ICS点击此处添加ICS号点击此处添加中国标准文献分类号
联
盟
标
准
CCIAXXXX—2019
移动互联网应用程序安全规范MobileApplicationSecuritySpecification
(征求意见稿)2019-07-23
2019-XX-XX发布
2019-XX-XX实施
中国网络安全产业联盟发布
CCIA
1
3
6
6.1.2安全编译...........................................................................................................................................8
6.1.3输入输出验证...................................................................................................................................8
6.1.4文件安全...........................................................................................................................................8
6.1.5异常处理...........................................................................................................................................8
6.2
6.2.2权限安全...........................................................................................................................................9
6.2.3自身安全...........................................................................................................................................9
6.2.4环境安全...........................................................................................................................................9
6.2.5运行安全...........................................................................................................................................9
6.3
6.4.2数据采集.........................................................................................................................................10
6.4.3数据传输.........................................................................................................................................10
6.4.4数据存储.........................................................................................................................................10
6.4.5数据处理.........................................................................................................................................11
6.4.6数据销毁.........................................................................................................................................11
6.5
6.5.2访问控制.........................................................................................................................................11 II CCIA
XXXX—20196.5.3签名机制.........................................................................................................................................12
6.5.4软件更新.........................................................................................................................................12
6.5.5软件容错.........................................................................................................................................12
6.5.6安全审计.........................................................................................................................................12
7
7.1.1管理制度.........................................................................................................................................13
7.1.2管理机构.........................................................................................................................................13
7.1.3人员安全管理.................................................................................................................................13
7.2设计和开发阶段安全管理.....................................................................................................................13
7.3交付和上线阶段安全管理.....................................................................................................................13
7.4运行和维护阶段安全管理.....................................................................................................................13
7.5废弃阶段安全管理.................................................................................................................................14
附录A(资料性附录)..................................................................................................................................15
