JR/T 0240-2021 證券期貨業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全檢測(cè)規(guī)范.pdf
- 文檔部分內(nèi)容預(yù)覽:
JR/T 0240-2021 證券期貨業(yè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全檢測(cè)規(guī)范
應(yīng)采取防動(dòng)態(tài)調(diào)試、代碼混淆、防逆向等技術(shù)對(duì)關(guān)鍵代碼、核心邏輯進(jìn)行保護(hù)。
5. 1. 1. 2 安全接口
5.1.1.2.1檢測(cè)且的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否制定安全設(shè)計(jì)文檔同軸電纜標(biāo)準(zhǔn),移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序自身是否存在接口設(shè)計(jì)方面 的安全問(wèn)題
5. 1. 1. 2. 2 檢測(cè)流程
查看移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的安全設(shè)計(jì)文檔及檢測(cè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序,查看移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序中 是否有違反和繞過(guò)安全措施的任何類(lèi)型的接口和設(shè)計(jì)文檔中未說(shuō)明的任何模式的接口。
5.1.1.2.3通過(guò)要求
不應(yīng)設(shè)計(jì)有違反和繞過(guò)安全措施的任何類(lèi)型的接口和開(kāi)發(fā)文檔中未說(shuō)明的任何模式的接口。
5. 1. 1.3 輸入保護(hù)
5. 1. 1. 3. 1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否能夠保障輸入信息的機(jī)密性。
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否能夠保障輸入信息的機(jī)密性。
5. 1. 1. 3. 2 檢測(cè)流程
檢查開(kāi)發(fā)文檔中有關(guān)敏感信息防截獲的安全機(jī)制,評(píng)估其安全機(jī)制是否可行。對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用 戶(hù)端進(jìn)行測(cè)試,嘗試截獲用戶(hù)輸入的敏感數(shù)據(jù)。
5.1.1.3.3通過(guò)要求
5.1.1.4輸入校驗(yàn)
5. 1. 1. 4. 1檢測(cè)目的
JR/T02402021
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端是否提供數(shù)據(jù)有效性校驗(yàn)功能,保證通過(guò)人機(jī)接口輸人或通過(guò)通信 接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。
5. 1. 1. 4. 2 檢測(cè)流程
檢查開(kāi)發(fā)文檔中關(guān)于移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客月 端數(shù)據(jù)有效性校驗(yàn)的要求。嘗試輸入異常字符, 人機(jī)接口或通信接口的部分字段, 交驗(yàn)功能是否生效,
5. 1. 1. 4. 3通過(guò)要求
應(yīng)對(duì)輸入信息的合法性進(jìn)行識(shí)別。
1.1.5外部資源授權(quán)
5. 1. 1. 5. 1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端程序在訪問(wèn)、修改、刪除移動(dòng)終端上與個(gè)人信息相關(guān)的數(shù)據(jù)前,是 否得到用戶(hù)許可。
5.1.1.5.2檢測(cè)流程
相關(guān)的數(shù)據(jù)進(jìn)行操作前,是否具有用戶(hù) 并在許可描述中明確對(duì)月 數(shù)據(jù)進(jìn)行描述
5. 1. 1. 5. 3通過(guò)要求
5.1.1.6授權(quán)提示
5.1.1.6.1檢測(cè)且的
年可前,不應(yīng)訪間、修改、刪除移動(dòng)終端上與個(gè)
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端獲取移動(dòng)終端系統(tǒng)上與個(gè)人信息相關(guān)權(quán)限時(shí),是否以明顯方式 戶(hù)獲取該權(quán)限的目的,并得到用戶(hù)許可
5. 1. 1. 6. 2 檢測(cè)流程
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端在獲 人信息相關(guān)權(quán)限過(guò)程中,是否以明 提示用戶(hù)獲取該權(quán)限的目的,包括但不限于圖標(biāo)、 文字,聲音提示等,并得到用戶(hù)許可。
5. 1. 1. 6. 3通過(guò)要求
獲取移動(dòng)終端系統(tǒng)上與個(gè)人信息相關(guān)權(quán)限,應(yīng)以明顯方式提示用戶(hù)獲取該權(quán)限的目的,包括但 圖標(biāo)、文字和聲音提示等,并得到用戶(hù)許可。
5.1.1.7完整性校驗(yàn)
5. 1. 1. 7. 1檢測(cè)目的
JR/T 02402021
JR/T 02402021
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端是否具備完整性校驗(yàn)機(jī)制
5.1.1.7.2檢測(cè)流程
嘗試對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程 可執(zhí)行文件等內(nèi)容進(jìn)行墓改,并進(jìn)行重簽 是否具備完整性校驗(yàn)機(jī)制
5. 1. 1.7.3通過(guò)要求
生校驗(yàn)機(jī)制,防止被重簽名和二次打包。關(guān)鍵的
5.1.1.8異常處理
