《移动应用程序（App）安全规范》.pdf

移动应用程序 （App）安全规范 1 范围 本文件规定了移动应用程序安全的术语和定义、缩略语、基本要求、需求分析阶段安全、设计阶段 安全、开发阶段安全、交付阶段安全、运维阶段安全、废弃阶段安全。 本文件适用于移动应用程序安全的研发、测试和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本 文件。 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 25058 信息安全技术 网络安全等级保护实施指南 GB/T 25069 信息安全技术 术语 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 30998-2014 信息技术 软件安全保障规范 GB/T 34975-2017 信息安全技术 移动智能终端应用软件安全技术要求和测评评价方法 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 37729-2019 信息技术智能移动终端应用软件(APP)技术要求 GB/T 38674-2020 信息安全技术 应用软件安全编程指南 GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求 3 术语和定义 GB/T 25069、GB/T 35273和GB/T 34975-2017界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile device 在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。 [来源：GB/T 38674-2020，3.10] 3.2 移动应用程序 mobile application 通过移动终端为用户提供服务的应用程序。 注：简称App。 3.3 移动应用程序客户端 mobile application client 运行在移动终端上，为用户提供服务的客户端程序。 3.4 敏感数据 sensitive data １ — 必须受保护的，其泄露、修改、破坏或丢失会对人或事产生可预知的损害的信息。 [来源：GB/T 38674-2020，3.1.9] 3.5 系统权限 system authority 移动智能终端操作系统向移动应用程序开放的，对移动终端资源的访问许可。 3.6 网络安全 cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 [来源：GB/T 22239-2019，3.1] 3.7 定级系统 classified system 已确定安全保护等级的系统。 3.8 定级系统安全保护环境 security environment of classified system 由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保 护的环境。 3.9 安全计算环境 security computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 注：安全计算环境按照保护能力划分为第一级至第五级安全计算环境。 [来源：GB/T 34990-2017，3.9] 3.10 安全区域边界 security area boundary 对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略 的相关部件。 [来源：GB/T 34990-2017，3.10] 3.11 移动应用数据采集 mobile Application data collection 移动应用程序运行期间对相关数据的收集。 3.12 应急响应 eme