A.1安卓配置与编码安全指南......................................................................................................................15
A.2iOS配置与编码安全指南........................................................................................................................16
本标准由中国网络安全产业联盟提出并归口。
本标准起草单位:北京赛西科技发展有限责任公司、北京智游网安科技有限公司、哈尔滨安天科技股份集团有限公司、北京观安信息技术有限公司、普天信息技术有限公司、深圳市能信安科技股份有限公司、杭州安恒信息技术股份有限公司、北京安华金和科技有限公司、北京安信天行科技有限公司、北京奇虎科技有限公司、北京指掌易科技有限公司、上海天跃科技股份有限公司、北京双洲科技有限公司、任子行网络技术股份有限公司、中国软件评测中心、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、陕西省信息化工程研究院本报告主要起草人:许玉娜、韩云、徐雨晴、谢江、梁璐、马小龙、付艳艳、宣淦淼、钟金鑫、姚一楠、邢怡平、李华祥、崔志超、周敏、孙海燕、冀乃杰、张勇、张志刚、张冉、李清玉、沈郑、叶少秋、王雪、潘正泰、张国强、王鑫 IV CCIAXXXX—2019 引 言 随着移动终端的广泛应用,移动终端正向功能增强化、多模化、定制化、平台开放化的方向发展,而移动终端程序作为SNS新的开拓渠道,正逐渐崭露头角。
移动互联网应用程序一般由移动互联网应用程序客户端、移动互联网应用程序传输链路和移动互联网应用程序服务器端等组成。
本标准,针对移动互联网应用程序客户端、移动互联网应用程序传输链路、移动互联网应用程序服务器端等提出安全规范,为移动互联网应用程序的开发、上线、下架等环节提供指导,并依据相关要求开展相应的评测工作。
V CCIAXXXX—2019 移动互联网应用程序安全规范 1范围 本标准规定了对移动互联网应用程序的安全要求,从技术、管理两个维度出发,覆盖了移动互联网应用程序的设计、开发、交付、运行、上线、维护、废弃等方面。
本标准可为政府部门、企事业单位等组织机构的移动互联网应用程序的开发者、运营者提供参考,可为移动互联网应用程序的开发者及运营者提供测试依据;也适用于第三方机构对移动互联网应用程序进行审查和评估。
2规范性引用文件 下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T18336-2015信息技术安全评估准则GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法GB/T35278-2017信息安全技术移动终端安全保护技术要求GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求GB/T34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求GB/T36627-2018信息安全技术网络安全等级保护测试评估技术指南GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T35273信息安全技术个人信息安全规范 3术语和定义 以下所列的术语适用于本文件。
3.1移动互联网应用程序MobileApplication通过移动终端为用户提供服务的应用程序,由移动互联网应用程序客户端和移动互联网应用程序服 务器端组成。
3.2 移动互联网应用程序客户端MobileApplicationClient运行在移动终端上,为用户提供本地服务的客户端程序。
3.3移动互联网应用程序服务器端MobileApplicationServer为移动互联网应用程序客户端提供服务和数据支撑的服务器端程序。
6 4符号和缩略语 CCIAXXXX—2019 下列缩略语适用于本文件。
APP移动互联网应用程序(Application)通常是指苹果、安卓等手机应用程序SNS社交网络软件(SocialNetworkSoftware)是一个采用分布式技术,构建的下一代基于个人的网络基础软件AES高级加密标准(AdvancedEncryptionStandard)DES数据加密标准(DataEncryptionStandard)CBC密码分组链接(Cipher-blockchaining)HTML超文本标记语言(HyperTextMarkupLanguage)标准通用标记语言下的一个应用GPS全球定位系统(GlobalPositioningSystem) 5移动互联网应用程序安全总体框架 图1移动互联网应用程序总体框架移动互联网应用程序安全规范适用于移动互联网应用程序的开发者、运营者及测评者,主要是从移动互联网应用程序的客户端、服务器端、传输链路的技术和管理两个维度进行约束,技术要求则是从移动互联网应用程序的程序安全、安全功能、数据安全、通信安全、开发安全五个方面进行规范,管理要求则是从移动互联网应用程序的设计和开发、交付和上线、运行和维护以及废弃阶段进行规范。
通过技术要求和管理要求的协同作用,保障移动互联网应用程序的安全开发、安全使用、安全废弃等。
6技术要求6.1开发安全6.1.1安全编码 本项要求包括:
7 CCIAXXXX—2019 a)在移动互联网应用程序对外开放的接口中,应对所有传入参数进行验证,拒绝接受验证失败的数据,包括但不限于验证数据类型,数据长度; b)应对移动互联网应用程序中敏感数据进行加密保护,加密算法应使用已被验证可信的算法,且应规定密钥强度; c)移动互联网应用程序上线前应进行代码净化,在应用代码中不应出现调试信息、测试数据、含有敏感信息的代码注释等; d)移动互联网应用程序发布版本不应处于测试模式、允许任意备份模式、允许任意调试模式等状态。
6.1.2安全编译 本项要求包括:a)应构建安全的开发环境,确保从正规渠道获取编译器、框架等,并确保使用相对安全的稳定版 本;b)编译环境应隔离网络,避免恶意攻击、替换、劫持等方式引起的编译文件篡改;确保编译环境 的设备或操作系统无病毒、木马等攻击威胁。
6.1.3输入输出验证 本项要求包括:a)应对用户输入项在客户端及服务器端进行输入和数据合法性验证,包括数据格式、数据长度以 及特殊字符等;b)应对任何由用户创造的内容在输出之前进行转换,无法规避的HTML片段提交,需对其标签进行 检查处理。
6.1.4文件安全 本项要求包括:a)应在文件上传处理中限制文件格式,避免直接上传可执行文件,或在服务器端限制可执行文件 的执行权限;b)在文件下载时不应直接列举服务器上的文件,不应将服务器端的路径作为参数进行传递,避免 用户非法获取服务器端文件。
6.1.5异常处理 本项要求包括:a)应使用通用的错误消息或定制的错误页面,避免信息泄露导致攻击事件的发生;b)应建立有效的异常处理机制,包括但不限于针对空指针异常、类型转换异常、数组越界访问异 常、类未定义异常等的处理机制。
6.2程序安全 6.2.1组件安全 是构建移动互联网应用程序的Activity、Service、BroadcastReceive、ContentProvider等组件的安全,对本项的要求包括: a)组件无需与其它系统共享数据或交互时,应避免暴露给不信任的第三方应用;如:应在AndroidManifest.xml配置文件中将该组件的android:exported属性值设置为false; b)组件应限制仅对信任的其它应用进行共享数据或交互,同时需对共享数据和交互进行权限控制和参数校验;
8 CCIAXXXX—2019 c)在引入第三方开源组件资源时,应对组件进行代码安全审计和安全风险评估。
如果该组件存在不可接受的安全风险,应禁止引入该组件或对其进行整改后再引入; d)当引入非信任的第三方非开源组件资源时,应获得该组件的源代码并经过代码安全审计和安全风险评估,确认该组件不存在不可接受的安全风险; e)当引入信任的第三方非开源组件资源时,应对组件进行安全检测和风险评估,检测内容包括但不限于权限调用、敏感数据处理、第三方内容合规性等。
6.2.2权限安全 本项要求包括:a)移动互联网应用程序申请权限时应遵循最小权限原则,不应申请与其业务功能无关的其他权限;b)移动互联网应用程序申请敏感权限前,应采用勾选/确认的主动方式征得用户的同意,且用户 拒绝后,不应影响相关业务的使用;c)移动互联网应用程序在动态申请权限时,应弹出权限申请提示信息,并说明相关权限的信息、 目的以及可能存在的风险;在用户确认的情况下,才能向系统动态申请权限;d)当移动互联网应用程序一次申请多个敏感权限时,应对每个权限进行分项提示和说明;e)移动互联网应用程序不应以默认、捆绑、停止安装、停止使用等手段变相强迫用户授予权限;f)移动互联网应用程序应能接收集中下发的权限安全策略,在符合权限安全策略的情况下,限制 或阻止系统功能(摄像头、GPS定位、录音、蓝牙、即时通信等)的使用;g)移动互联网应用程序应将权限的使用充分告知移动终端用户,并将权限申请、权限使用和权限 撤销等日志进行记录;在安全要求较高的情况下,移动互联网应用程序应将权限相关日志集中存储,并审查是否存在移动互联网应用程序非法使用权限的情形。
