DL_T 2398-2021CN 电力移动应用APP安全防护标准.docx

ICS 35.040 CCS L80 中华人民共和国电力行业标准 DL/T 2398—2021 电力移动应用App 安全防护技术要求 Technical requirements of security protection for power mobile application 2021-12-22发布 2022-03-22实施 国 家 能 源 局 发 布 I DL/T 2398—2021 目 次 前言 Ⅱ 1 范 围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 2 5 总体安全防护要求 3 6 安装部署安全 3 6.1 安全加固 3 6.2 移动App开发 3 6.3 移动App安装 3 6.4 移动独立应用卸载 3 7 网络传输安全 4 7.1 数据传输 4 7.2 安全协议 4 7.3 安全通道 4 8 数据安全 4 8.1 数据输入输出 4 8.2 本地存储数据 4 8.3 数据访问权限 4 8.4 数据删除销毁 5 8.5 个人信息保护 5 9 应用安全 5 9.1 用户鉴别 5 9.2 会话安全 5 9.3 软件容错 5 9.4 组件安全 5 9.5 权限安全 6 9.6 第三方调用 6 9.7 应用升级 6 10 运行安全 6 10.1 上架发布 6 10.2 运行环境 6 10.3 安全监测 6 10.4 日志审计 7 DL/T 2398—2021 Ⅱ 前 言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件由中国电力企业联合会提出。 本文件由电力行业信息标准化技术委员会 (DL/TC 27)归口。 本文件起草单位：全球能源互联网研究院有限公司、国家电网有限公司、国家电力投资集团有限 公司、中国南方电网有限责任公司、国网江苏省电力有限公司、国网浙江省电力有限公司、国网福建 省电力有限公司、国网四川省电力公司、国网江西省电力有限公司、国网山东省电力公司、中国电力 科学研究院有限公司、国网信息通信产业集团有限公司、国网四川省电力公司电力科学研究院、国网 山东省电力公司潍坊供电公司。 本文件主要起草人：陈牧、戴造建、李尼格、陈璐、李勇、卢子昂、方文高、张波、席泽生、 曹宛恬、李伟伟、管小娟、周诚、汪晨、华晔、曾荣、林为民、张涛、马媛媛、邵志鹏、石聪聪、余勇、 刘莹、孙炜、陈刚、李祉岐、陈华军、冯国聪、陈文秀、龙燕、李哲、王朝阳、郭静、庄岭、黄伟、 孙歆、李沁园、蔡宇翔、林楠、张俊锋、张菊玲、甘炜、唐勇、张凌浩、张永武、李玉志。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二 条一号，100761)。 1 DL/T 2398—2021 电力移动应用 App 安全防护技术要求 1 范围 本文件规定了电力行业移动应用App 安全防护的技术要求，包括安装部署、网络传输、数据、应 用、运行的安全。 本文件适用于电力行业移动应用App 的设计、开发和运行，其中移动应用App 的使用对象为电力 企业员工，包括但不限于生产、移动作业、移动办公类的业务应用，面向社会大众的移动应用App 按 照国家网络安全等级保护相关要求进行防护。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅 该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB17859 计算机信息系统安全保护等级划分准则 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T34975 信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法 GB/T35273 信息安全技术 个人信息安全规范 GB/T35278 信息安全技术 移动终端安全保护技术要求 DL/T1511 电力系统移动作业PDA 终端安全防护技术规范 3 术语和定义 GB 17859、GB/T 22239、GB/T 25069、GB/T 34975、GB/T 35278界定的以及下列术语和定义适用 于本文件。 3.1 移动终端 mobile terminal 在移动通信网络中使用的移动计算设备，包括移动智能终端及其他具有类似功能的终端设备等。 3.2 移动应用 App