MH∕T 0068-2018 民用航空移动应用程序安全测评指南.pdf

res35.020

v07

民巧lH

中华人民共和国民用航空行业标准

h征f厅0068-2018

民用航空移动应用程序安全测评指南

Securitytestingguideformobileapplicationprogramofcivilaviation

2018-12-14发布2019-04-01实施

中国民用航空局发布

MH/T0068-2018

目lj13

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国民用航空局人事科教司提出。

本标准由中国民航科学技术研究院归口。

本标准起草单位：中国民航大学、广东机场白云信息科技发展有限公司、南升大学、北京梆梆安全

科技有限公司、北京智游网：去科技有限公司。

本标准主要起草人：马勇、张轶、顾兆军、夏侯康、女lj哲理、女lj春波、周景贤、王双、张礼哲、吕

京平、阐志刚、魏超。

MH/T0068-2018

民用航空移动应用程序安全测评指南

1范围

本标准规定了针对民用航空移动向用程序测训的基本原则、i作方式。

本标准正用于指导对民用航空移动向用程！于进行安全测训。

2规范性引用文件

下列文件对于本文件的同用是必不可少的。凡是注R期的引用文件，仅注R期的版本届用于本文件。

凡是不注R期的引用文件，其最新版本（包括所有的修改单〉正用于本文件。

GB/I2098.’一·白占人抖＿.，＿1±~－－·，

GB/

GB/

GB/

下

3.1

3.2

移动智能终端应用软件applicationsoftwareofsmartmobileterminal

针对移动智能终端升发的同用软件，包括移动智能终端预置的第三方向用软件，以及互联网服务提

供吝提供的可以迎过网站、同用商J昌等移动向用分发平台下载、安装和升级的同用程！子。

[GB/T34975-2017，定义3.3]

3.3

民用航空移动应用程序civilaviationapplicationprogramofsmartmobileterminal

为服务民航旅客，以及为升展民航自身业务所使用的各类移动向用程！子。

4民用航空移动应用程序网络安全基本要求

4.1身份鉴别

身份将别要求如下：

MH/T0068-2018

a)使用口令香录时，同对用户的鸟在别信息进行复杂度检查；

b)用户身份将别信息丢失或失效时，同采用鸟在别信息重置或其他技术措施保证系统安全；

c)向对香录的用户进行身份标识和鸟在别，身份标识具有唯一性，将别信息具有复杂度要求；

d)民用航空移动向用程陪同提供并启用普录失败处理功能，多次夺录失败后两采取必要的保护措

施；

e)向对同一用户采用两种成两种以上组合的鸟在别技术实现用户身份将另IJ;

f)当用户更换移动设备时，两重新验证用户身份的合法性。

4.2访问控制

访问控制要求如下：

a)院采取必要措施对账号夺录进行限制保护；

a)两只申请必要的系统权限，防止相费风险、隐私泄露风险等；

b)同满足最小授权原则，不同用户类型（普迎用户、