17-移動應(yīng)用軟件發(fā)布安全安全指導(dǎo)-翠月直通車系統(tǒng)V1.0.0

1、PAGE18移動應(yīng)用軟件發(fā)布安全指導(dǎo)2017年8月21日修訂記錄：修訂版本號修訂人修訂日期修訂描述江山軟件發(fā)布的安全指導(dǎo)目 錄 TOC o 1-6 h z HYPERLINK l _Toc1 1 范圍 PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 2 引用文件 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 3 術(shù)語和縮寫 PAGEREF _Toc3 h 5 HYPERLINK l _Toc4 4 軟件發(fā)布技術(shù)安全 PAGEREF _Toc4 h 6 HYPERLINK l _Toc5 安全功能 PAGEREF _Toc5 h 6 HYPERL

2、INK l _Toc6 身份鑒別 PAGEREF _Toc6 h 6 HYPERLINK l _Toc7 鑒別方式 PAGEREF _Toc7 h 6 HYPERLINK l _Toc8 安全輸入 PAGEREF _Toc8 h 7 HYPERLINK l _Toc9 敏感信息顯示 PAGEREF _Toc9 h 7 HYPERLINK l _Toc0 鑒別失敗 PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 密碼的設(shè)定與找回 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 訪問控制 PAGEREF _Toc2 h 8 HYPERLINK l _

3、Toc3 權(quán)限控制 PAGEREF _Toc3 h 8 HYPERLINK l _Toc4 邏輯安全設(shè)計 PAGEREF _Toc4 h 8 HYPERLINK l _Toc5 防暴力破解 PAGEREF _Toc5 h 9 HYPERLINK l _Toc6 會話安全 PAGEREF _Toc6 h 9 HYPERLINK l _Toc7 數(shù)據(jù)安全 PAGEREF _Toc7 h 10 HYPERLINK l _Toc8 數(shù)據(jù)獲取 PAGEREF _Toc8 h 10 HYPERLINK l _Toc9 數(shù)據(jù)防竊取 PAGEREF _Toc9 h 10 HYPERLINK l _Toc0 數(shù)

4、據(jù)防篡改 PAGEREF _Toc0 h 10 HYPERLINK l _Toc1 數(shù)據(jù)有效性 PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 數(shù)據(jù)訪問控制 PAGEREF _Toc2 h 11 HYPERLINK l _Toc3 數(shù)據(jù)傳輸 PAGEREF _Toc3 h 11 HYPERLINK l _Toc4 通信協(xié)議 PAGEREF _Toc4 h 11 HYPERLINK l _Toc5 數(shù)據(jù)保密性 PAGEREF _Toc5 h 11 HYPERLINK l _Toc6 數(shù)據(jù)完整性 PAGEREF _Toc6 h 12 HYPERLINK l _Toc7 數(shù)

5、據(jù)真實性 PAGEREF _Toc7 h 12 HYPERLINK l _Toc8 數(shù)據(jù)存儲 PAGEREF _Toc8 h 12 HYPERLINK l _Toc9 數(shù)據(jù)銷毀 PAGEREF _Toc9 h 13 HYPERLINK l _Toc0 殘余信息保護(hù) PAGEREF _Toc0 h 13 HYPERLINK l _Toc1 頁面返回保護(hù) PAGEREF _Toc1 h 13 HYPERLINK l _Toc2 密碼算法及密鑰管理 PAGEREF _Toc2 h 13 HYPERLINK l _Toc3 密碼算法 PAGEREF _Toc3 h 13 HYPERLINK l _To

6、c4 密鑰管理 PAGEREF _Toc4 h 14 HYPERLINK l _Toc5 5 軟件發(fā)布軟件安全 PAGEREF _Toc5 h 14 HYPERLINK l _Toc6 安全配置 PAGEREF _Toc6 h 14 HYPERLINK l _Toc7 組件安全 PAGEREF _Toc7 h 14 HYPERLINK l _Toc8 接口安全 PAGEREF _Toc8 h 15 HYPERLINK l _Toc9 可信程序 PAGEREF _Toc9 h 15 HYPERLINK l _Toc0 運(yùn)行環(huán)境檢測 PAGEREF _Toc0 h 15 HYPERLINK l _