6.2.3自身安全 本项要求包括:a)应对移动互联网应用程序进行防反编译处理;如:代码混淆、加花指令、代码加密、指令转换 等;b)应对移动互联网应用程序进行防动态逆向攻击处理;如:防动态调试、防内存DUMP、防代码 注入等;c)移动互联网应用程序在启动、更新时应具备自身代码和文件完整性校验的能力,检查的范围包 括但不限于签名、应用代码、应用配置文件、应用数据、内存数据,当发现被篡改后,应立即终止运行应用,防止用户被植入恶意代码的恶意应用或者盗版应用攻击。
6.2.4环境安全 本项要求包括:a)移动互联网应用程序客户端应具备在运行时对客户端环境的检测和响应能力;b)应建立覆盖移动互联网应用程序客户端、网络通信和应用服务器端的安全防御能力;c)应对移动互联网应用程序的运行安全状态进行监测,并采集安全状态数据进行分析;d)在检测到恶意行为发生时,客户端可根据配置参数决定是否退出当前应用;e)应对承载移动互联网应用程序业务相关的数据库进行登记,并对数据库的安全状况进行跟踪;f)对移动互联网应用程序的数据库及其运行环境,应根据国家相关要求建立安全防护机制。
6.2.5运行安全 本项要求包括:a)在显示重要信息时,如个人信息、二维码、支付相关信息以及输入密码时,移动互联网应用程 序应提供防恶意截屏的功能;
9 CCIAXXXX—2019 b)移动互联网应用程序应实时捕获恶意程序的攻击行为,并提醒使用者;c)输入重要信息时,如密码,身份证号码,银行帐号时,移动互联网应用程序应提供密码键盘防 窃听机制,防止重要隐私数据的泄露。
6.3通信安全 本项要求包括:a)应通过身份鉴别手段确认传输双方的身份真实可靠,如使用数字证书;b)应避免会话标识符暴露;c)应对敏感的业务操作在请求或会话中使用随机令牌或参数;d)会话标识应唯
一、随机、不可猜测;e)会话过程应维持认证状态;f)在退出登录或移动应用关闭后,应立即终止会话;g)应具备会话超时功能,当空闲时间超过设定时间应自动终止会话;h)在会话结束后,应能及时清除会话信息;i)当应用系统通信双方中的一方在指定时间内未作任何响应,另一方应能够自动结束会话;j)应采取会话保护措施,保证软件与后台服务器之间的会话不被窃听、篡改、伪造、重放等;k)移动互联网应用程序不应无限制占用终端资源,不应影响其他移动互联网应用程序对终端资源 的合法访问。
6.4数据安全 6.4.1总体要求 本项要求包括:a)应建立数据分类分级机制并定期对数据资产进行梳理;b)应明确数据质量要求;c)个人信息保护相关要求参照GB/T35273。
6.4.2数据采集 本项要求包括:a)应对数据采集的内容、频率、数据精确度、时间特性等要求建立相关安全机制;b)应采用身份鉴别机制对用户身份进行验证,必要时,还应对采集设备进行验证;c)应采用数据校验机制,对采集数据的准确性、一致性和完整性进行验证。
6.4.3数据传输 本项要求包括:a)在传输重要数据或敏感数据时,应采用数据加密或信道加密机制;b)在数据传输前后,应采用数字签名、校验码等机制验证数据的完整性;c)应采用会话超时检测机制,保障远程数据传输的可用性; 6.4.4数据存储 本项要求包括:a)移动互联网应用程序应使用沙箱或加密机制,保证存储在客户端的敏感数据互相隔离和不被窥 探篡改;b)移动互联网应用程序在执行用户的删除命令时应要求用户确认,以防产生误删除; 10 CCIAXXXX—2019 c)对于使用和存储期限内的数据和文件,移动互联网应用程序应周期性对其进行验证;在用户允许的前提下,可将数据同步到服务器备份存储; d)应对数据库中所存储的敏感数据进行加密。
6.4.5数据处理 本项要求包括:a)应对数据维护人员进行身份识别,并依据最小授权原则进行控制;b)应建立数据使用流程管控机制,应在敏感数据应用于开发测试、数据分析及数据共享等环境 前进行脱敏处理;c)应对数据维护人员访问数据过程中所包含的敏感数据进行脱敏处理;d)数据共享给第三方时,应采用数据水印等技术建立数据共享管控及数据泄漏溯源机制;e)用户个人隐私数据共享给第三方时,应征得用户本人同意,并采用数据水印等技术建立数据 共享管控和数据泄露溯源机制;f)应对移动互联网应用程序客户端界面展示的敏感信息进行脱敏处理;g)应对移动互联网应用程序服务器端维护界面所展示的敏感信息进行脱敏处理。
6.4.6数据销毁 本项要求包括:a)敏感信息在使用完毕后,应立即进行清除;b)移动互联网应用程序退出时,应清除非业务功能运行所必需留存的数据;c)移动互联网应用程序卸载完成后,文件系统中不应残留任何与用户相关的个人信息及敏感信 息等;d)当用户注销账户时,应采用不可逆的销毁技术同步销毁该用户在服务器端数据库中的用户个 人数据。
6.5安全功能 6.5.1身份鉴别 本项要求包括:a)在用户访问移动互联网应用程序业务前,应对用户身份进行鉴别,并应具备鉴别失败处理功能, 包括但不限于结束会话、锁定或超时注销;b)当鉴别失败时,应提供通用的错误提示信息,避免提示信息被攻击者利用;c)当用户进行敏感操作前(如修改鉴别信息、转账支付等),应再次鉴别用户身份,可采用双因 子认证方式;d)当移动互联网应用程序支持口令登录功能时,应提供口令复杂度校验功能,保证用户设置的口 令达到一定的强度;移动互联网应用程序应对用户设置的口令进行强度检测,至少包含8位字符,其中包括大写字母、小写字母、数字和特殊字符中的至少两种。
对安全要求较高的移动互联网应用程序应提供双因子认证;e)应具备口令找回的验证机制,以防账户和口令被窃取或劫持;f)移动互联网应用程序不应以明文的方式显示和存储用户口令,不应默认缓存、填充用户口令信息。
6.5.2访问控制 本项要求包括: 11 CCIAXXXX—2019 a)移动互联网应用程序应对用户进行细粒度访问权限划分,遵循最小授权原则,按照安全策略控制用户对业务功能、用户数据的访问; b)应保证只有授权的用户才能访问移动互联网应用程序敏感信息。
6.5.3签名机制本项要求包括:a)移动互联网应用程序应使用正规的、依法设立的电子认证服务机构颁发的数字证书进行签名;b)移动互联网应用程序应提供抗抵赖功能,可采用数字签名、数字水印等方式;c)服务器端应对移动互联网应用程序进行验签,验证移动互联网应用程序证书合法性和有效性,验证移动互联网应用程序签名的有效性和移动互联网应用程序的完整性;d)移动互联网应用程序在安装时,应验证移动互联网应用程序中签名证书的合法性和有效性,验证移动互联网应用程序签名的有效性和移动互联网应用程序的完整性,以检测对移动互联网应用程序的恶意篡改;e)移动互联网应用程序在运行时,应验证移动互联网应用程序文件的完整性,以检测对移动互联网应用程序文件的恶意修改;f)移动互联网应用程序上线发布时应有签名机制,如SignatureschemeV2签名机制。
6.5.4软件更新本项要求包括:a)移动互联网应用程序应提供更新机制,且更新前应取得用户同意,禁止未授权情况下自动更新;b)应采用加密信道对移动互联网应用程序更新包进行传输,并在安装前进行签名校验;c)移动互联网应用程序在更新后,不应擅自修改用户已有的安全配置;d)当更新失败时,移动互联网应用程序应支持必要的回滚操作,保证软件的正常使用。
6.5.5软件容错本项要求包括:a)移动互联网应用程序应具有一定的容错能力,不因可预知的错误操作影响程序运行。
6.5.6安全审计本项要求包括:a)应具备安全日志功能,不应通过日志公开敏感信息,或对日志中敏感信息进行加密;b)移动互联网应用程序不应存在已知的高危风险漏洞和隐藏后门,及时更新,以应对最新漏洞威胁。
c)应对移动互联网应用程序运营和产生的数据进行安全审计,包括但不限于运行记录、操作日志、安全日志;d)应提供审计日志授权访问机制,审计日志应仅支持授权用户查阅;e)应建立审计日志保护机制,对审计日志应进行定期备份;f)对终端内存储的日志文件应采用满足相关要求的加密算法进行加密存储;g)审计日志的存储期限及存储介质等要求应遵循国家相关规定。
12 7管理要求 CCIAXXXX—2019 7.1管理体系要求 7.1.1管理制度 本项要求包括:a)应制定针对移动互联网应用程序的安全管理制度,包括应用软件管理、终端管理、内容管理、 用户管理等;b)应建立严格的评审机制,并对关键节点的输入、输出进行论证和评审。
7.1.2管理机构 本项要求包括:a)应结合行业、企业信息化与信息安全管理要求,将移动应用安全管理纳入企业信息安全管理 体系,完善移动应用安全的管理机构和职责。
7.1.3人员安全管理 本项要求包括:a)应建立人员安全管理制度,包括人员录用、人员离岗、人员考核、安全意识教育和培训、外 部人员访问管理等,并应遵循国家相关规定。
7.2设计和开发阶段安全管理 本项要求包括:a)应进行安全需求调研,并形成安全需求说明书;b)应严格按照安全需求说明书进行安全方案设计;c)应建立并遵循移动互联网应用程序开发中外部资源引入的安全风险管理制度;d)应进行单元安全性测试,及时修复已发现的安全问题;e)应建立并遵循移动互联网应用程序源代码保密管理制度;f)应维护安全开发文档,包括安全需求说明、安全设计方案、安全风险管理制度、源代码保密制 度、安全测试用例等。
7.3交付和上线阶段安全管理 本项要求包括:a)应建立并遵循移动互联网应用程序源代码审计规范,在上线前进行严格的源代码安全审计,并 及时修复已发现的安全缺陷;b)应建立并遵循移动互联网应用程序安全测试管理制度,确保所有安全需求得到有效的满足;c)应采用专业的移动应用安全检测工具进行检测,并在上线前及时修复已发现的安全漏洞;d)应提供验证所交付移动互联网应用程序完整性必须的安全措施,减少交付过程中的篡改风险;e)应提供安全维护指南等指导性文档,给出适当的风险提示和应急响应措施,明确典型部署环境 的安全要求;f)应通过正规渠道进行移动互联网应用程序发布。
