YD_T 3039-2016移动智能终端应用软件安全技术要求.pdf

ICS 33.060M 36YO中华人民共和国通信行业标准YD/T3039-2016移动智能终端应用软件安全技术要求Security technical requiroments for smart mobile terminal applications2016-04-05发布2016-07-01实施中华人民共和国工业和信息化部发布 YD/T3039-2016目次前范围·!规范性引用文件.术语、定义和缩略语·4软件运行机制要求恶意行为防范要求终端功能调用要求应用软件信息安全要求.8应用软件安全判定原则 YD/T言本标准为移动智能终端安全系列标准之一，该系列标准的名称和结构预计如下：-YD/T2674一2013《移动智能终端信息安全设计导则》；-YD/T2407—2013《移动智能终端安全能力技术要求》；-YD/T2408-2013《移动智能终端安全能力测试方法》；—YD/T1886-2009《移动终端芯片安全技术要求和测试方法》；一《移动应用程序代码签名技术要求》一《移动应用程序代码签名测试方法》：-YD/移动智能终端应用软件安全技术要求》；一《移动应用软件安全评估方法》本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位；中国信息通信研究院、北京邮电大学。本标准主要起草人：崔媛媛、刘东明、邹仕洪。 YD/T动智能终端应用软件安全技术要求1范围本标准规定了移动智能终端应用软件在运行机制、恶意行为防范以及终端功能调用方面的安全要求，并给出了对应用软件安全的判定原则。本标准适用于移动智能终端第三方应用软件。2规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅注期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2407-2013移动智能终端安全能力技术要求YD/T2439—2012移动互联网恶意程序描速格式YD/动智能终端上的个人信息保护技术要求中华人民共和国国务院令（292号令）《互联网信总服务管理办法》3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。3.1.1Root权限RootPermission系统权限的一种，是Linux和Unix系统中超级管理员账号。Root权限是系统最高权限，可以对系统中任何文件（包括系统文件）执行操作移动应用软件MobileApplication针对移动智能终端所开发的应用程序，移动应用软件通常包括客户端和服务器端两部分。3.1.2惠意代码MaliciousCode编写者以破坏计算机系绕的安全性、可用性、完整性和正常使用为目的的程序指令，并可以在未经授权的情况下，在信息系统中安装、执行以达到不正当目的。3.1.3恶意款件Malware含有恶意代码的应用软件。3.2缩略语下列缩略语适用于本文件。WLANWireless Local Network无线局域网- YD/T 3039-20164软件运行机制要求4.1安装与卸移动应用软件在安装和卸载过程中的安全要求如下：a）未经用户许可，不得在移动终端.上安装应用软件；b）在移动应用软件的下载和安装过程中，不得捆绑下载其他应用软件；c）在安装移动应用软件时，不得安装本软件功能说明文档中未加说明的额外功能，不得安装用户未知和未允许的第三方应用：d）移动应用软件应以用户可见的方式进行安装，应有安装界面，并能提示安装进度：e）移动应用软件在安装的过程中，应可以随时取消安装：）移动应用在安装好后不得强制用户重启设备：g）移动应用软件应提供卸载软件的方式，用户可以随时卸载应用软件：h）卸载应用软件必须卸载御底，不能在系统中留下应用软件的临时文件和括动程序或模块。4.22启动与退出移动应用软件启动与退出的安全要求如下；a）软件的开机自动运行功能可以设置开启或关闭：b）未经用户允许，启动应用时不应自动连接某网站或链接；4.3运行移动应用软件运行时的安全要求如下：a）移动应用软件在后台运行，应让用户知晓；b）移动应用软件在运行中，不应故意破坏其他软件的正常运行：c）除典必须的应用（如即时消息类），移动应用不应常驻通知栏；d）应用应该能够关闭常驻通知栏；e）应用的运行不能强制用户下载其他应用，或在运行过程中未经用户许可在后台下载其他应用：f）应用软件在发送联网请求时，应具备防止频紧联网的机制。如应用软件客户端在连续数次（如3次）无法连接服务器后，不应维续频察自动联网，造成终端资源消耗。应在较长时闻（如10分钟）后，再尝试连接服务器。4.4更新移动应用软件更新的安全要求如下：a