7、Toc1 抗攻擊能力 PAGEREF _Toc1 h 15 HYPERLINK l _Toc2 6 軟件發(fā)布管理安全 PAGEREF _Toc2 h 16 HYPERLINK l _Toc3 設(shè)計安全 PAGEREF _Toc3 h 16 HYPERLINK l _Toc4 開發(fā)安全 PAGEREF _Toc4 h 16 HYPERLINK l _Toc5 發(fā)布安全 PAGEREF _Toc5 h 17 HYPERLINK l _Toc6 維護(hù)安全 PAGEREF _Toc6 h 18范圍本安全指導(dǎo)適用于翠月直通車系統(tǒng)的手機(jī)端軟件和PC端軟件的軟件發(fā)布。引用文件下列文件對于本文件的應(yīng)用是必不可

8、少的。凡是注日期的引用文件，僅所注 日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的 修改單)適用于本文件。 GB/T 22239-2008 信息系統(tǒng)安全等級保護(hù)基本要求GB/T 18336-2015 信息技術(shù)安全評估準(zhǔn)則GB/Z 28828-2012 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南JR/T 0092-2012 中國金融移動支付客戶端技術(shù)規(guī)范 移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定(國家互聯(lián)網(wǎng)信息辦公室2016年6月28日發(fā)布)術(shù)語和縮寫術(shù)語描述移動互聯(lián)網(wǎng)應(yīng)用軟件 安裝于移動智能終端上，專門為某一應(yīng)用目的編制的程序(APP)，簡稱移動應(yīng)用軟件 密鑰 密鑰是一種參數(shù)，它

9、是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。密鑰分為對稱密鑰與非對稱密鑰。在非對稱密鑰體系中，密鑰又分為公鑰和私鑰簽名 數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明敏感信息 一旦遭到泄露或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息。影響基于移動應(yīng)用軟件安全的密碼、密鑰以及個人敏感數(shù)據(jù)等信息，密碼包括但不限于登錄密碼、證書的PIN等，密鑰包括但不限于用于確保通信安全、報文 完整性等的密鑰，個人敏感數(shù)據(jù)包括但不限于證件號碼、生物識別信息、手機(jī)號、銀行卡號等 軟件發(fā)布技術(shù)安全安全功能身份鑒別鑒別方式

10、一般要求: 按照自愿的原則，在注冊時對用戶進(jìn)行基于移動電話號碼等真實身份信息的鑒別;對于用戶鑒別信息修改等重要業(yè)務(wù)操作，移動應(yīng)用軟件應(yīng)進(jìn)行二次鑒權(quán)，避免用戶身份被冒用。 增強(qiáng)要求: 移動應(yīng)用軟件登錄應(yīng)采用兩種或兩種以上的要素對用戶身份進(jìn)行鑒別;短信驗證碼不宜作為第二種身份鑒別方式; 當(dāng)移動應(yīng)用軟件進(jìn)入終端系統(tǒng)后臺后，再次被喚醒切換到前臺時，應(yīng)采取措施對用戶身份進(jìn)行鑒別; 對于涉及敏感信息修改或轉(zhuǎn)賬、支付等重要業(yè)務(wù)，除密碼認(rèn)證以外，還應(yīng)采用其他安全認(rèn)證方式; 涉及敏感信息及重要業(yè)務(wù)操作，應(yīng)用軟件不宜通過第三方帳戶，如微博、微信、支付寶等進(jìn)行認(rèn)證 。安全輸入一般要求:移動應(yīng)用軟件應(yīng)提供用戶輸入密碼

11、的即時防護(hù)功能，例如采取逐字符加密、 隨機(jī)鍵位軟鍵盤、防范鍵盤竊聽技術(shù)、計算MAC校驗碼等措施。增強(qiáng)要求: 移動應(yīng)用軟件應(yīng)提供用戶輸入敏感信息，諸如身份證號、手機(jī)號、郵箱、姓名等信息的即時防護(hù)功能。敏感信息顯示一般要求: 移動應(yīng)用軟件的密碼框應(yīng)禁止明文顯示密碼，應(yīng)使用同一特殊字符(例如* 或)代替; 除必須由用戶確認(rèn)的情況外，移動應(yīng)用軟件在顯示個人信息(如身份證號、手機(jī)號、郵箱、姓名等)時宜屏蔽部分關(guān)鍵字段。鑒別失敗一般要求: 移動應(yīng)用軟件應(yīng)提供鑒別失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施; 應(yīng)避免鑒別措施提示泄露信息，在鑒別失敗時，提供通用的錯誤提示信息，避免提示信息被