7.4运行和维护阶段安全管理 本项要求包括:a)应对已发布的移动互联网应用程序安全状况进行安全监测; 13 CCIAXXXX—2019b)在移动互联网应用程序升级前告知用户产品升级的内容、变更情况、相关安全风险、风险应对 措施等,在获得用户授权同意后,才能对移动互联网应用程序进行升级,并允许用户选择不接受移动互联网应用程序升级;c)应采取安全措施保护升级过程中的用户信息;d)应制定和实施安全管理制度和流程,对移动互联网应用程序运行维护中涉及的供应商和服务人员进行安全管理;e)应为用户提供对移动互联网应用程序升级包进行完整性、来源真实性等安全校验的方法或工具;f)应建立应急响应机制,针对移动互联网应用程序所产生的安全问题做到及时响应;g)应在版本升级更新前,对升级包进行安全评估,确保升级之后不会引入新的安全风险,并采用安全机制保证升级过程的安全。
7.5废弃阶段安全管理本项要求包括:a)应制定废弃安全管理制度;b)应在移动互联网应用程序停止运营前,明确告知用户,并停止收集和使用用户数据,且对已经保存的数据进行删除或匿名化处理;c)应在移动互联网应用程序停止运营后,对已发布的移动互联网应用程序进行下架处理。
14 附录A(资料性附录) CCIAXXXX—2019 A.1安卓配置与编码安全指南 A.1.1当需要导出包含WebView的组件时,应禁止使用File域协议,若WebView组件需使用File域协议,应禁止File域协议调用JavaScript: A.1.2 在进行Activity组件界面切换时,应检测下一界面的Activity类,如不是被测系统内的界面,则进行相应的响应操作,如提示用户并退出运行状态;应在ContentProvider组件节点中应通过android:pathPrefix.android:path或android:pathPatten进行最小化访问路径申明和最小权限申明; A.1.3应对客户端源代码进行混淆; A.1.4敏感功能应使用NDK实现; A.1.5应设置android:debuggable属性为false; A.1.6应设置android:allowbackup属性为false; A.1.7如无必要,应设置Activity,Service,ContentProvider,BroadcastReceiver组件的exported属性为false; A.1.8使用WebView时,使用webView.getSetting()ess(false)方法禁止在WebView中访问文件; A.1.9 使用WebView时,使用webView.getSettings().setSavePassword(false)方法禁止WebView存储密码;如无必要,应使用webView.getSettings().setJavaScriptEnabled(false)方法在WebView中禁用Javascript; A.1.10不要将密码等敏感信息存储在SharedPreferences等内部存储中,应将敏感信息进行加密后存储; A.1.11使用AES/DES加密算法时应使用CBC或CFB模式,或者使用安全组件的安全加密接口SecurityCipher进行加密; A.1.12避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的内部存储(InternalStorage)文件;尽量将自身数据存放在系统的安装目录下; A.1.13避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建数据库(Database);不要使用全局可读模式和全局可写模式创建数据库; A.1.14尽量不使用反射方法,如果一定要用,则对参数进行过滤; A.1.15应删掉AndroidManifest.xml的标签,设置setWebContentsDebuggingEnabled为false来关闭WebView远程调试,防止客户端功能暴露造成客户端关键业务逻辑泄露。
15 CCIAXXXX—2019A.1.16要使用自定义随机源代替系统默认随机源,即在使用SecureRandom类时,不要调用以下函数: SecureRandom#SecureRandom(byte[]seed)A.1.17当使用NDK编译so库文件时,应加入LOCAL_CFLAGS:=-fpie-pie开启对PIE的支持。
A.1.18对动态加载的so文件应放置在APK内部或应用私有目录中,防止被存在恶意行为的so文件替 换。
A.2iOS配置与编码安全指南A.2.1在Xcode工程设置中应设置如下选项以防止攻击者利用堆栈溢出漏洞破坏当前的函数栈:Buil dSettings->Linking->OtherLinkerFlags选线添加参数–fstack-protector-allA.2.2不要使用私有API,使用苹果公布的API。
使用禁用的接口,将可能导致审核被拒,项目上线时 间延期,另外使用私有API会导致程序异常A.2.3应使用苹果提供的可以获得安全随机数的方法:SecRandomCopyBytes(),不要使用其它伪随机数 方法。
A.2.4在程序中不要使用C函数的malloc方法申请内存空间,使用苹果封装好的方法和对象进行开发, 使用ARC进行内存管理。
A.2.5调用ptrace请求来检查本应用是否被调试,在main()添加#ifndefDEBUGptrace(PT_DENY_
A TTACH,0,0,0);#endif,防止攻击者进行远程应用调试。
16 CCIAXXXX—2019参 考 文 献[1]《中华人民共和国网络安全法》[2]《电信和互联网用户个人信息保护规定》[3]GB/T18336-2015信息技术安全评估准则[4]GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法[5]GB/T35278-2017信息安全技术移动终端安全保护技术要求[6]GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求[7]GB/T34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法[8]GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求[9]GB/T36627-2018信息安全技术网络安全等级保护测试评估技术指南[10]GB/T22239-2019信息安全技术网络安全等级保护基本要求[11]GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求[12]GB/T28448-2019信息安全技术网络安全等级保护测评要求[13]GB/T35273信息安全技术个人信息安全规范_________________________________ 17
XXXX—2019 目 次 目次.....................................................................................................................................................................
II前言.....................................................................................................................................................................
IV引言.......................................................................................................................................................................
V移动互联网应用程序安全规范...........................................................................................................................61
范围...................................................................................................................................................................
62规范性引用文件...............................................................................................................................................63
术语和定义.......................................................................................................................................................
