17移动应用软件发布安全指导翠月直通车系统V100.docx
《17移动应用软件发布安全指导翠月直通车系统V100.docx》由会员分享,可在线阅读,更多相关《17移动应用软件发布安全指导翠月直通车系统V100.docx(15页珍藏版)》请在冰点文库上搜索。
17移动应用软件发布安全指导翠月直通车系统V100
移动应用软件
发布安全指导
2017年8月21日
修订记录:
修订版本号
修订人
0
修订日期
修订描述
江山
软件发布的安全指导
!
<
1范围5
2引用文件5
3术语和缩写5
4软件发布技术安全6
安全功能6
身份鉴别6
鉴别方式6
安全输入7
敏感信息显示7
鉴别失败7
密码的设泄与找回8
访问控制8
权限控制8
逻辑安全设计8
防衆力破解9
会话安全9
数据安全10
数据获取10
数据防窃取10
数据防篡改10
数据有效性10
数据访问控制11
数据传输11
通信协议11
数据保密性11
数据完整性12
数据真实性12
数据存储12
数据销毁13
残余信息保护13
页而返回保护13
密码算法及密钥管理13
密码算法13
密钥管理14
5软件发布软件安全14
安全配這14
组件安全14
接口安全15
可信程序15
运行环境检测15
抗攻击能力15
6软件发布管理安全16
设计安全16
开发安全16
发布安全17
维护安全18
本安全指导适用于翠月直通车系统的手机端软件和PC端软件的软件发布。
2.
,引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239-2008信息系统安全等级保护基本要求
GB/T18336-2015信息技术安全评估准则
GB/Z28828-2012公共及商用服务信息系统个人信息保护指南
JR/T0092-2012中国金融移动支付客户端技术规范
移动互联网应用程序信息服务管理规定(国家互联网信息办公室2016年6月28日发布)
4,
,术语和缩写
术语
描述
移动互联网应用软件
安装于移动智能终端上,专门为某一应用U的编制的程序(APP),简称移动应用软件
密钥
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。
密钥分为对称密钥与非对
称密钥。
在非对称密钥体系中,密钥乂分为公钥和私钥
]
签名
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明
敏感信息
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。
影响基于移动应用软件安全的密码、密钥以及个人敬感数据等信息,密码包括但不限于登录密码、证书的PIN等,密钥包括但不限于用于确保通信安全、报文完整性等的密钥,个人敏感数据包括但不限于证件号码、生物识别信息、手机号、银行卡号等
6软件发布技术安全
6.1
「安全功能
6.2.1s
心身份鉴别
6.2.2.1鉴别方式
一般要求:
a)按照自愿的原则,在注册时对用户进行基于移动电话号码等真实身份信息
的鉴别;
b)对于用户鉴别信息修改等重要业务操作,移动应用软件应进行二次鉴权,
避免用户身份被冒用。
增强要求:
a)移动应用软件登录应采用两种或两种以上的要素对用户身份进行鉴别;短信验证码不宜作为第二种身份鉴别方式;
b)
C|t
0)当移动应用软件进入终端系统后台后,再次被唤醒切换到前台时,应采取措施对用户身份进行鉴别;
e)对于涉及敬感信息修改或转账、支付等重要业务,除密码认证以外,还应采用其他安全认证方式;
f)涉及敬感信息及重要业务操作,应用软件不宜通过第三方帐户,如微博、微信、支付宝等进行认证。
6.2.2.2安全输入
一般要求:
a)移动应用软件应提供用户输入密码的即时防护功能,例如采取逐字符加密、随机键位软键盘、防范键盘窃听技术、计算MAC校验码等措施。
增强要求:
b)移动应用软件应提供用户输入敬感信息,诸如身份证号、手机号、邮箱、姓名等信息的即时防护功能。
622.3?