12、攻擊者利用。密碼的設(shè)定與找回一般要求: 移動應(yīng)用軟件應(yīng)提供密碼復(fù)雜度校驗功能;若有服務(wù)器端，應(yīng)使用服務(wù)端提供密碼復(fù)雜度校驗功能，保證用戶設(shè)置的密碼達(dá)到一定的強(qiáng)度;在找回密碼或密碼重置時，應(yīng)使用例如短信驗證碼、用戶注冊信息校核等方式，對用戶身份進(jìn)行校驗增強(qiáng)要求: 在進(jìn)行找回密碼或密碼重置時，應(yīng)采用兩種或兩種以上要素進(jìn)行身份鑒別。訪問控制一般要求: 移動應(yīng)用軟件應(yīng)嚴(yán)格限制用戶的訪問權(quán)限，按照安全策略要求控制用戶對業(yè)務(wù)功能、用戶數(shù)據(jù)等對象的訪問，應(yīng)遵循最小權(quán)限原則。權(quán)限控制一般要求:移動應(yīng)用軟件向移動終端操作系統(tǒng)申請權(quán)限時，應(yīng)遵循最小權(quán)限原則。 邏輯安全設(shè)計一般要求: 對于鑒別、校驗等安全保證功能的

13、流程設(shè)計應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，確保鑒別流程無法被繞過;對于處理重要業(yè)務(wù)或敏感信息的功能邏輯設(shè)計應(yīng)充分考慮其合理性，避免邏輯漏洞的出現(xiàn)，保證重要業(yè)務(wù)安全，防止敏感信息泄露。防暴力破解 一般要求: 移動應(yīng)用軟件應(yīng)嚴(yán)格設(shè)置登錄策略，按安全策略要求具備防范賬戶暴力破解攻擊措施的能力; 當(dāng)用戶實施密碼重置、密碼找回等鑒別信息更改操作時，應(yīng)設(shè)置相關(guān)策略，防止暴力破解攻擊。 會話安全 一般要求: 應(yīng)采取會話保護(hù)措施，保證軟件與后臺服務(wù)器之間的會話不可被竊聽、篡改、偽造、重放等; 移動應(yīng)用軟件應(yīng)確保用戶在執(zhí)行注銷/登出后，會話被安全終止; 應(yīng)設(shè)計合理的賬戶登錄超時控制策略，當(dāng)用戶閑置在線狀態(tài)

14、超出時限時，移動應(yīng)用軟件自動退出登錄狀態(tài);應(yīng)限制會話并發(fā)連接數(shù)，限制同一用戶的會話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個并發(fā)的會話來消耗系統(tǒng)資源，影響業(yè)務(wù)的可用性。數(shù)據(jù)安全數(shù)據(jù)獲取數(shù)據(jù)防竊取 一般要求: 用戶輸入敏感信息時，應(yīng)采取安全措施確保敏感信息不被移動終端的其他程 序竊取，如使用經(jīng)過第三方專業(yè)機(jī)構(gòu)檢測的安全軟鍵盤等; 移動應(yīng)用軟件應(yīng)注意保護(hù)內(nèi)存中的敏感信息，敏感信息在輸入完成后應(yīng)立即 進(jìn)行加密，內(nèi)存中不應(yīng)存在完整的明文敏感信息; 移動應(yīng)用軟件的臨時文件中不應(yīng)出現(xiàn)敏感信息，臨時文件包括但不限于 Cookies、本地臨時文件和移動數(shù)據(jù)庫文件等。移動應(yīng)用軟件應(yīng)禁止在身份鑒 別結(jié)束后存儲敏感信息，防止

15、敏感信息的泄露。 增強(qiáng)要求: 應(yīng)采取技術(shù)手段防止內(nèi)存中加密的敏感信息被還原為明文。 數(shù)據(jù)防篡改 一般要求: 用戶輸入敏感信息時，如身份證號、手機(jī)號、郵箱、姓名、銀行卡號、金額、訂單號等，應(yīng)采取防篡改機(jī)制保證數(shù)據(jù)不被移動終端的其他程序篡改;移動應(yīng)用軟件若需采集用于鑒別的生物信息，應(yīng)當(dāng)符合國家、金融行業(yè)標(biāo)準(zhǔn)和相關(guān)信息安全管理要求，防止被篡改、復(fù)制。數(shù)據(jù)有效性一般要求:移動應(yīng)用軟件宜在數(shù)據(jù)獲取時提供有效性校驗功能，確保通過人機(jī)接口或通信接口輸入的數(shù)據(jù)格式或長度等信息符合系統(tǒng)設(shè)定要求;若有服務(wù)器端，該校驗功能不能替代服務(wù)器的有效性校驗功能。數(shù)據(jù)訪問控制 一般要求: 移動應(yīng)用軟件應(yīng)采取措施確保本地數(shù)據(jù)僅