6 3.1移动互联网应用程序MobileApplication......................................................................63.2移动互联网应用程序客户端MobileApplicationClient.............................................63.3移动互联网应用程序服务器端MobileApplicationServer........................................64符号和缩略语...................................................................................................................................................
75移动互联网应用程序安全总体框架...............................................................................................................76
技术要求...........................................................................................................................................................
76.1开发安全...................................................................................................................................................
7 6.1.1安全编码...........................................................................................................................................76.1.2安全编译...........................................................................................................................................8
6.1.3输入输出验证...................................................................................................................................8
6.1.4文件安全...........................................................................................................................................8
6.1.5异常处理...........................................................................................................................................8
6.2
程序安全...................................................................................................................................................
86.2.1组件安全...........................................................................................................................................86.2.2权限安全...........................................................................................................................................9
6.2.3自身安全...........................................................................................................................................9
6.2.4环境安全...........................................................................................................................................9
6.2.5运行安全...........................................................................................................................................9
6.3
通信安全.................................................................................................................................................
106.4数据安全.................................................................................................................................................
106.4.1总体要求.........................................................................................................................................106.4.2数据采集.........................................................................................................................................10
6.4.3数据传输.........................................................................................................................................10
6.4.4数据存储.........................................................................................................................................10
6.4.5数据处理.........................................................................................................................................11
6.4.6数据销毁.........................................................................................................................................11
6.5
安全功能.................................................................................................................................................
116.5.1身份鉴别.........................................................................................................................................116.5.2访问控制.........................................................................................................................................11 II CCIA
XXXX—20196.5.3签名机制.........................................................................................................................................12
