信息安全技术移动应用网络安全评价规范.docVIP

ICS?点击此处添加ICS号 点击此处添加中国标准文献分类号 中华人民共和国国家标准 GB/T XXXXX—XXXX ????? 信息安全技术 Specification of security detection and assessment for mobile application 点击此处添加与国际标准一致性程度的标识 （本稿完成日期：2017年4月） ???? - XX - XX发布 XXXX - XX - XX实施 目次 前??言 III 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 3.1　移动应用　Mobile　Application 1 3.2　安全评价　Security　Assessment 1 3.3　敏感信息　Sensitive　Information 1 3.4　授权　Authorization 1 4　符号和缩略语 2 5　移动应用模型 2 5.1　移动应用架构 2 5.2　移动应用数据 4 6　移动应用安全评价要素 4 6.1　移动应用评价对象 4 6.2　安全评价基本要素 4 6.2.1　保密性要求 5 6.2.2　完整性要求 5 6.2.3　可用性要求 5 6.2.4　可控性要求 5 6.2.5　不可否认性要求 5 6.3　安全评价要求内容 5 7　移动应用安全评价要求 6 7.1　移动应用的客户端 6 7.1.1　源代码安全 6 7.1.2　源代码数据安全 6 7.1.3　运行状态安全 6 7.1.4　运行环境安全 6 7.1.5　算法安全 6 7.1.6　组件安全 6 7.1.7　日志数据安全 7 7.1.8　存储数据安全 7 7.1.9　权限安全 7 7.1.10　第三方库安全 7 7.1.11　通信协议安全 7 7.1.12　通信数据安全 7 7.2　移动应用的服务端 7 7.2.1　身份认证安全 7 7.2.2　口令安全 8 7.2.3　访问权限安全 8 7.2.4　认证因子安全 8 7.2.5　会话管理安全 8 7.2.6　提示信息安全 8 7.2.7　通信协议安全 8 7.2.8　通信数据安全 9 7.3　生命周期安全管理要求 9 7.3.1　概述 9 7.3.2　需求阶段 9 7.3.3　设计阶段 9 7.3.4　开发阶段 9 7.3.5　测试阶段 9 7.3.6　交付阶段 9 7.3.7　运营阶段 10 8　安全评价 10 8.1　评价流程 10 8.1.1　资料收集 10 8.1.2　方案编制 10 8.1.3　评价实施 11 　评价方法 11 　评价过程 11 8.2　评价结果 11 参?考?文?献 13 前??言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国信息安全标准化技术委员会提出并归口。 本标准起草单位：国家信息技术安全研究中心、中国信息通信研究院泰尔实验室、北京洋浦伟业科技发展有限公司、深圳开源互联网安全技术有限公司。 本标准主要起草人：XXX。 信息安全技术 移动应用网络安全评价规范 范围 本标准规定了对移动应用进行网络安全评价的内容、流程与方法的客户的服务端程序 本标准适用于移动应用发布。 保护/T 25069-2010界定的以及和定义适用于本文件。应用 Mobile Application Security Assessment 以实现移动安全为目的，对移动应用中可能存在的进行识别与分析Sensitive Information 一旦遭到泄露或修改，会对标识的信息主体造成影响的信息。例如个人敏感信息可以包括身份证号码、手机号码、指纹、种族、基因、宗教信仰等。各行业敏感信息的具体内容根据接受服务的信息主体意愿和各自业务特点确定。 授权 Authorization 在用户身份经过认证后，根据预先设置的安全策略，授予用户相应权限的过程。 符号和缩略语 下列符号和缩略语适用于本规范。 SQL 结构化查询语言（Structured Query Language） XSS 跨站脚本 Site Scripting） 移动客户端和移动应用的服务端，如图。 用户：具有对移动应用进行操作的主体。 ：指移动应用的客户端用户提供本地服务的程序。 ：移动应用的服务端，规定的服务端包含客户端提供的服务程序 边界：主，包括交互边界、网络边界运行环境边界系统边界等。，移动应用的客户端架构如图 移动应用的客户端架构 应用的主要业务逻辑和安全模块构成： ：移动应用每项业务特征过程的描述集合。 模块移动应用涉及用户的账号口令个人信息等敏感数据应用网络链接提供安全保障、存储用户个人密钥以及身份验证鉴权等功能集合。 的的实体用户、、服务端和其他应用以下功能： 实现用户与移动应用交互操作集合，包括数据显示、数据输入