5. 1. 1. 8. 1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端或服務(wù)端出現(xiàn)異常時(shí),客戶(hù)端是否提示明確、易理解的業(yè)務(wù)操作信 息,避免將程序代碼錯(cuò)誤直接返回給用戶(hù)
5. 1.1. 8. 2 檢測(cè)流程
驗(yàn)查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端或服務(wù)端在發(fā)生異常時(shí),是否對(duì)客戶(hù)端提示明確、易理解的業(yè)務(wù) 息,避免將程序代碼錯(cuò)誤直接返回給用戶(hù),
5.1.1.8.3通過(guò)要求
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端或服務(wù)端出現(xiàn)異常時(shí),應(yīng)提示明確、易理解的業(yè)務(wù)操作信息,避免將 碼錯(cuò)誤直接返回給用戶(hù)。
5.1.2移動(dòng)終端環(huán)境
6.1.2.1運(yùn)行環(huán)境安全
5. 1. 2. 1. 1檢測(cè)目的
驗(yàn)查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否在每次運(yùn)行前對(duì)運(yùn)行環(huán)境安全性進(jìn)行檢測(cè),并提示發(fā)現(xiàn)的風(fēng)險(xiǎn)。
5.1.2.1.2檢測(cè)流程
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客 對(duì)諸如移動(dòng)終端操作系統(tǒng)是否 已被獲取最高管理員權(quán)限、是否運(yùn)行 拉測(cè) 并提示發(fā)現(xiàn)的風(fēng)險(xiǎn)。
5. 1. 2. 1. 3通過(guò)要求
5. 1.2.2進(jìn)程保護(hù)
5. 1. 2. 2. 1 檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否采取進(jìn)程保護(hù)措施,防止非法程序獲取該進(jìn)程的訪問(wèn)權(quán)限。
5. 1. 2. 2. 2檢測(cè)流程
JR/T02402021
嘗試使用進(jìn)程注入等技術(shù),試圖獲取移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序進(jìn)程的訪問(wèn)權(quán)限,檢驗(yàn)進(jìn)程保護(hù)措施是否 有效。
5. 1. 2. 2. 3通過(guò)要求
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序后動(dòng)及運(yùn)行過(guò)程,應(yīng)采取相應(yīng)的進(jìn)程保護(hù)措施,防正非法程序獲取該進(jìn)程的訪 問(wèn)權(quán)限。
5. 1. 2. 3異常監(jiān)測(cè)
5. 1. 2. 3. 1 檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否采取有效措施監(jiān)測(cè)并向后臺(tái)服務(wù)端反饋移動(dòng)終端環(huán)境安全狀況: 必要時(shí)停止應(yīng)用運(yùn)行。
5.1.2.3.2檢測(cè)流程
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序采取了何種有效的移動(dòng)終端環(huán)境安全狀況監(jiān)測(cè)措施,是否在必要時(shí)停 運(yùn)行。
5. 1. 2. 3. 3通過(guò)要求
5. 1. 3 安裝與卸載
5. 1.3. 1安裝確認(rèn)
5. 1. 3. 1. 1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端安裝或首次運(yùn)行時(shí),是否提示用戶(hù)對(duì)其使用的移動(dòng)終端資源、 端系統(tǒng)權(quán)限和移動(dòng)終端數(shù)據(jù)進(jìn)行確認(rèn),
5. 1. 3. 1. 2 檢測(cè)流程
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端在安裝或首次運(yùn)行時(shí), 檢查是否跳出提示窗口,讓用戶(hù)對(duì)其使用的 端資源(包含通信資源和外設(shè)接口) 移動(dòng)終 數(shù)據(jù)進(jìn)行確認(rèn)
5. 1. 3. 1. 3通過(guò)要求
5.1.3.2剩余信息保護(hù)
5.1.3.2.1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端安裝和使用過(guò)程中的緩存數(shù)據(jù)是否能完全刪除,刪除用戶(hù)使用過(guò)程 中生成的數(shù)據(jù)時(shí)是否得到用戶(hù)許可
5. 1.3. 2. 2 檢測(cè)流程
JR/T 02402021
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端卸載完成后,用戶(hù)安裝和使用過(guò)程中在移動(dòng)終端設(shè)備產(chǎn)生的緩存數(shù) 據(jù)是否已完全刪除
5. 1. 3. 2. 3通過(guò)要求
安裝和使用過(guò)程中的緩存數(shù)據(jù)應(yīng)能完全刪除,且刪除用戶(hù)使用過(guò)程中生成的數(shù)據(jù)時(shí)應(yīng)得到用戶(hù)許
5.1.3.3系統(tǒng)安全
5.1.3.3.1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端是否影響移動(dòng)終端操作系統(tǒng)和其他應(yīng)用軟件的功能
5.1.3.3.2檢測(cè)流程
影響移動(dòng)終端操作系統(tǒng)和其它 應(yīng)用軟件功能的惡意代碼,包括但不限于 僵尸類(lèi)、間諜類(lèi)等,
5. 1.3.3. 3通過(guò)要求
5. 1. 4 升級(jí)與更新
5.1.4.1完整性校驗(yàn)
5. 1. 4. 1. 1檢測(cè)目的
5. 1.4. 1. 2 檢測(cè)流程
