《信息安全技术 移动应用网络安全评价规范》.docxVIP

ICS点击此处添加ICS号

点击此处添加中国标准文献分类号

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术移动应用网络安全评价规范

Specificationofsecuritydetectionandassessmentformobileapplication

点击此处添加与国际标准一致性程度的标识

(征求意见稿)

(本稿完成日期：2017年4月)

-XX-XX发布XXXX-XX-XX实施

中华人民共和国国家质量监督检验检疫总局

中国国家标准化管理委员会发布

GB/TXXXXX—XXXX

1

信息安全技术移动应用网络安全评价规范

1范围

本标准规定了对移动应用进行网络安全评价的内容、流程与方法，包括移动应用的客户端程序、移

动应用的服务端程序。

本标准适用于对移动应用的程序开发、测试评价和审核发布。

本标准提到的加密保护应符合国家密码管理局相关规定和标准规范。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T18336-2015信息技术安全技术信息技术安全性评估准则

3术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1移动应用MobileApplication

指安装在智能终端上，通过网络链接服务端进行交互操作的应用程序软件。

3.2安全评价SecurityAssessment

以实现移动应用安全为目的，对移动应用中可能存在的安全风险进行识别与分析。

3.3敏感信息SensitiveInformation

一旦遭到泄露或修改，会对标识的信息主体造成影响的信息。例如个人敏感信息可以包括身份证号码、手机号码、指纹、种族、基因、宗教信仰等。各行业敏感信息的具体内容根据接受服务的信息主体

意愿和各自业务特点确定。

3.4授权Authorization

在用户身份经过认证后，根据预先设置的安全策略，授予用户相应权限的过程。

2

GB/TXXXXX—XXXX

4符号和缩略语

下列符号和缩略语适用于本规范。

SQL结构化查询语言(StructuredQueryLanguage)

XSS跨站脚本攻击(CrossSiteScripting)

5移动应用模型

5.1移动应用架构

移动应用的架构由移动应用的客户端和移动应用的服务端组成，如图1所示。

用户

,操作

交互边界

显

显示结

网络边界

服务端赵回结界

服务端

图1移动应用的基本架构

用户：具有对移动应用进行操作行为的主体。

客户端：指移动应用的客户端，为用户提供本地服务的程序。

服务端：指移动应用的服务端，本标准规定的服务端仅包含为客户端提供针对性的服务程序。

边界：指主体之间互联互通的界限，包括交互边界、网络边界、运行环境边界、系统边界等。

其中，移动应用的客户端架构如图2所示。

3

GB/TXXXXX—XXXX

安全

安全

模块

服务端

请求

m安全请求

显示

响应

业务逻辑模块

好

交互

运行环境边界

其他移动应用

交互边界

网络边界

用户

a

系统

返回

性

图2移动应用的客户端架构

移动应用的客户端主要由业务逻辑模块和安全模块构成：

业务逻辑模块：完成移动应用每项业务特征过程的描述集合。

安全模块：为移动应用涉及用户的账号、口令、个人信息等敏感数据提供加解密、为移动应用网络

链接提供安全保障、存储用户个人密钥以及用户身份验证鉴权等功能的集合。

移动应用的客户端涉及到的外部实体包括用户、系统、服务端和其他移动应用，包含以下功能：

交互功能：实现用户与移动应用进行交互操作的集合，包括数据显示、数据输入等。

接口功能：提供给移动应用开发人员基于移动应用访问的一组程序的能力集合，其无需访问源代码，

或理解内部工作机制的细节。

通信功能：移动应用与服务端进行通信和服务所必须遵循的规则和约定的集合。

移