《信息安全技術(shù) 移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范》_第1頁
《信息安全技術(shù) 移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范》_第2頁
《信息安全技術(shù) 移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范》_第3頁
《信息安全技術(shù) 移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范》_第4頁
《信息安全技術(shù) 移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范》_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

ICS點擊此處添加ICS號點擊此處添加中國標準文獻分類號信息安全技術(shù)移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范點擊此處添加與國際標準一致性程度的標識(征求意見稿)(本稿完成日期:2017年4月) 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局1信息安全技術(shù)移動應(yīng)用網(wǎng)絡(luò)安全評價規(guī)范件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T18336-2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則2SQL結(jié)構(gòu)化查詢語言(StructuredQueryLanguage)XSS用戶網(wǎng)絡(luò)邊界服務(wù)端服務(wù)端3m安全請求好圖2移動應(yīng)用的客戶端架構(gòu)移動應(yīng)用的客戶端主要由業(yè)務(wù)邏輯模塊和安全模塊構(gòu)成:業(yè)務(wù)邏輯模塊:完成移動應(yīng)用每項業(yè)務(wù)特征過程的描述集合。安全模塊:為移動應(yīng)用涉及用戶的賬號、口令、個人信息等敏感數(shù)據(jù)提供加解密、為移動應(yīng)用網(wǎng)絡(luò)鏈接提供安全保障、存儲用戶個人密鑰以及用戶身份驗證鑒權(quán)等功能的集合。移動應(yīng)用的客戶端涉及到的外部實體包括用戶、系統(tǒng)、服務(wù)端和其他移動應(yīng)用,包含以下功能:交互功能:實現(xiàn)用戶與移動應(yīng)用進行交互操作的集合,包括數(shù)據(jù)顯示、數(shù)據(jù)輸入等。接口功能:提供給移動應(yīng)用開發(fā)人員基于移動應(yīng)用訪問的一組程序的能力集合,其無需訪問源代碼,或理解內(nèi)部工作機制的細節(jié)。通信功能:移動應(yīng)用與服務(wù)端進行通信和服務(wù)所必須遵循的規(guī)則和約定的集合。移動應(yīng)用的服務(wù)端架構(gòu)如圖3所示。4移動應(yīng)用移動應(yīng)用業(yè)務(wù)邏輯系統(tǒng)邁界其他服務(wù)器1)移動應(yīng)用的客戶端:包括客戶端業(yè)務(wù)邏輯、客戶端安全模塊、客戶端交互功能、客戶端接口功2)移動應(yīng)用的服務(wù)端:包括服務(wù)端認證鑒權(quán)、服務(wù)端業(yè)務(wù)邏輯、服務(wù)端通信功能。5安全評價要求項關(guān)鍵項示例√√日志數(shù)據(jù)安全√√√身份認證安全√口令安全√√6a)客戶端的源代碼(包括Java、C、Python、Lua等語言的源代碼)應(yīng)進行混淆處理;c)客戶端應(yīng)對簽名信息進行安全校驗。a)應(yīng)刪除移動應(yīng)用中的冗余或注釋代碼。比如開發(fā)人員信息、調(diào)試信息等。a)應(yīng)保障客戶端正常穩(wěn)定運行,應(yīng)具有異常處理安全機制。b)客戶端應(yīng)具有版本檢測機制,提供版本更新功能。a)客戶端應(yīng)對組件權(quán)限進行限制,避免第三方移動應(yīng)用隨b)客戶端應(yīng)對組件進行安全配置,避免發(fā)生劫持組件的安全問題。7a)客戶端應(yīng)刪除多余的權(quán)限配置,避免a)客戶端應(yīng)對第三方庫進行完整性校驗。a)客戶端與服務(wù)器進行通信時應(yīng)采用安全通信協(xié)議,例如SSL/TLS、IPSec等;b)客戶端應(yīng)對通信數(shù)字證書進行安全性校驗。a)客戶端與服務(wù)器進行通信時應(yīng)對通信數(shù)據(jù)進行加密保護;8b)服務(wù)器應(yīng)對敏感數(shù)據(jù)進行訪問權(quán)限控制。b)服務(wù)器與客戶端應(yīng)具有雙因子或多因子認證機制。b)服務(wù)器應(yīng)對會話信息添加時間戳,進行完整性校驗。a)服務(wù)器應(yīng)對客戶端錯誤請求引起的提示信息進行處9a)服務(wù)器與移動應(yīng)用、與其他服務(wù)器進行通信時應(yīng)對通信數(shù)b)服務(wù)器與移動應(yīng)用、與其他服務(wù)器進行通信時b)應(yīng)建立內(nèi)部安全需求庫,持續(xù)完善移動應(yīng)用安全評價要求;b)應(yīng)針對每一個威脅點,研究相應(yīng)的a)安全評價階段應(yīng)有完善的測試方法(包括白盒測試和黑盒測試);a)交付的移動應(yīng)用應(yīng)具備適當?shù)牡钟鶒阂夤)應(yīng)對提供的移動應(yīng)用進行安全監(jiān)控,發(fā)現(xiàn)安全風(fēng)險并為用戶提供安全更新。a)需求分析文檔(如:可行性分析報告、需求說明書);b)開發(fā)設(shè)計文檔(如:概要設(shè)計說明書、詳細設(shè)計說明書);c)內(nèi)部測試文檔(如:測試分析報告);d)產(chǎn)品白皮書(如:用戶操作手冊);a)客觀公正原則:應(yīng)對待測應(yīng)用的評價應(yīng)嚴格按照安全評價方案進行,實事求是、公平合理。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論