移动互联网应用软件安全通用技术规范(试行)

移动互联网应用软件安全通用技术规范（试行）上海市信息安全测评认证中心二〇一六年九月1目录引言...........................................................................................................................21范围........................................................................................................................32规范性引用文件....................................................................................................33术语和定义............................................................................................................33.1移动互联网应用软件..................................................................................33.2密钥..............................................................................................................33.3签名..............................................................................................................33.4敏感信息......................................................................................................34技术安全................................................................................................................34.1安全功能......................................................................................................34.2数据安全......................................................................................................54.3软件安全......................................................................................................85管理安全................................................................................................................95.1设计安全......................................................................................................95.2开发安全......................................................................................................95.3发布安全......................................................................................................95.4维护安全....................................................................................................102引言在国家实施“互联网+”行动计划的大背景下，移动互联网以其兼备移动通信和互联网优势，具有实时性、隐私性、便携性、准确性、可定位等特点，将加速向社会生活的各个领域渗透。移动互联网普及的深度和广度不断拓展，并逐级形成了一种全新的产业模式和生态环境，深刻地改变着其他相关产业的发展进程。在移动互联网快速发展的同时，移动应用安全隐患和标准空白也给其发展带来了挑战，信息泄露、恶意扣费甚至资金被盗等事件时有发生。本规范从技术安全和安全管理两方面，对移动互联网应用软件在设计、开发、维护及测试提出通用安全要求。同时，按照适度保护原则，根据移动互联网应用软件涉及信息的敏感度和业务重要性的不同，本规范将通用安全要求分为一般要求和增强要求，以满足不同移动互联网应用的安全需求。31范围本规范适用于移动互联网应用软件的设计、开发、维护及测试等。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239-2008信息系统安全等级保护基本要求GB/T18336-2015信息技术安全评估准则GB/Z28828-2012公共及商用服务信息系统个人信息保护指南JR/T0092-2012中国金融移动支付客户端技术规范移动互联网应用程序信息服务管理规定（国家互联网信息办公室2016年6月28日发布）3术语和定义3.1移动互联网应用软件安装于移动智能终端上，专门为某一应用目的编制的程序（APP），简称移动应用软件。