JR_T 0192-2020证券期货业移动互联网应用程序安全规范.pdf

ICS 03. 060A 11JR中华人民共和国金融行业标准JR/T 0192—2020证券期货业移动互联网应用程序安全规范Security specification for mobile internet application of securities and futuresindustry2020-07-10 发布2020-07-10实施中国证券监督管理委员会发布 JR/T 0192—20209. 1日志生成日志生产基本要求包括：a)日志应包括事件发生的日期、时间、用户标识、设备唯一标识、设备型号、设备版本、网络类型、事件描述和结果等信息：日志应该如实记录用户各项重要操作，如用户登录成功和失败：校验失败的次数超出阅值导致会话连接终止等：c) 正式发布的移动终端程序不能包含调试过程中的日志。9.2日志管理日志管理应满足以下要求：a)日志应存储于掉电非易失性存储介质中：b)仅允许投权用户以只读形式访间日志，且支持日志审计：c)日志应具备查询功能：d)日志不应记录客户敏感信息：e日志应存放于服务器端：f)日志保存的时间不少于十二个月，满是业务管理、审计、监替检查等需要。 5 JR/T 0192—2020参考文献[1] GB/T 18336. 1—2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一股模型[2] GB/T 18336. 2—20083信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求[]GB/T18336.3信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求[4] GB/T 20984—2007信息安全技术信息系统风险评估规范[5] GB/Z 28828—2012信息安全技术公共及商用服务信息系统个人信息保护指南[6] JR/T 0068—2015网上银行系统信息安全通用规范[7]】证券公司网上证券信息系统技术指引中国证券业协会2015年3月13日6 JR/T 0192—2020目次前言II引言III1范围.2规范性引用文件3术语和定义4移动终端安全.4.1移动互联网应用程序4.2移动终端环境4.3安装与卸载4.4升级与更新5身份鉴别.5.1鉴别方式..5.2鉴别数据保护5.3密码安全..6网络通信安全...6.1通讯协议6.2会话管理..6.3第三方网络通信7数据安全7.1数据录入...7.2数据存储...8开发安全8.1安全需求8.2安全开发.8.3安全测试8.4安全发布.9安全审计9.1日志生成9.2日志管理.参考文献 JR/T 0192—2020前言本标准接照GB/T1.1—2009给出的规则起草。本标准由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。本标准由全国金融标准化技术委员会（SAC/TC180）归口，本标准起草单位：中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、中证信息技术服务有限责任公司、上海期货交易所、大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国期货市场监控中心有限责任公司、中国期货业协会、兴业证券股份有限公司、国泰君安证券股份有限公司、东吴证券股份有限公司、光大证券股份有限公司、华泰证券股份有限公司、海通期货股份有限公司、兴业基金管理有限公司、公安部第三研究所、上海市信息安全测评认证中心。本标准主要起草人：姚前、刘铁斌、周云晖、叶靖、朱立、马卿平、甘张生、陈磊、居红伟、卫飞、丁新杰、冯小根、焦东亮、周桉、崔慧阳、艾青、王玥、陈凯晖、梅克波、华仁杰、刘嵩、张嵩、王勇斌、徐正伟、张艳、李宏达II JR/T 0192—2020引言随着移动互联网新兴技术的蓬勃兴起，层出不务的创新业务，在商业模式应用、技术风险控制等方面对金融业构成了新的挑战。在当前的互联网金融浪潮中，信息系统建设与安全运行的压力越来越大，所面临的信息安全形势日趋复杂。金融行业的移动互联网应用程序（APP）安全间题尤其严峻国家为加强对移动互联网应用程序信息服务的规范管理，鼓励有关行业协会等依法制定自律性管理制度，加强用户权益保护。行业移动终端应用安全规范，对市场主流移动终端应用开展安全检测与风险评估，完善监测渠道与预警机制，建立移动终端应用安全风险提示系统，及时发现并通报移动终应用的设计缺陷与安全漏洞，以及假目、葛改的移动终端应用。督促经营机构加强对移动终端应用的安全管理，切实提高投资者风险防范意识III JR/T 0192—2020证券期货业移动互联网应用程序安全规范1范围本标准规定了证券期货业移动互联网应用程序的移动终端安全、身份鉴别、网络通信安全、数据安全、开发安全和安全审计。本标准适用于证券期货业机构开发和发布移动互联网应用程序规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文