码重置、密码找回等鉴别信息更改操作时,应设置相关策略,
1
Байду номын сангаас 引言
在国家实施“互联网+”行动计划的大背景下,移动互联网以其兼备移动通信 和互联网优势,具有实时性、隐私性、便携性、准确性、可定位等特点,将加速 向社会生活的各个领域渗透。移动互联网普及的深度和广度不断拓展,并逐级形 成了一种全新的产业模式和生态环境,深刻地改变着其他相关产业的发展进程。 在移动互联网快速发展的同时,移动应用安全隐患和标准空白也给其发展带来了 挑战,信息泄露、恶意扣费甚至资金被盗等事件时有发生。
避免提示信息被攻击者利用。 4.1.1.5 密码的设定与找回 一般要求: a) 移动应用软件应提供密码复杂度校验功能;若有服务器端,应使用服务端提
供密码复杂度校验功能,保证用户设置的密码达到一定的强度; b) 在找回密码或密码重置时,应使用例如短信验证码、用户注册信息校核等方
式,对用户身份进行校验。 增强要求: a) 在进行找回密码或密码重置时,应采用两种或两种以上要素进行身份鉴别。 4.1.2 访问控制 一般要求:
或•)代替; b) 除必须由用户确认的情况外,移动应用软件在显示个人信息(如身份证号、
手机号、邮箱、姓名等)时宜屏蔽部分关键字段。 4.1.1.4 鉴别失败 一般要求: a) 移动应用软件应提供鉴别失败处理功能,可采取结束会话、限制非法登录次
数和自动退出等措施; b) 应避免鉴别措施提示泄露信息,在鉴别失败时,提供通用的错误提示信息,
3.1 移动互联网应用软件..................................................................................3 3.2 密钥 ..............................................................................................................3 3.3 签名 ..............................................................................................................3 3.4 敏感信息 ......................................................................................................3 4 技术安全 ................................................................................................................3 4.1 安全功能 ......................................................................................................3 4.2 数据安全 ......................................................................................................5 4.3 软件安全 ......................................................................................................8 5 管理安全 ................................................................................................................9 5.1 设计安全 ......................................................................................................9 5.2 开发安全 ......................................................................................................9 5.3 发布安全 ......................................................................................................9 5.4 维护安全 ....................................................................................................10
2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注
日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的 修改单)适用于本文件。
GB/T 22239-2008 信息系统安全等级保护基本要求 GB/T 18336-2015 信息技术安全评估准则 GB/Z 28828-2012 公共及商用服务信息系统个人信息保护指南 JR/T 0092-2012 中国金融移动支付 客户端技术规范 移动互联网应用程序信息服务管理规定(国家互联网信息办公室 2016 年 6 月 28 日发布) 3 术语和定义 3.1 移动互联网应用软件 安装于移动智能终端上,专门为某一应用目的编制的程序(APP),简称移 动应用软件。 3.2 密钥 密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入 的参数。密钥分为对称密钥与非对称密钥。在非对称密钥体系中,密钥又分为公 钥和私钥。 3.3 签名 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串, 这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。 3.4 敏感信息 一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。 影响基于移动应用软件安全的密码、密钥以及个人敏感数据等信息,密码包括但 不限于登录密码、证书的 PIN 等,密钥包括但不限于用于确保通信安全、报文 完整性等的密钥,个人敏感数据包括但不限于证件号码、生物识别信息、手机号、 银行卡号等。 4 技术安全 4.1 安全功能 4.1.1 身份鉴别 4.1.1.1 鉴别方式 一般要求: a) 按照自愿的原则,在注册时对用户进行基于移动电话号码等真实身份信息的 鉴别; b) 对于用户鉴别信息修改等重要业务操作,移动应用软件应进行二次鉴权,避 免用户身份被冒用。
进行加密,内存中不应存在完整的明文敏感信息; c) 移动应用软件的临时文件中不应出现敏感信息,临时文件包括但不限于
Cookies、本地临时文件和移动数据库文件等。移动应用软件应禁止在身份鉴 别结束后存储敏感信息,防止敏感信息的泄露。 增强要求:
5
a) 应采取技术手段防止内存中加密的敏感信息被还原为明文。 4.2.1.2 数据防篡改 一般要求: a) 用户输入敏感信息时,如身份证号、手机号、邮箱、姓名、银行卡号、金额、
订单号等,应采取防篡改机制保证数据不被移动终端的其他程序篡改; b) 移动应用软件若需采集用于鉴别的生物信息,应当符合国家、金融行业标准
和相关信息安全管理要求,防止被篡改、复制。 4.2.1.3 数据有效性 一般要求: a) 移动应用软件宜在数据获取时提供有效性校验功能,确保通过人机接口或通
移动互联网应用软件安全通用技术规范
(试行)
上海市信息安全测评认证中心 二〇一六年九月
目录
引 言 ........................................................................................................................... 2 1 范围 ........................................................................................................................3 2 规范性引用文件 ....................................................................................................3 3 术语和定义 ............................................................................................................3
本规范从技术安全和安全管理两方面,对移动互联网应用软件在设计、开发、 维护及测试提出通用安全要求。
同时,按照适度保护原则,根据移动互联网应用软件涉及信息的敏感度和业 务重要性的不同,本规范将通用安全要求分为一般要求和增强要求,以满足不同 移动互联网应用的安全需求。
2
1 范围 本规范适用于移动互联网应用软件的设计、开发、维护及测试等。
4
a) 移动应用软件应严格限制用户的访问权限,按照安全策略要求控制用户对业 务功能、用户数据等对象的访问,应遵循最小权限原则。
4.1.3 权限控制 一般要求: a) 移动应用软件向移动终端操作系统申请权限时,应遵循最小权限原则。 4.1.4 逻辑安全设计 一般要求: a) 对于鉴别、校验等安全保证功能的流程设计应充分考虑其合理性,避免逻辑
随机键位软键盘、 防范键盘窃听技术、计算 MAC 校验码等措施。 增强要求: a) 移动应用软件应提供用户输入敏感信息,诸如身份证号、手机号、邮箱、姓
名等信息的即时防护功能,如被其它软件截获。 4.1.1.3 敏感信息显示 一般要求: a) 移动应用软件的密码框应禁止明文显示密码,应使用同一特殊字符(例如*
建多个并发的会话来消耗系统资源,影响业务的可用性。 4.2 数据安全 4.2.1 数据获取 4.2.1.1 数据防窃取 一般要求: a) 用户输入敏感信息时,应采取安全措施确保敏感信息不被移动终端的其他程
序窃取,如使用经过第三方专业机构检测的安全软键盘等; b) 移动应用软件应注意保护内存中的敏感信息,敏感信息在输入完成后应立即
防止暴力破解攻击。 4.1.6 会话安全 一般要求: a) 应采取会话保护措施,保证软件与后台服务器之间的会话不可被窃听、篡改、
伪造、重放等; b) 移动应用软件应确保用户在执行注销/登出后,会话被安全终止; c) 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,移
动应用软件自动退出登录状态; d) 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创
3
增强要求: a) 移动应用软件登录应采用两种或两种以上的要素对用户身份进行鉴别;短信
验证码不宜作为第二种身份鉴别方式; b) 当移动应用软件进入终端系统后台后,再次被唤醒切换到前台时,应采取措
施对用户身份进行鉴别; c) 对于涉及敏感信息修改或转账、支付等重要业务,除密码认证以外,还应采
用其他安全认证方式; d) 涉及敏感信息及重要业务操作,应用软件不宜通过第三方帐户,如微博、微
漏洞的出现,确保鉴别流程无法被绕过; b) 对于处理重要业务或敏感信息的功能逻辑设计应充分考虑其合理性,避免逻
辑漏洞的出现,保证重要业务安全,防止敏感信息泄露。 4.1.5 防暴力破解 一般要求: a) 移动应用软件应严格设置登录策略,按安全策略要求具备防范账户暴力破解
攻击措施的能力; b) 当用户实施密码重置、密码找回等鉴别信息更改操作时,应设置相关策略,
1
Байду номын сангаас 引言
在国家实施“互联网+”行动计划的大背景下,移动互联网以其兼备移动通信 和互联网优势,具有实时性、隐私性、便携性、准确性、可定位等特点,将加速 向社会生活的各个领域渗透。移动互联网普及的深度和广度不断拓展,并逐级形 成了一种全新的产业模式和生态环境,深刻地改变着其他相关产业的发展进程。 在移动互联网快速发展的同时,移动应用安全隐患和标准空白也给其发展带来了 挑战,信息泄露、恶意扣费甚至资金被盗等事件时有发生。
避免提示信息被攻击者利用。 4.1.1.5 密码的设定与找回 一般要求: a) 移动应用软件应提供密码复杂度校验功能;若有服务器端,应使用服务端提
供密码复杂度校验功能,保证用户设置的密码达到一定的强度; b) 在找回密码或密码重置时,应使用例如短信验证码、用户注册信息校核等方
式,对用户身份进行校验。 增强要求: a) 在进行找回密码或密码重置时,应采用两种或两种以上要素进行身份鉴别。 4.1.2 访问控制 一般要求:
或•)代替; b) 除必须由用户确认的情况外,移动应用软件在显示个人信息(如身份证号、
手机号、邮箱、姓名等)时宜屏蔽部分关键字段。 4.1.1.4 鉴别失败 一般要求: a) 移动应用软件应提供鉴别失败处理功能,可采取结束会话、限制非法登录次
数和自动退出等措施; b) 应避免鉴别措施提示泄露信息,在鉴别失败时,提供通用的错误提示信息,
3.1 移动互联网应用软件..................................................................................3 3.2 密钥 ..............................................................................................................3 3.3 签名 ..............................................................................................................3 3.4 敏感信息 ......................................................................................................3 4 技术安全 ................................................................................................................3 4.1 安全功能 ......................................................................................................3 4.2 数据安全 ......................................................................................................5 4.3 软件安全 ......................................................................................................8 5 管理安全 ................................................................................................................9 5.1 设计安全 ......................................................................................................9 5.2 开发安全 ......................................................................................................9 5.3 发布安全 ......................................................................................................9 5.4 维护安全 ....................................................................................................10
2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注
日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的 修改单)适用于本文件。
GB/T 22239-2008 信息系统安全等级保护基本要求 GB/T 18336-2015 信息技术安全评估准则 GB/Z 28828-2012 公共及商用服务信息系统个人信息保护指南 JR/T 0092-2012 中国金融移动支付 客户端技术规范 移动互联网应用程序信息服务管理规定(国家互联网信息办公室 2016 年 6 月 28 日发布) 3 术语和定义 3.1 移动互联网应用软件 安装于移动智能终端上,专门为某一应用目的编制的程序(APP),简称移 动应用软件。 3.2 密钥 密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入 的参数。密钥分为对称密钥与非对称密钥。在非对称密钥体系中,密钥又分为公 钥和私钥。 3.3 签名 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串, 这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。 3.4 敏感信息 一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。 影响基于移动应用软件安全的密码、密钥以及个人敏感数据等信息,密码包括但 不限于登录密码、证书的 PIN 等,密钥包括但不限于用于确保通信安全、报文 完整性等的密钥,个人敏感数据包括但不限于证件号码、生物识别信息、手机号、 银行卡号等。 4 技术安全 4.1 安全功能 4.1.1 身份鉴别 4.1.1.1 鉴别方式 一般要求: a) 按照自愿的原则,在注册时对用户进行基于移动电话号码等真实身份信息的 鉴别; b) 对于用户鉴别信息修改等重要业务操作,移动应用软件应进行二次鉴权,避 免用户身份被冒用。
进行加密,内存中不应存在完整的明文敏感信息; c) 移动应用软件的临时文件中不应出现敏感信息,临时文件包括但不限于
Cookies、本地临时文件和移动数据库文件等。移动应用软件应禁止在身份鉴 别结束后存储敏感信息,防止敏感信息的泄露。 增强要求:
5
a) 应采取技术手段防止内存中加密的敏感信息被还原为明文。 4.2.1.2 数据防篡改 一般要求: a) 用户输入敏感信息时,如身份证号、手机号、邮箱、姓名、银行卡号、金额、
订单号等,应采取防篡改机制保证数据不被移动终端的其他程序篡改; b) 移动应用软件若需采集用于鉴别的生物信息,应当符合国家、金融行业标准
和相关信息安全管理要求,防止被篡改、复制。 4.2.1.3 数据有效性 一般要求: a) 移动应用软件宜在数据获取时提供有效性校验功能,确保通过人机接口或通
移动互联网应用软件安全通用技术规范
(试行)
上海市信息安全测评认证中心 二〇一六年九月
目录
引 言 ........................................................................................................................... 2 1 范围 ........................................................................................................................3 2 规范性引用文件 ....................................................................................................3 3 术语和定义 ............................................................................................................3
本规范从技术安全和安全管理两方面,对移动互联网应用软件在设计、开发、 维护及测试提出通用安全要求。
同时,按照适度保护原则,根据移动互联网应用软件涉及信息的敏感度和业 务重要性的不同,本规范将通用安全要求分为一般要求和增强要求,以满足不同 移动互联网应用的安全需求。
2
1 范围 本规范适用于移动互联网应用软件的设计、开发、维护及测试等。
4
a) 移动应用软件应严格限制用户的访问权限,按照安全策略要求控制用户对业 务功能、用户数据等对象的访问,应遵循最小权限原则。
4.1.3 权限控制 一般要求: a) 移动应用软件向移动终端操作系统申请权限时,应遵循最小权限原则。 4.1.4 逻辑安全设计 一般要求: a) 对于鉴别、校验等安全保证功能的流程设计应充分考虑其合理性,避免逻辑