6.5.4软件更新.........................................................................................................................................12
6.5.5软件容错.........................................................................................................................................12
6.5.6安全审计.........................................................................................................................................12
7
管理要求.........................................................................................................................................................
137.1管理体系要求.........................................................................................................................................137.1.1管理制度.........................................................................................................................................13
7.1.2管理机构.........................................................................................................................................13
7.1.3人员安全管理.................................................................................................................................13
7.2设计和开发阶段安全管理.....................................................................................................................13
7.3交付和上线阶段安全管理.....................................................................................................................13
7.4运行和维护阶段安全管理.....................................................................................................................13
7.5废弃阶段安全管理.................................................................................................................................14
附录A(资料性附录)..................................................................................................................................15
A.1安卓配置与编码安全指南......................................................................................................................15
A.2iOS配置与编码安全指南........................................................................................................................16
参考文献.............................................................................................................................................................
17 III CCIAXXXX—2019 前 言 本标准按照GB/T1.1—2009给出的规则起草。本标准由中国网络安全产业联盟提出并归口。
本标准起草单位:北京赛西科技发展有限责任公司、北京智游网安科技有限公司、哈尔滨安天科技股份集团有限公司、北京观安信息技术有限公司、普天信息技术有限公司、深圳市能信安科技股份有限公司、杭州安恒信息技术股份有限公司、北京安华金和科技有限公司、北京安信天行科技有限公司、北京奇虎科技有限公司、北京指掌易科技有限公司、上海天跃科技股份有限公司、北京双洲科技有限公司、任子行网络技术股份有限公司、中国软件评测中心、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、陕西省信息化工程研究院本报告主要起草人:许玉娜、韩云、徐雨晴、谢江、梁璐、马小龙、付艳艳、宣淦淼、钟金鑫、姚一楠、邢怡平、李华祥、崔志超、周敏、孙海燕、冀乃杰、张勇、张志刚、张冉、李清玉、沈郑、叶少秋、王雪、潘正泰、张国强、王鑫 IV CCIAXXXX—2019 引 言 随着移动终端的广泛应用,移动终端正向功能增强化、多模化、定制化、平台开放化的方向发展,而移动终端程序作为SNS新的开拓渠道,正逐渐崭露头角。
移动互联网应用程序一般由移动互联网应用程序客户端、移动互联网应用程序传输链路和移动互联网应用程序服务器端等组成。
本标准,针对移动互联网应用程序客户端、移动互联网应用程序传输链路、移动互联网应用程序服务器端等提出安全规范,为移动互联网应用程序的开发、上线、下架等环节提供指导,并依据相关要求开展相应的评测工作。
V CCIAXXXX—2019 移动互联网应用程序安全规范 1范围 本标准规定了对移动互联网应用程序的安全要求,从技术、管理两个维度出发,覆盖了移动互联网应用程序的设计、开发、交付、运行、上线、维护、废弃等方面。
本标准可为政府部门、企事业单位等组织机构的移动互联网应用程序的开发者、运营者提供参考,可为移动互联网应用程序的开发者及运营者提供测试依据;也适用于第三方机构对移动互联网应用程序进行审查和评估。
2规范性引用文件 下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T18336-2015信息技术安全评估准则GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法GB/T35278-2017信息安全技术移动终端安全保护技术要求GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求GB/T34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求GB/T36627-2018信息安全技术网络安全等级保护测试评估技术指南GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T35273信息安全技术个人信息安全规范 3术语和定义 以下所列的术语适用于本文件。
3.1移动互联网应用程序MobileApplication通过移动终端为用户提供服务的应用程序,由移动互联网应用程序客户端和移动互联网应用程序服 务器端组成。
3.2 移动互联网应用程序客户端MobileApplicationClient运行在移动终端上,为用户提供本地服务的客户端程序。
3.3移动互联网应用程序服务器端MobileApplicationServer为移动互联网应用程序客户端提供服务和数据支撑的服务器端程序。
6 4符号和缩略语 CCIAXXXX—2019 下列缩略语适用于本文件。
APP移动互联网应用程序(Application)通常是指苹果、安卓等手机应用程序SNS社交网络软件(SocialNetworkSoftware)是一个采用分布式技术,构建的下一代基于个人的网络基础软件AES高级加密标准(AdvancedEncryptionStandard)DES数据加密标准(DataEncryptionStandard)CBC密码分组链接(Cipher-blockchaining)HTML超文本标记语言(HyperTextMarkupLanguage)标准通用标记语言下的一个应用GPS全球定位系统(GlobalPositioningSystem) 5移动互联网应用程序安全总体框架 图1移动互联网应用程序总体框架移动互联网应用程序安全规范适用于移动互联网应用程序的开发者、运营者及测评者,主要是从移动互联网应用程序的客户端、服务器端、传输链路的技术和管理两个维度进行约束,技术要求则是从移动互联网应用程序的程序安全、安全功能、数据安全、通信安全、开发安全五个方面进行规范,管理要求则是从移动互联网应用程序的设计和开发、交付和上线、运行和维护以及废弃阶段进行规范。
通过技术要求和管理要求的协同作用,保障移动互联网应用程序的安全开发、安全使用、安全废弃等。