3.2密钥密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。在非对称密钥体系中，密钥又分为公钥和私钥。3.3签名数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。3.4敏感信息一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。影响基于移动应用软件安全的密码、密钥以及个人敏感数据等信息，密码包括但不限于登录密码、证书的PIN等，密钥包括但不限于用于确保通信安全、报文完整性等的密钥，个人敏感数据包括但不限于证件号码、生物识别信息、手机号、银行卡号等。4技术安全4.1安全功能4.1.1身份鉴别4.1.1.1鉴别方式一般要求：a)按照自愿的原则，在注册时对用户进行基于移动电话号码等真实身份信息的鉴别；b)对于用户鉴别信息修改等重要业务操作，移动应用软件应进行二次鉴权，避免用户身份被冒用。4增强要求：a)移动应用软件登录应采用两种或两种以上的要素对用户身份进行鉴别；短信验证码不宜作为第二种身份鉴别方式；b)当移动应用软件进入终端系统后台后，再次被唤醒切换到前台时，应采取措施对用户身份进行鉴别；c)对于涉及敏感信息修改或转账、支付等重要业务，除密码认证以外，还应采用其他安全认证方式；d)涉及敏感信息及重要业务操作，应用软件不宜通过第三方帐户，如微博、微信、支付宝等进行认证。4.1.1.2安全输入一般要求：a)移动应用软件应提供用户输入密码的即时防护功能，例如采取逐字符加密、随机键位软键盘、防范键盘窃听技术、计算MAC校验码等措施。增强要求：a)移动应用软件应提供用户输入敏感信息，诸如身份证号、手机号、邮箱、姓名等信息的即时防护功能，如被其它软件截获。4.1.1.3敏感信息显示一般要求：a)移动应用软件的密码框应禁止明文显示密码，应使用同一特殊字符（例如*或•）代替；b)除必须由用户确认的情况外，移动应用软件在显示个人信息（如身份证号、手机号、邮箱、姓名等）时宜屏蔽部分关键字段。4.1.1.4鉴别失败一般要求：a)移动应用软件应提供鉴别失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；b)应避免鉴别措施提示泄露信息，在鉴别失败时，提供通用的错误提示信息，避免提示信息被攻击者利用。4.1.1.5密码的设定与找回一般要求：a)移动应用软件应提供密码复杂度校验功能；若有服务器端，应使用服务端提供密码复杂度校验功能，保证用户设置的密码达到一定的强度；b)在找回密码或密码重置时，应使用例如短信验证码、用户注册信息校核等方式，对用户身份进行校验。增强要求：a)在进行找回密码或密码重置时，应采用两种或两种以上要素进行身份鉴别。4.1.2访问控制一般要求：5a)移动应用软件应严格限制用户的访问权限，按照安全策略要求控制用户对业务功能、用户数据等对象的访问，应遵循最小权限原则。4.1.3权限控制一般要求：a)移动应用软件向移动终端操作系统申请权限时，应遵循最小权限原则。4.1.4逻辑安全设计一般要求：a)对于鉴别、校验等安全保证功能的流程设计应充分考虑其合理性，避免逻辑漏洞的出现，确保鉴别流程无法被绕过；b)对于处理重要业务或敏感信息的功能逻辑设计应充分考虑其合理性，避免逻辑漏洞的出现，保证重要业务安全，防止敏感信息泄露。4.1.5防暴力破解一般要求：a)移动应用软件应严格设置登录策略，按安全策略要求具备防范账户暴力破解攻击措施的能力；b)当用户实施密码重置、密码找回等鉴别信息更改操作时，应设置相关策略，防止暴力破解攻击。4.1.6会话安全一般要求：a)应采取会话保护措施，保证软件与后台服务器之间的会话不可被窃听、篡改、伪造、重放等；b)移动应用软件应确保用户在执行注销/登出后，会话被安全终止；c)应设计合理的账户登录超时控制策略，当用户闲置在线状态超出时限时，移动应用软件自动退出登录状态；d)应限制会话并发连接数，限制同一用户的会话并发连接数，避免恶意用户创建多个并发的会话来消耗系统资源，影响业务的可用性。4.2数据安全4.2.1数据获取4.2.1.1数据防窃取一般要求：a)用户输入敏感信息时，应采取安全措施确保敏感信息不被移动终端的其他程序窃取，如使用经过第三方专业机构检测的安全软键盘等；b)移动应用软件应注意保护内存中的敏感信息，敏感信息在输入完成后应立即进行加密，内存中不应存在完整的明文敏感信息；c)移动应用软件的临时文件中不应出现敏感信息，临时文件包括但不限于Cookies、本地临时文件和移动数据库文件等。移动应用软件应禁止在身份鉴别结束后存储敏感信息，防止敏感信息的泄露。增强要求：6a)应采取技术手段防止内存中加密的敏感信息被还原为明文。4.2.1.2数据防篡改一般要求：a)用户输入敏感信息时，如身份证号、手机号、邮箱、姓名、银行卡号、金额、订单号等，应采取防篡改机制保证数据不被移动终端的其他程序篡改；b)移动应用软件若需采集用于鉴别的生物信息，应当符合国家、金融行业标准和相关信息安全管理要求，防止被篡改、复制。4.2.1.3数据有效性一般要求：a)移动应用软件宜在数据获取时提供有效性校验功能，确保通过人机接口或通信接口输入的数据格式或长度等信息符合系统设定要求；若有服务器端，该校验功能不能替代服务器的有效性校验功能。4.2.1.4数据访问控制一般要求：a)移动应用软件应采取措施确保本地数据仅能被授权用户或授权应用组件访问；b)移动应用软件不应访问终端中非业务必需的文件和数据。4.2.2数据传输4.2.2.1通信协议一般要求：a)应在移动应用软件与服务器之间建立安全的信息传输通道，例如使用TLS或IPSEC等协议；b)应确保