622.4
心,敏感信息显示
a)移动应用软件的密码框应禁止明文显示密码,应使用同一特殊字符(例如*或・)代替;
b)除必须山用户确认的情况外,移动应用软件在显示个人信息(如身份证号、手机号、邮箱、姓名等)时宜屏蔽部分关键字段。
622.6鉴别失败
一般要求:
a)移动应用软件应提供鉴别失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
b){
应避免鉴别措施提示泄露信息,在鉴别失败时,提供通用的错误提示信息,避免提示信息被攻击者利用。
6.2.2.7
亠,密码的设定与找回
一般要求:
a)移动应用软件应提供密码复杂度校验功能;若有服务器端,应使用服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度;
b)在找回密码或密码重置时,应使用例如短信验证码、用户注册信息校核等方式,对用户身份进行校验
增强要求:
a)在进行找回密码或密码重置时,应采用两种或两种以上要素进行身份鉴别。
6.2.3:
心访问控制
一般要求:
a)
s移动应用软件应严格限制用户的访问权限,按照安全策略要求控制用户对业务功能、用户数据等对象的访问,应遵循最小权限原则。
6.2.5权限控制
一般要求:
a)移动应用软件向移动终端操作系统申请权限时,应遵循最小权限原则。
6.2.6逻辑安全设计
一般要求:
a)对于鉴别、校验等安全保证功能的流程设计应充分考虑其合理性,避免逻辑漏洞的出现,确保鉴别流程无法被绕过;
b)对于处理重要业务或敬感信息的功能逻辑设讣应充分考虑其合理性,避免逻辑漏洞的出现,保证重要业务安全,防止敬感信息泄露。
6.2.7
心防暴力破解
a)移动应用软件应严格设置登录策略,按安全策略要求具备防范账户暴力破解攻击措施的能力;
b)当用户实施密码重置、密码找回等鉴别信息更改操作时,应设置相关策略,防止暴力破解攻击。
6.2.9|
62“会话安全
一般要求:
a)应釆取会话保护措施,保证软件与后台服务器之间的会话不可被窃听、篡改、伪造、重放等;
b)移动应用软件应确保用户在执行注销/登出后,会话被安全终止;
o.应设计合理的账户登录超时控制策略,当用户闲置在线状态超岀时限时,移动应用软件自动退出登录状态;
e)应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话来消耗系统资源,影响业务的可用性。
6・3数据安全
6・3・「
亠数据获取
6.3.2.1数据防窃取
一般要求:
a)用户输入敬感信息时,应采取安全措施确保敬感信息不被移动终端的其他程序窃取,如使用经过第三方专业机构检测的安全软键盘等;
b)移动应用软件应注意保护内存中的敬感信息,敬感信息在输入完成后应立即进行加密,内存中不应存在完整的明文敏感信息;
6移动应用软件的临时文件中不应出现敬感信息,临时文件包括但不限于Cookies、本地临时文件和移动数据库文件等。
移动应用软件应禁止在身份鉴别结束后存储敏感信息,防止敏感信息的泄露。
增强要求:
a)>
°)应采取技术手段防止内存中加密的敬感信息被还原为明文。
6・3・2・2数据防篡改
一般要求:
a)用户输入敬感信息时,如身份证号、手机号、邮箱、姓名、银行卡号、金额、订单号等,应采取防篡改机制保证数据不被移动终端的其他程序篡改;
b)移动应用软件若需采集用于鉴别的生物信息,应当符合国家、金融行业标准和相关信息安全管理要求,防止被篡改、复制。
6・3・2・3数据有效性
一般要求:
a)>
°)移动应用软件宜在数据获取时提供有效性校验功能,确保通过人机接口或通信接口输入的数据格式或长度等信息符合系统设定要求;若有服务器端,该校验功能不能替代服务器的有效性校验功能。
63.2.4数据访问控制
一般要求:
a)移动应用软件应采取措施确保本地数据仅能被授权用户或授权应用组件访问;
b)移动应用软件不应访问终端中非业务必需的文件和数据。
6.33数据传输
6.3.3.1通信协议
<
一般要求:
a)应在移动应用软件与服务器之间建立安全的信息传输通道,例如使用TLS或IPSEC等协议;
b)应确保采用的安全协议不包含已知的公开漏洞;
c)移动应用软件应采用证书校验技术(如SSLPinning等)来验证服务器身份,防止中间人攻击。
增强要求:
d)移动应用软件与服务器应进行双向认证。
63.3.2数据保密性
一般要求:
tl敬感信息在本地程序组件间或通过公共网络传输时,应釆取加密措施确保其保密性。
6.3.33数据完整性
一般要求:
a)敬感信息在本地程序组件间或通过公共网络传输时,如身份证号、手机号、邮箱、姓名、银行卡号、金额、订单号等,应采取措施(如数字签名、MAC等)确保其完整性。
63.3.4数据真实性
一般要求:
a)移动应用软件与服务端应采取技术手段对接收的数据进行鉴别,防止数据伪造;
b)\
<1通过移动应用软件发起的重要业务操作,诸如资金交易报文,应确保报文的真实性和不可抵赖性,在有条件的情况下应采用数字签名技术。
6.3.4
心数据存储
一般要求:
a)移动应用软件不应在本地存储用户敬感信息,如用户密码、身份信息等;
b)移动应用软件应仅保存业务必需的敬感信息,敬感信息存储时应进行加密或不可逆变换;
c)移动应用软件应确保无法通过逆向丄程等手段直接从安装包或本地文件系统中恢复完整的密钥明文;
d)移动应用软件不应在配置文件中明文存储任何敬感信息,如数据库连接密码、ftp登录密码、外部系统接口认证密码等。
6.3.6Y
心数据销毁
6.3.7.1残余信息保护
一般要求:
a)敬感信息在使用完毕后,应立即进行清除;
b)移动应用软件退出时,应清除非业务功能运行所必需留存的业务数据,保证用户信息的安全性;
c)移动应用软件卸载完成后,文件系统中不应残留任何与用户相关的个人信息及墩感信息等。
增强要求:
a){
a移动应用软件应确保无法通过技术手段恢复已清除的个人信息及敏感信息等。
6.3.7・2页面返回保护
増强要求:
a)
砂移动应用软件应对后台任务列表中的预览界面采取模糊或其他防护措施。
63.8密码算法及密钥管理
6.3.8.1密码算法
一般要求:
a)•
a移动应用软件应采取加密措施对有关转账、支付或其它重要业务操作的信息进行保护;
c)密码算法应采用官方开发SDK中自带算法库,若使用第三方算法库应对其安全性进行验证;
d)密码算法应符合国家密码管理局的有关要求。
6.3・&2密钥管理
一般要求:
a)会话密钥宜采用一次一密的方式;
b)密钥在传输过程中应采取加密措施对密钥进行保护;
c)、
6随机生成的密钥应具有一定的随机性与不可预测性。
增强要求:
a)移动应用软件在进行重要业务操作,如修改敬感信息、转账、支付等交易时应采用一次一密的方式。
7软件发布软件安全
7.1安全配置
一般要求:
a)移动应用软件应遵守安全配置相关要求,关闭应用调试、数据备份等相关功能。
7.2.