6技术要求6.1开发安全6.1.1安全编码 本项要求包括:
7 CCIAXXXX—2019 a)在移动互联网应用程序对外开放的接口中,应对所有传入参数进行验证,拒绝接受验证失败的数据,包括但不限于验证数据类型,数据长度; b)应对移动互联网应用程序中敏感数据进行加密保护,加密算法应使用已被验证可信的算法,且应规定密钥强度; c)移动互联网应用程序上线前应进行代码净化,在应用代码中不应出现调试信息、测试数据、含有敏感信息的代码注释等; d)移动互联网应用程序发布版本不应处于测试模式、允许任意备份模式、允许任意调试模式等状态。
6.1.2安全编译 本项要求包括:a)应构建安全的开发环境,确保从正规渠道获取编译器、框架等,并确保使用相对安全的稳定版 本;b)编译环境应隔离网络,避免恶意攻击、替换、劫持等方式引起的编译文件篡改;确保编译环境 的设备或操作系统无病毒、木马等攻击威胁。
6.1.3输入输出验证 本项要求包括:a)应对用户输入项在客户端及服务器端进行输入和数据合法性验证,包括数据格式、数据长度以 及特殊字符等;b)应对任何由用户创造的内容在输出之前进行转换,无法规避的HTML片段提交,需对其标签进行 检查处理。
6.1.4文件安全 本项要求包括:a)应在文件上传处理中限制文件格式,避免直接上传可执行文件,或在服务器端限制可执行文件 的执行权限;b)在文件下载时不应直接列举服务器上的文件,不应将服务器端的路径作为参数进行传递,避免 用户非法获取服务器端文件。
6.1.5异常处理 本项要求包括:a)应使用通用的错误消息或定制的错误页面,避免信息泄露导致攻击事件的发生;b)应建立有效的异常处理机制,包括但不限于针对空指针异常、类型转换异常、数组越界访问异 常、类未定义异常等的处理机制。
6.2程序安全 6.2.1组件安全 是构建移动互联网应用程序的Activity、Service、BroadcastReceive、ContentProvider等组件的安全,对本项的要求包括: a)组件无需与其它系统共享数据或交互时,应避免暴露给不信任的第三方应用;如:应在AndroidManifest.xml配置文件中将该组件的android:exported属性值设置为false; b)组件应限制仅对信任的其它应用进行共享数据或交互,同时需对共享数据和交互进行权限控制和参数校验;
8 CCIAXXXX—2019 c)在引入第三方开源组件资源时,应对组件进行代码安全审计和安全风险评估。
如果该组件存在不可接受的安全风险,应禁止引入该组件或对其进行整改后再引入; d)当引入非信任的第三方非开源组件资源时,应获得该组件的源代码并经过代码安全审计和安全风险评估,确认该组件不存在不可接受的安全风险; e)当引入信任的第三方非开源组件资源时,应对组件进行安全检测和风险评估,检测内容包括但不限于权限调用、敏感数据处理、第三方内容合规性等。
6.2.2权限安全 本项要求包括:a)移动互联网应用程序申请权限时应遵循最小权限原则,不应申请与其业务功能无关的其他权限;b)移动互联网应用程序申请敏感权限前,应采用勾选/确认的主动方式征得用户的同意,且用户 拒绝后,不应影响相关业务的使用;c)移动互联网应用程序在动态申请权限时,应弹出权限申请提示信息,并说明相关权限的信息、 目的以及可能存在的风险;在用户确认的情况下,才能向系统动态申请权限;d)当移动互联网应用程序一次申请多个敏感权限时,应对每个权限进行分项提示和说明;e)移动互联网应用程序不应以默认、捆绑、停止安装、停止使用等手段变相强迫用户授予权限;f)移动互联网应用程序应能接收集中下发的权限安全策略,在符合权限安全策略的情况下,限制 或阻止系统功能(摄像头、GPS定位、录音、蓝牙、即时通信等)的使用;g)移动互联网应用程序应将权限的使用充分告知移动终端用户,并将权限申请、权限使用和权限 撤销等日志进行记录;在安全要求较高的情况下,移动互联网应用程序应将权限相关日志集中存储,并审查是否存在移动互联网应用程序非法使用权限的情形。
6.2.3自身安全 本项要求包括:a)应对移动互联网应用程序进行防反编译处理;如:代码混淆、加花指令、代码加密、指令转换 等;b)应对移动互联网应用程序进行防动态逆向攻击处理;如:防动态调试、防内存DUMP、防代码 注入等;c)移动互联网应用程序在启动、更新时应具备自身代码和文件完整性校验的能力,检查的范围包 括但不限于签名、应用代码、应用配置文件、应用数据、内存数据,当发现被篡改后,应立即终止运行应用,防止用户被植入恶意代码的恶意应用或者盗版应用攻击。
6.2.4环境安全 本项要求包括:a)移动互联网应用程序客户端应具备在运行时对客户端环境的检测和响应能力;b)应建立覆盖移动互联网应用程序客户端、网络通信和应用服务器端的安全防御能力;c)应对移动互联网应用程序的运行安全状态进行监测,并采集安全状态数据进行分析;d)在检测到恶意行为发生时,客户端可根据配置参数决定是否退出当前应用;e)应对承载移动互联网应用程序业务相关的数据库进行登记,并对数据库的安全状况进行跟踪;f)对移动互联网应用程序的数据库及其运行环境,应根据国家相关要求建立安全防护机制。
6.2.5运行安全 本项要求包括:a)在显示重要信息时,如个人信息、二维码、支付相关信息以及输入密码时,移动互联网应用程 序应提供防恶意截屏的功能;
9 CCIAXXXX—2019 b)移动互联网应用程序应实时捕获恶意程序的攻击行为,并提醒使用者;c)输入重要信息时,如密码,身份证号码,银行帐号时,移动互联网应用程序应提供密码键盘防 窃听机制,防止重要隐私数据的泄露。
6.3通信安全 本项要求包括:a)应通过身份鉴别手段确认传输双方的身份真实可靠,如使用数字证书;b)应避免会话标识符暴露;c)应对敏感的业务操作在请求或会话中使用随机令牌或参数;d)会话标识应唯
一、随机、不可猜测;e)会话过程应维持认证状态;f)在退出登录或移动应用关闭后,应立即终止会话;g)应具备会话超时功能,当空闲时间超过设定时间应自动终止会话;h)在会话结束后,应能及时清除会话信息;i)当应用系统通信双方中的一方在指定时间内未作任何响应,另一方应能够自动结束会话;j)应采取会话保护措施,保证软件与后台服务器之间的会话不被窃听、篡改、伪造、重放等;k)移动互联网应用程序不应无限制占用终端资源,不应影响其他移动互联网应用程序对终端资源 的合法访问。
6.4数据安全 6.4.1总体要求 本项要求包括:a)应建立数据分类分级机制并定期对数据资产进行梳理;b)应明确数据质量要求;c)个人信息保护相关要求参照GB/T35273。
6.4.2数据采集 本项要求包括:a)应对数据采集的内容、频率、数据精确度、时间特性等要求建立相关安全机制;b)应采用身份鉴别机制对用户身份进行验证,必要时,还应对采集设备进行验证;c)应采用数据校验机制,对采集数据的准确性、一致性和完整性进行验证。
6.4.3数据传输 本项要求包括:a)在传输重要数据或敏感数据时,应采用数据加密或信道加密机制;b)在数据传输前后,应采用数字签名、校验码等机制验证数据的完整性;c)应采用会话超时检测机制,保障远程数据传输的可用性; 6.4.4数据存储 本项要求包括:a)移动互联网应用程序应使用沙箱或加密机制,保证存储在客户端的敏感数据互相隔离和不被窥 探篡改;b)移动互联网应用程序在执行用户的删除命令时应要求用户确认,以防产生误删除; 10 CCIAXXXX—2019 c)对于使用和存储期限内的数据和文件,移动互联网应用程序应周期性对其进行验证;在用户允许的前提下,可将数据同步到服务器备份存储; d)应对数据库中所存储的敏感数据进行加密。
6.4.5数据处理 本项要求包括:a)应对数据维护人员进行身份识别,并依据最小授权原则进行控制;b)应建立数据使用流程管控机制,应在敏感数据应用于开发测试、数据分析及数据共享等环境 前进行脱敏处理;c)应对数据维护人员访问数据过程中所包含的敏感数据进行脱敏处理;d)数据共享给第三方时,应采用数据水印等技术建立数据共享管控及数据泄漏溯源机制;e)用户个人隐私数据共享给第三方时,应征得用户本人同意,并采用数据水印等技术建立数据 共享管控和数据泄露溯源机制;f)应对移动互联网应用程序客户端界面展示的敏感信息进行脱敏处理;g)应对移动互联网应用程序服务器端维护界面所展示的敏感信息进行脱敏处理。
6.4.6数据销毁 本项要求包括:a)敏感信息在使用完毕后,应立即进行清除;b)移动互联网应用程序退出时,应清除非业务功能运行所必需留存的数据;c)移动互联网应用程序卸载完成后,文件系统中不应残留任何与用户相关的个人信息及敏感信 息等;d)当用户注销账户时,应采用不可逆的销毁技术同步销毁该用户在服务器端数据库中的用户个 人数据。
6.5安全功能 6.5.1身份鉴别 本项要求包括:a)在用户访问移动互联网应用程序业务前,应对用户身份进行鉴别,并应具备鉴别失败处理功能, 包括但不限于结束会话、锁定或超时注销;b)当鉴别失败时,应提供通用的错误提示信息,避免提示信息被攻击者利用;c)当用户进行敏感操作前(如修改鉴别信息、转账支付等),应再次鉴别用户身份,可采用双因 子认证方式;d)当移动互联网应用程序支持口令登录功能时,应提供口令复杂度校验功能,保证用户设置的口 令达到一定的强度;移动互联网应用程序应对用户设置的口令进行强度检测,至少包含8位字符,其中包括大写字母、小写字母、数字和特殊字符中的至少两种。
对安全要求较高的移动互联网应用程序应提供双因子认证;e)应具备口令找回的验证机制,以防账户和口令被窃取或劫持;f)移动互联网应用程序不应以明文的方式显示和存储用户口令,不应默认缓存、填充用户口令信息。
6.5.2访问控制 本项要求包括: 11 CCIAXXXX—2019 a)移动互联网应用程序应对用户进行细粒度访问权限划分,遵循最小授权原则,按照安全策略控制用户对业务功能、用户数据的访问; b)应保证只有授权的用户才能访问移动互联网应用程序敏感信息。
6.5.3签名机制本项要求包括:a)移动互联网应用程序应使用正规的、依法设立的电子认证服务机构颁发的数字证书进行签名;b)移动互联网应用程序应提供抗抵赖功能,可采用数字签名、数字水印等方式;c)服务器端应对移动互联网应用程序进行验签,验证移动互联网应用程序证书合法性和有效性,验证移动互联网应用程序签名的有效性和移动互联网应用程序的完整性;d)移动互联网应用程序在安装时,应验证移动互联网应用程序中签名证书的合法性和有效性,验证移动互联网应用程序签名的有效性和移动互联网应用程序的完整性,以检测对移动互联网应用程序的恶意篡改;e)移动互联网应用程序在运行时,应验证移动互联网应用程序文件的完整性,以检测对移动互联网应用程序文件的恶意修改;f)移动互联网应用程序上线发布时应有签名机制,如SignatureschemeV2签名机制。
