移动互联网应用商店安全防护需求分析.docVIP

b目 次 目 次 II 前 言 III 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 3 4 应用商店安全防护概述 3 5 应用商店定级对象和安全等级确定 5 6 应用商店安全等级保护要求 5 6.1 第1级要求 5 6.1.1 应用软件安全 5 6.1.2 业务应用安全 5 6.1.3 主机层安全 5 6.1.4 网络层安全 6 6.1.5 物理环境安全 6 6.1.6 管理安全 6 6.2 第2级要求 6 6.2.1 应用软件安全 6 6.2.2 业务应用安全 7 6.2.3 网络层安全 8 6.2.4 主机安全 9 6.2.5 物理环境安全 11 6.2.6 管理安全 11 6.3 第3.1级要求 12 6.3.1 应用软件安全 12 6.3.2 业务系统安全 12 6.3.3 网络层安全 13 6.3.4 主机安全 14 6.3.5 物理环境安全要求 15 6.3.6 管理安全要求 15 6.4 第3.2级要求 16 6.5 第4级要求 16 6.6 第5级要求 16 A.1 资产分析 17 A.2 脆弱性分析 17 A.3 威胁分析 19 参考文献 21 前 言 本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下： 《电信网和互联网安全防护管理指南》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》 《互联网安全防护要求》 《移动通信网安全防护要求》 《互联网安全防护要求》 《增值业务网—消息网安全防护要求》 《增值业务网—智能网安全防护要求》 《接入网安全防护要求》 《传送网安全防护要求》 《IP承载网安全防护要求》 《信令网安全防护要求》 《同步网安全防护要求》 《支撑网安全防护要求》 《非核心生产单元安全防护要求》 《电信网和互联网物理环境安全等级保护要求》 《电信网和互联网管理安全等级保护要求》 《固定网安全防护检测要求》 《移动通信网安全防护检测要求》 《互联网安全防护检测要求》 《增值业务网—消息网安全防护检测要求》 《增值业务网—智能网安全防护检测要求》 《接入网安全防护检测要求》 《传送网安全防护检测要求》 《IP承载网安全防护检测要求》 《信令网安全防护检测要求》 《同步网安全防护检测要求》 《支撑网安全防护检测要求》 《非核心生产单元安全防护检测要求》 《电信网和互联网物理环境安全防护检测要求》 《电信网和互联网管理安全检测要求》 《域名系统安全防护要求》 《域名系统安全防护检测要求》 《网上营业厅安全防护要求》 《网上营业厅安全防护检测要求》 《WAP网关系统安全防护要求》 《WAP网关系统安全防护检测要求》 《电信网和互联网信息服务业务系统安全防护要求》 《电信网和互联网信息服务业务系统安全防护检测要求》 《增值业务网 即时消息业务系统安全防护要求》 《增值业务网 即时消息业务系统安全防护检测要求》 《域名注册系统安全防护要求》 《域名注册系统安全防护检测要求》 《移动互联网应用商店安全防护要求》（本标准） 《移动互联网应用商店安全防护检测要求》 《互联网内容分发网络安全防护要求》 《互联网内容分发网络安全防护检测要求》 《互联网数据中心安全防护要求》 《互联网数据中心安全防护检测要求》 本标准与YD/T XXXXX-2012《移动互联网应用商店安全防护检测要求》配套使用。 随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。 本标准由中国通信标准化协会提出并归口。 本标准起草单位： 本标准主要起草人： 移动互联网应用商店安全防护要求 范围 本标准规定了应用商店在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。 本标准适用于移动互联网应用商店业务系统，以下统一简称“应用商店”。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。 YD/T 1728-2008 电信网和互联网安全防护管理指南 YD/T 1729-2008 电信网和互联网安全等级保护实施指南 YD/T 1730-2008 电信网和互联网安全风险评估实施指南 YD/T 1731-2008 电信网和互联网灾难备份及恢复实施指南 YD/T 1754-2008 电信网和互联网物理环境安全防护要求 YD/T 1756-2008 电信网和互联网管理安全防护要求 YDN 126-2009 增值电信业务网络信息安全保障基本要求 YD/T 1736-2009 互联网安全防护要求 术