16、能被授權(quán)用戶或授權(quán)應(yīng)用組件訪問; 移動應(yīng)用軟件不應(yīng)訪問終端中非業(yè)務(wù)必需的文件和數(shù)據(jù)。 數(shù)據(jù)傳輸通信協(xié)議 一般要求: 應(yīng)在移動應(yīng)用軟件與服務(wù)器之間建立安全的信息傳輸通道，例如使用TLS 或IPSEC等協(xié)議; 應(yīng)確保采用的安全協(xié)議不包含已知的公開漏洞; 移動應(yīng)用軟件應(yīng)采用證書校驗技術(shù)(如SSL Pinning等)來驗證服務(wù)器身份，防止中間人攻擊。增強(qiáng)要求: 移動應(yīng)用軟件與服務(wù)器應(yīng)進(jìn)行雙向認(rèn)證。 數(shù)據(jù)保密性一般要求:敏感信息在本地程序組件間或通過公共網(wǎng)絡(luò)傳輸時，應(yīng)采取加密措施確保其保密性。數(shù)據(jù)完整性一般要求:敏感信息在本地程序組件間或通過公共網(wǎng)絡(luò)傳輸時，如身份證號、手機(jī)號、 郵箱、姓名、銀行卡號、金

17、額、訂單號等，應(yīng)采取措施(如數(shù)字簽名、MAC等)確保其完整性。 數(shù)據(jù)真實性 一般要求: 移動應(yīng)用軟件與服務(wù)端應(yīng)采取技術(shù)手段對接收的數(shù)據(jù)進(jìn)行鑒別，防止數(shù)據(jù)偽造; 通過移動應(yīng)用軟件發(fā)起的重要業(yè)務(wù)操作，諸如資金交易報文，應(yīng)確保報文的真實性和不可抵賴性，在有條件的情況下應(yīng)采用數(shù)字簽名技術(shù)。 數(shù)據(jù)存儲 一般要求: 移動應(yīng)用軟件不應(yīng)在本地存儲用戶敏感信息，如用戶密碼、身份信息等; 移動應(yīng)用軟件應(yīng)僅保存業(yè)務(wù)必需的敏感信息，敏感信息存儲時應(yīng)進(jìn)行加密或 不可逆變換; 移動應(yīng)用軟件應(yīng)確保無法通過逆向工程等手段直接從安裝包或本地文件系統(tǒng)中恢復(fù)完整的密鑰明文;移動應(yīng)用軟件不應(yīng)在配置文件中明文存儲任何敏感信息，如數(shù)據(jù)庫

18、連接密 碼、ftp登錄密碼、外部系統(tǒng)接口認(rèn)證密碼等。 數(shù)據(jù)銷毀 殘余信息保護(hù) 一般要求: 敏感信息在使用完畢后，應(yīng)立即進(jìn)行清除;移動應(yīng)用軟件退出時，應(yīng)清除非業(yè)務(wù)功能運(yùn)行所必需留存的業(yè)務(wù)數(shù)據(jù)，保證用戶信息的安全性;移動應(yīng)用軟件卸載完成后，文件系統(tǒng)中不應(yīng)殘留任何與用戶相關(guān)的個人信息及敏感信息等。增強(qiáng)要求: 移動應(yīng)用軟件應(yīng)確保無法通過技術(shù)手段恢復(fù)已清除的個人信息及敏感信息等。頁面返回保護(hù)增強(qiáng)要求:移動應(yīng)用軟件應(yīng)對后臺任務(wù)列表中的預(yù)覽界面采取模糊或其他防護(hù)措施。 密碼算法及密鑰管理密碼算法一般要求: 移動應(yīng)用軟件應(yīng)采取加密措施對有關(guān)轉(zhuǎn)賬、支付或其它重要業(yè)務(wù)操作的信息進(jìn)行保護(hù); 密碼算法應(yīng)采用官方開發(fā)S