6.5.4软件更新本项要求包括:a)移动互联网应用程序应提供更新机制,且更新前应取得用户同意,禁止未授权情况下自动更新;b)应采用加密信道对移动互联网应用程序更新包进行传输,并在安装前进行签名校验;c)移动互联网应用程序在更新后,不应擅自修改用户已有的安全配置;d)当更新失败时,移动互联网应用程序应支持必要的回滚操作,保证软件的正常使用。
6.5.5软件容错本项要求包括:a)移动互联网应用程序应具有一定的容错能力,不因可预知的错误操作影响程序运行。
6.5.6安全审计本项要求包括:a)应具备安全日志功能,不应通过日志公开敏感信息,或对日志中敏感信息进行加密;b)移动互联网应用程序不应存在已知的高危风险漏洞和隐藏后门,及时更新,以应对最新漏洞威胁。
c)应对移动互联网应用程序运营和产生的数据进行安全审计,包括但不限于运行记录、操作日志、安全日志;d)应提供审计日志授权访问机制,审计日志应仅支持授权用户查阅;e)应建立审计日志保护机制,对审计日志应进行定期备份;f)对终端内存储的日志文件应采用满足相关要求的加密算法进行加密存储;g)审计日志的存储期限及存储介质等要求应遵循国家相关规定。
12 7管理要求 CCIAXXXX—2019 7.1管理体系要求 7.1.1管理制度 本项要求包括:a)应制定针对移动互联网应用程序的安全管理制度,包括应用软件管理、终端管理、内容管理、 用户管理等;b)应建立严格的评审机制,并对关键节点的输入、输出进行论证和评审。
7.1.2管理机构 本项要求包括:a)应结合行业、企业信息化与信息安全管理要求,将移动应用安全管理纳入企业信息安全管理 体系,完善移动应用安全的管理机构和职责。
7.1.3人员安全管理 本项要求包括:a)应建立人员安全管理制度,包括人员录用、人员离岗、人员考核、安全意识教育和培训、外 部人员访问管理等,并应遵循国家相关规定。
7.2设计和开发阶段安全管理 本项要求包括:a)应进行安全需求调研,并形成安全需求说明书;b)应严格按照安全需求说明书进行安全方案设计;c)应建立并遵循移动互联网应用程序开发中外部资源引入的安全风险管理制度;d)应进行单元安全性测试,及时修复已发现的安全问题;e)应建立并遵循移动互联网应用程序源代码保密管理制度;f)应维护安全开发文档,包括安全需求说明、安全设计方案、安全风险管理制度、源代码保密制 度、安全测试用例等。
7.3交付和上线阶段安全管理 本项要求包括:a)应建立并遵循移动互联网应用程序源代码审计规范,在上线前进行严格的源代码安全审计,并 及时修复已发现的安全缺陷;b)应建立并遵循移动互联网应用程序安全测试管理制度,确保所有安全需求得到有效的满足;c)应采用专业的移动应用安全检测工具进行检测,并在上线前及时修复已发现的安全漏洞;d)应提供验证所交付移动互联网应用程序完整性必须的安全措施,减少交付过程中的篡改风险;e)应提供安全维护指南等指导性文档,给出适当的风险提示和应急响应措施,明确典型部署环境 的安全要求;f)应通过正规渠道进行移动互联网应用程序发布。
7.4运行和维护阶段安全管理 本项要求包括:a)应对已发布的移动互联网应用程序安全状况进行安全监测; 13 CCIAXXXX—2019b)在移动互联网应用程序升级前告知用户产品升级的内容、变更情况、相关安全风险、风险应对 措施等,在获得用户授权同意后,才能对移动互联网应用程序进行升级,并允许用户选择不接受移动互联网应用程序升级;c)应采取安全措施保护升级过程中的用户信息;d)应制定和实施安全管理制度和流程,对移动互联网应用程序运行维护中涉及的供应商和服务人员进行安全管理;e)应为用户提供对移动互联网应用程序升级包进行完整性、来源真实性等安全校验的方法或工具;f)应建立应急响应机制,针对移动互联网应用程序所产生的安全问题做到及时响应;g)应在版本升级更新前,对升级包进行安全评估,确保升级之后不会引入新的安全风险,并采用安全机制保证升级过程的安全。
7.5废弃阶段安全管理本项要求包括:a)应制定废弃安全管理制度;b)应在移动互联网应用程序停止运营前,明确告知用户,并停止收集和使用用户数据,且对已经保存的数据进行删除或匿名化处理;c)应在移动互联网应用程序停止运营后,对已发布的移动互联网应用程序进行下架处理。
14 附录A(资料性附录) CCIAXXXX—2019 A.1安卓配置与编码安全指南 A.1.1当需要导出包含WebView的组件时,应禁止使用File域协议,若WebView组件需使用File域协议,应禁止File域协议调用JavaScript: A.1.2 在进行Activity组件界面切换时,应检测下一界面的Activity类,如不是被测系统内的界面,则进行相应的响应操作,如提示用户并退出运行状态;应在ContentProvider组件节点中应通过android:pathPrefix.android:path或android:pathPatten进行最小化访问路径申明和最小权限申明; A.1.3应对客户端源代码进行混淆; A.1.4敏感功能应使用NDK实现; A.1.5应设置android:debuggable属性为false; A.1.6应设置android:allowbackup属性为false; A.1.7如无必要,应设置Activity,Service,ContentProvider,BroadcastReceiver组件的exported属性为false; A.1.8使用WebView时,使用webView.getSetting()ess(false)方法禁止在WebView中访问文件; A.1.9 使用WebView时,使用webView.getSettings().setSavePassword(false)方法禁止WebView存储密码;如无必要,应使用webView.getSettings().setJavaScriptEnabled(false)方法在WebView中禁用Javascript; A.1.10不要将密码等敏感信息存储在SharedPreferences等内部存储中,应将敏感信息进行加密后存储; A.1.11使用AES/DES加密算法时应使用CBC或CFB模式,或者使用安全组件的安全加密接口SecurityCipher进行加密; A.1.12避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的内部存储(InternalStorage)文件;尽量将自身数据存放在系统的安装目录下; A.1.13避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建数据库(Database);不要使用全局可读模式和全局可写模式创建数据库; A.1.14尽量不使用反射方法,如果一定要用,则对参数进行过滤; A.1.15应删掉AndroidManifest.xml的
15 CCIAXXXX—2019A.1.16要使用自定义随机源代替系统默认随机源,即在使用SecureRandom类时,不要调用以下函数: SecureRandom#SecureRandom(byte[]seed)A.1.17当使用NDK编译so库文件时,应加入LOCAL_CFLAGS:=-fpie-pie开启对PIE的支持。
A.1.18对动态加载的so文件应放置在APK内部或应用私有目录中,防止被存在恶意行为的so文件替 换。
A.2iOS配置与编码安全指南A.2.1在Xcode工程设置中应设置如下选项以防止攻击者利用堆栈溢出漏洞破坏当前的函数栈:Buil dSettings->Linking->OtherLinkerFlags选线添加参数–fstack-protector-allA.2.2不要使用私有API,使用苹果公布的API。
使用禁用的接口,将可能导致审核被拒,项目上线时 间延期,另外使用私有API会导致程序异常A.2.3应使用苹果提供的可以获得安全随机数的方法:SecRandomCopyBytes(),不要使用其它伪随机数 方法。
A.2.4在程序中不要使用C函数的malloc方法申请内存空间,使用苹果封装好的方法和对象进行开发, 使用ARC进行内存管理。
A.2.5调用ptrace请求来检查本应用是否被调试,在main()添加#ifndefDEBUGptrace(PT_DENY_
A TTACH,0,0,0);#endif,防止攻击者进行远程应用调试。
16 CCIAXXXX—2019参 考 文 献[1]《中华人民共和国网络安全法》[2]《电信和互联网用户个人信息保护规定》[3]GB/T18336-2015信息技术安全评估准则[4]GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法[5]GB/T35278-2017信息安全技术移动终端安全保护技术要求[6]GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求[7]GB/T34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法[8]GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求[9]GB/T36627-2018信息安全技术网络安全等级保护测试评估技术指南[10]GB/T22239-2019信息安全技术网络安全等级保护基本要求[11]GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求[12]GB/T28448-2019信息安全技术网络安全等级保护测评要求[13]GB/T35273信息安全技术个人信息安全规范_________________________________ 17
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。