行动应用App基本资安规範.PDFVIP

行動應用 App 基本資安規範 V1.1 經濟部工業局 中華民國 106 年02月 目 次 1. 前言 1 2. 適用範圍 2 3. 用語及定義 3 3.1. 行動應用程式（Mobile Application ） 3 3.2. 行動應用程式商店（Application Store ） 3 3.3. 敏感性資料（Sensitive Data ） 3 3.4. 個人資料（Personal Data ） 3 3.5. 通行碼（Password ） 3 3.6. 付費資源（Payment Resource ） 3 3.7. 交談識別碼（Session Identification, Session ID ） 3 3.8. 伺服器憑證（Server Certificate ） 4 3.9. 憑證機構（Certificate Authority ） 4 3.10.惡意程式碼（ Malicious Code ） 4 3.11.資訊安全漏洞（ Vulnerability ） 4 3.12. 函式庫（Library ） 4 3.13. 注入攻擊（Code Injection ） 4 4. 技術要求 5 4.1. 行動應用程式資訊安全技術要求事項 5 4.1.1. 行動應用程式發布安全 5 4.1.2. 敏感性資料保護 5 4.1.3. 身分認證、授權與連線管理安全 7 4.1.4. 行動應用程式碼安全 7 4.2. 伺服端資訊安全技術要求事項 8 5. 安全分類 9 參考資料 10 i Open Web Application Security Project (OWASP) 10 美國 10 歐洲 10 大陸 10 日本 11 國際標準 11 國內法律 11 附錄一、技術要求事項與各國規範對照表 12 附錄二、技術要求事項參考檢核表 16 ii 表 目 次 表1 各安全分類之資訊安全技術要求事項 9 iii iv 1.前言 行動裝置帶來的便利已使之 成為國人生活中 不可或缺的設備，各類行動應用 程式（Mobile Application, App ）遂應運而生，惟部分程式開發者缺乏資安意識， 於 App設計、開發、應用 等階段未考慮相關安全性議題，恐造成使用者資料 外洩或財務損失之風險。經濟部工業局依據 103 年6月 24日行政院國家資通 安全會報第26 次委員會議決議，積極研議「行動應用App 基本資安規範」（以 下稱本規範）。 爰此，經濟部工業局委由財團法人資訊工業策進會邀集國內資安領域專家成 立工作小組，參酌國際相關資安規範與準則，進行本規範編修工作。於規範編 修各階段，透過辦理專家座談會及公開研討會等會議，徵詢產官學研先進之建 議，聽取各界意見，作為編修重要方向，以完成本規範之訂定，供業界開發行 動應用 App自主遵循參考。 本規範係屬非強制性規定，主要目的在於提升我國行動應用App 基本安全防 護能力，從設計初始階段即導入基本資安概念，透過規範之重點要