19、DK中自帶算法庫，若使用第三方算法庫應(yīng)對其安全性進(jìn)行驗證; 密碼算法應(yīng)符合國家密碼管理局的有關(guān)要求。密鑰管理一般要求:會話密鑰宜采用一次一密的方式; 密鑰在傳輸過程中應(yīng)采取加密措施對密鑰進(jìn)行保護(hù);隨機(jī)生成的密鑰應(yīng)具有一定的隨機(jī)性與不可預(yù)測性。增強(qiáng)要求:移動應(yīng)用軟件在進(jìn)行重要業(yè)務(wù)操作，如修改敏感信息、轉(zhuǎn)賬、支付等交易時應(yīng)采用一次一密的方式。軟件發(fā)布軟件安全安全配置一般要求:移動應(yīng)用軟件應(yīng)遵守安全配置相關(guān)要求，關(guān)閉應(yīng)用調(diào)試、數(shù)據(jù)備份等相關(guān)功能。 組件安全一般要求:使用系統(tǒng)組件時應(yīng)嚴(yán)格對組件的訪問/操作進(jìn)行控制，避免組件暴露; 應(yīng)避免使用有漏洞的開源第三方應(yīng)用組件及代碼。增強(qiáng)要求:應(yīng)嚴(yán)格限制第三方組

20、件自身數(shù)據(jù)收集功能，避免用戶信息泄漏。 接口安全一般要求: 移動應(yīng)用軟件應(yīng)對軟件接口進(jìn)行保護(hù)，防止其他應(yīng)用對其軟件接口進(jìn)行非授權(quán)調(diào)用; 移動應(yīng)用軟件應(yīng)對傳入的 URI(Uniform Resource Identifier，統(tǒng)一資源標(biāo)識符)進(jìn)行校驗與安全處理，防止移動應(yīng)用軟件運(yùn)行異?；虿僮鳟惓！？尚懦绦蛞话阋?應(yīng)通過簽名標(biāo)識移動終端應(yīng)用程序的來源和發(fā)布者，保證用戶所下載的移動終端應(yīng)用程序來源于所信任的機(jī)構(gòu)。增強(qiáng)要求: 移動終端應(yīng)用程序在每次運(yùn)行前，需聯(lián)機(jī)動態(tài)進(jìn)行完整性校驗。 運(yùn)行環(huán)境檢測增強(qiáng)要求:移動應(yīng)用軟件應(yīng)在檢測到運(yùn)行環(huán)境處于ROOT或者已越獄等非安全環(huán)境時，向用戶進(jìn)行環(huán)境安全警示，必要

21、時可終止運(yùn)行?？构裟芰?一般要求: 移動應(yīng)用軟件應(yīng)具備基本的抗攻擊能力，能抵御靜態(tài)分析、動態(tài)調(diào)試、進(jìn)程注入等操作; 移動應(yīng)用軟件代碼應(yīng)使用代碼加殼、代碼混淆、檢測調(diào)試器等手段對移動應(yīng)用軟件進(jìn)行安全保護(hù); 移動應(yīng)用軟件啟動、更新時應(yīng)對自身的完整性和真實性進(jìn)行校驗，具備抵御篡改、替換或劫持的能力; 移動應(yīng)用軟件使用的安全輸入控件應(yīng)具備抗攻擊的能力。 增強(qiáng)要求: 安全輸入控件應(yīng)具備檢測自身是否正在被調(diào)試的能力，并給予用戶風(fēng)險提示。軟件發(fā)布管理安全設(shè)計安全 一般要求: 移動應(yīng)用軟件設(shè)計應(yīng)遵循安全、可靠、易用、可維護(hù)和可擴(kuò)展等原則; 未向用戶明示并經(jīng)用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務(wù)無關(guān)的功能，不得捆綁安裝無關(guān)應(yīng)用程序; 如涉及用戶個人信息的，收集、使用用戶個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集使用信息的目的、方式和范圍，并經(jīng)用戶同意;若存在用戶信息發(fā)布功能，應(yīng)對發(fā)布內(nèi)容進(jìn)行監(jiān)測。涉及違法違規(guī)信息內(nèi)容的，視情采取警示、限制功能、暫停更新、關(guān)閉賬號等