税务移动应用安全评估规范2016.docVIP

税务移动应用安全评估规范 （试行 国家税务总局电子税务管理中心 二○一六年三月 目次 引言 V 1 概述 1 1.1 范围 1 1.2 规范性引用文件 1 1.3 术语和定义 1 2 总则 1 2.1 评估原则 1 2.2 评估内容 2 2.3 评估项结果判定原则 2 2.4 评估报告结果判定原则 3 2.4.1 公共查询类 3 2.4.2 自身查询类 3 2.4.3 移动办税类 4 2.4.4 移动办公类 4 2.5 评估工作流程 5 2.6 使用方法 5 3 公共查询类单元评估 6 3.1 应用安全 6 3.2 源码安全 6 3.3 数据安全 6 3.4 通信安全 7 3.5 服务端安全 7 3.5.1 SQL注入 7 3.5.2 XSS跨站脚本 7 3.5.3 缓冲区溢出 7 3.5.4 上传漏洞 7 3.5.5 数据库泄露 7 3.5.6 弱口令 8 3.5.7 跨权漏洞 8 3.5.8 ODAY漏洞 8 3.5.9 中间人攻击 8 3.5.10 目录遍历 8 3.5.11 更多安全要求 8 4 自身查询类单元评估 8 4.1 应用安全 8 4.2 源码安全 9 4.3 数据安全 9 4.4 通信安全 9 4.5 服务端安全 9 5 移动办税类单元评估 9 5.1 应用安全 9 5.2 源码安全 10 5.3 数据安全 10 5.4 通信安全 10 5.5 服务端安全 10 6 移动办公类单元评估 11 6.1 应用安全 11 6.2 源码安全 11 6.3 数据安全 11 6.4 通信安全 11 6.5 服务端安全 12 附录A 测试工具 13 附录B《移动应用安全评估报告模板》 14 引言 本标准是税务系统移动应用安全相关标准之一 与本标准相关的系列标准包括 ——《税务移动应用安全实施要求》 ——《税务移动应用安全开发规范》 本标准针对税务系统移动应用的安全开发实施情况，对应的提出单元评估，用于指导评估人员从税务系统移动应用安全开发的角度对移动应用进行测试评估。 概述 范围 办税类 本实施办法用于指导移动税务应用 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T28448-2012信息安全技术 GB/T28449-2012信息安全技术信息系统安全等级保护评估过程指南 税务移动应用安全实施要求 移动应用客户端安全开发规范 术语和定义 1.3.1 渗透测试 总则 评估原则 a) 评估工作虽然不能完全摆脱个人主张或判断，但评估人员应当在没有偏见和最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的评估方法和过程，实施评估活动。 b)经济性和可重用性原则 基于评估成本和工作复杂性考虑，鼓励评估工作重用以前的评估结果，包括商业安全产品评估结果和信息系统先前的安全评估结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。 c)可重复性和可再现性原则 无论谁执行评估，依照同样的要求，使用同样的方法，对每个评估实施过程的重复执行都应该得到同样的评估结果。可再现性体现在不同评估者执行相同评估的结果的一致性。可重复性体现在同一评估者重复执行相同评估的结果的一致性。 d)符合性原则 评估所产生的结果应当是在对评估指标的正确理解下所取得的良好的判断。评估实施过程应当使用正确的方法以确保其满足了评估指标的要求。 评估内容 评估方法指评估人员在评估实施过程中所使用的方法，主要包括源代码安全审查、APK渗透测试、Web渗透测试、访谈、检查等评估方法。其中，源代码安全审计是白盒测试方式对渗透测试 评估项结果判定原则 a)不符合：在评估过程中，发现严重性问题和一般性问题，该评估项的评估结果判定为“不符合”； b)符合：在评估过程中，未发现问题或仅发现建议性问题，该评估项的评估结果判定为“符合”； c)不适用：在各评估类评估过程中，根据被评估机构声明，被评估系统未提供的非必测项可判定为“不适用”。判定为不适用的评估项需说明原因和带来的安全影响。 评估报告结果判定原则 公共查询类 基础要求项共计60项增强要求项共计52项 a)不通过：基本要求出现“不符合”评估项，则该评估报告的评估结果判定为“不通过”； b)通过，达标：基本要求全部为“符合”评估项，且增强要求符合项（部分符合按0.5计算）未达到5项，则该评估报告的评估结果判定为“通过”； c)通过，A：基本要求全部为“符合”评估项，且5≤增强要求符合项（部分符合按0.5计算）15，则该评估报告的评估结果判定为“通过”； d)通过，2A：基本要求全部为“符合”评估项，且15≤增强要求符合项