穏组件安全
一般要求:
a)使用系统组件时应严格对组件的访问/操作进行控制,避免组件暴露;
b)应避免使用有漏洞的开源第三方应用组件及代码。
增强要求:
a)应严格限制笫三方组件自身数据收集功能,避免用户信息泄漏。
7.4
接口安全
一般要求:
a)移动应用软件应对软件接口进行保护,防止其他应用对其软件接口进行非授权调用;
b)移动应用软件应对传入的URI(UniformResourceIdentifier,统一资源标识符)进行校验与安全处理,防止移动应用软件运行异常或操作异常。
7.6可信程序
一般要求:
a)应通过签名标识移动终端应用程序的来源和发布者,保证用户所下载的移动终端应用程序来源于所信任的机构。
增强要求:
a)
0):
<1移动终端应用程序在每次运行前,需联机动态进行完整性校验。
7.7运行环境检测
增强要求:
a)移动应用软件应在检测到运行环境处于ROOT或者已越狱等非安全环境时,向用户进行环境安全警示,必要时可终止运行。
7.8抗攻击能力
一般要求:
a)移动应用软件应具备基本的抗攻击能力,能抵御静态分析、动态调试、进程注入等操作;
b)移动应用软件代码应使用代码加壳、代码混淆、检测调试器等手段对移动应用软件进行安全保护;
c)移动应用软件启动、更新时应对自身的完整性和真实性进行校验,具备抵御篡改、替换或劫持的能力;
d)移动应用软件使用的安全输入控件应具备抗攻击的能力。
增强要求:
a)安全输入控件应具备检测自身是否正在被调试的能力,并给予用户风险提示。
8软件发布管理安全
8.1设计安全
一般要求:
a)移动应用软件设计应遵循安全、可黑、易用、可维护和可扩展等原则;
b)未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序;
c)如涉及用户个人信息的,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意;
d)若存在用户信息发布功能,应对发布内容进行监测。
涉及违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告。
8.2开发安全
一般要求:
a)移动应用软件开发过程中应遵守严格的开发流程和编码安全规范,进行完整的测试,避免在请求、响应、存储、配置等功能中存在漏洞;
b)移动应用软件开发过程中应建立并维护开发文档,包括需求说明、概要设计、数据模型设计、源码归档、测试用例、配置管理等;
C)移动应用软件开发完成后,应同步完成产品手册、用户手册等相关文档;
d)移动应用软件在开发完成后,应进行安全测试;
e)应确保安全测试所使用的数据是经混淆后的脱敬数据。
8.3发布安全
一般要求:
a)移动应用软件应有规范的上线发布流程,并应提供安全可靠的移动应用软件下载、发布、升级渠道;
b)移动应用软件在安装前,应有明确的风险提示,对于无法在安装前进行风险提示的操作系统,建议在安装后运行的第一步提示用户。
安装过程中,应拥有独立的安装LI录,唯一的应用标识符,明确的版本序号,不得篡改、覆盖、删除系统文件和其它软件。
安装完成后,应明确告知用户成功或失败;
c)移动应用软件在卸载时,应严格依据登记注册的卸载项,逐项删除清理,如涉及到资金交易等墩感信息,须删除运行时产生的所有缓存文件、日志文件等,同时不得篡改、覆盖、删除系统文件和其他软件,确保卸载后系统环境正常运行;
d)移动应用软件在上线发布询,应删除所有用于调试的代码。
8.4维护安全
一般要求:
a)应制定科学、合理的管理策略和执行条例,指导各种角色的工作协同、实施步骤、质量管控、安全检测等,规范日常运维流程,消除繁杂凌乱现象,使得小差错提前暴露,避免由此引起大事故的发生;
b)建立并维护:
工程实施、项LI管理、测试报告、变更控制、系统运维管理、监控与应急管理、安全管理、安全审计等文档;
c)记录用户日志信息,并保存六十日。
升级会员 