DB32T 3374-2018 智能终端应用软件安全性测评技术要求.docxVIP

ICSL7735.080

ICS

L77

35.080

备案号：58110-2018DB32

备案号：58110-2018

DB32

江苏省地方标准

DB32/T3374—2018

智能终端应用软件安全性测评技术要求

Technical

Technicalrequirementsofsecurityforsmartterminalapplicationstesting

2018-2-10发布2018-3-10实施

发

发布

江苏省质量技术监督局

I

DB32/T3374—2018

目次

前言 II

1范围 1

2规范性引用文件 1

3术语、定义、缩略语 1

4测评目标 2

4.1总则 2

4.2测评目标 2

5测评方法 3

5.1收集用户数据 3

5.2修改用户数据 3

5.3流量耗费 4

5.4费用损失 4

5.5信息泄露 5

5.6安装与卸载 5

5.7启动与退出 6

5.8运行 6

5.9更新 7

5.10广告行为 7

5.11其他通用测试方法 10

附录A（资料性附录）测评报告 11

参考文献 13

II

DB32/T3374—2018

前言

本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准由江苏省软件工程标准化技术委员会提出并归口。

本标准起草单位：南京市产品质量监督检验院、国家软件产品质量监督检验中心（江苏）、江苏苏测软件检测技术有限公司、南京大学、国网电力科学研究院、南京慕测信息科技有限公司。

本标准主要起草人：程秀才、刘晓波、刘艳、王蕊、丁利、陈银平、荣鼎慧、房春荣、张小飞、郑珞林、徐剑锋。

1

DB32/T3374—2018

智能终端应用软件安全性测评技术要求

1范围

本标准规定了智能终端应用软件安全性测评技术要求的术语定义、测评目标和测评方法。

本标准适用于移动智能终端第三方应用软件的安全性测评，个别条款不适用于特殊行业、专业应用。其他智能终端参考使用。

2规范性引用文件

下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

YD/T2408-2013移动智能终端安全能力测试方法

3术语、定义、缩略语

3.1术语、定义

YD/T2408-2013界定的以及下列术语和定义适用于本标准。为了便于使用，以下重复列出了YD/T2408-2013中的某些术语和定义。

3.1.1

智能终端smartTerminal

能够接入通信网络，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方应用软件的智能终端。

3.1.2

智能终端应用软件applicationInSmartTerminal

以应用逻辑封装文件包形式提供的、运行在智能终端开放式操作系统上的、供用户在应用发布平台下载的软件。

3.1.3

应用发布平台applicationIssuingPlatform

通过商业方式为智能终端用户提供应用软件下载的平台。3.1.4

数字签名digitalSignature

2

DB32/T3374—2018

附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的来源和完整性，保护数据不被篡改、伪造，并保证数据的不可否认性。

3.1.5

恶意收费maliciousCharge

在用户不知情或未授权的情况下由智能终端上应用软件造成的用户经济损失。3.1.6

敏感信息sensitiveInformation

不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。

3.1.7

用户数据userData

智能终端上存储的用户个人信息，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。

3.2缩略语

下列缩略语适用于本标准。

APP：智能终端应用软件(application)

SQL：结构化查询语言（structuredQueryLanguage）

URL：统一资源定位地址（uniform/universalresourc