驗(yàn)查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端對(duì)更新源是否具有真實(shí)性校驗(yàn)措施,對(duì)安裝包及更新內(nèi)容(熱更 是否具有完整性校驗(yàn)措施
5. 1.4. 1. 3通過(guò)要求
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端在更新時(shí)應(yīng)進(jìn)行真實(shí)性和完整性校驗(yàn)。
5. 1.4. 2更新推送
5. 1. 4. 2. 1檢測(cè)目的
檢查是否采取有效措施保證移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端升級(jí)的時(shí)效性
5.1.4.2.2檢測(cè)流程
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端是否采取用戶(hù)授權(quán)后自動(dòng)升級(jí)、更新通知等手段,保證客戶(hù)端升級(jí) 的時(shí)效性。
5.1.4.2.3通過(guò)要求
JR/T02402021
應(yīng)至少采取一種安全機(jī)制,保證升級(jí)的時(shí)效性,例如用戶(hù)授權(quán)后自動(dòng)升級(jí)、更新通知等手段。
5. 1. 4. 3強(qiáng)制更新
5.1.4.3.1檢測(cè)且的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端在發(fā)生重大安全問(wèn)題需要升級(jí)時(shí),是否能夠采取強(qiáng)制授權(quán)升級(jí) 修復(fù)客戶(hù)端問(wèn)題。
5. 1.4. 3. 2檢測(cè)流程
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序服務(wù)端發(fā)起強(qiáng)制更新,并嘗試使用舊版本移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序客戶(hù)端訪問(wèn)應(yīng)用 系統(tǒng),檢查系統(tǒng)強(qiáng)制授權(quán)升級(jí)策略是否有效
5.1.4.3.3通過(guò)要求
當(dāng)因重大安全問(wèn)題需要升級(jí)時(shí),應(yīng)能夠強(qiáng)制用戶(hù)完成授權(quán)升級(jí)后才提供服務(wù)。
5. 2. 1鑒別方式
5. 2. 1. 1二次認(rèn)證
5. 2. 1. 1.1檢測(cè)目的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序初次認(rèn)證后,是否在資金類(lèi)交易、客戶(hù)信息修改等關(guān)鍵業(yè)務(wù)處增設(shè)二次認(rèn) 證的環(huán)節(jié),是否使用存放在移動(dòng)客戶(hù)端的信息進(jìn)行認(rèn)證。
5.2.1.1.2檢測(cè)流程
查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序夜次 易、客戶(hù)信息修改等關(guān)鍵業(yè)務(wù)處增設(shè) 的環(huán)節(jié),查看其認(rèn)證方式。嘗試替換移
5. 2. 1. 1. 3通過(guò)要求
5. 2. 1. 2用戶(hù)登記
5.2.1.2.1檢測(cè)且的
若首次采用第三方移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的認(rèn)證方式,檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否再次進(jìn)行用戶(hù)名 密碼登記并核驗(yàn)。
5. 2. 1. 2. 2 檢測(cè)流程
檢查送檢文檔中關(guān)于用戶(hù)登記的說(shuō)明,查看在哪些情況下移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序進(jìn)行用戶(hù)登記。 首次使用第三方移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序進(jìn)行認(rèn)證,檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否會(huì)再次進(jìn)行用戶(hù)名密 碼登記并核驗(yàn)
5. 2. 1. 2. 3通過(guò)要求
JR/T 02402021
若首次采用第三方移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序的認(rèn)證方式,行業(yè)機(jī)構(gòu)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序應(yīng)再次進(jìn)行用 戶(hù)名密碼登記并核驗(yàn)
5. 2. 1. 3登錄失敗處理
5. 2. 1. 3. 1檢測(cè)目的
互聯(lián)網(wǎng)應(yīng)用程序是否提供了登錄失敗處理機(jī)制
5. 2. 1. 3. 2 檢測(cè)流程
檢測(cè)流程如下: a)檢查開(kāi)發(fā)文檔中,移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否提供連續(xù)鑒別失敗處理機(jī)制; b)檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序在認(rèn)證用戶(hù)身份時(shí),是否具備認(rèn)證失敗處理機(jī)制
5.2.1.3.3通過(guò)要求
應(yīng)采取限定連續(xù)登錄失敗次數(shù)的措施,如設(shè)置登錄失敗次數(shù)上限、多次登錄失敗后的賬戶(hù)
5.2. 1.4登錄超時(shí)
5. 2. 1. 4. 1 檢測(cè)目的
5.2.1.4. 2檢測(cè)流程
檢測(cè)流程如下: a)檢查開(kāi)發(fā)文檔中,移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否提供登錄會(huì)話(huà)超時(shí)重鑒別機(jī)制。 b)檢查證券期貨業(yè)移動(dòng)互聯(lián) 行身份鑒別
5. 2. 1. 4. 3通過(guò)要求
5.2.2鑒別數(shù)據(jù)保護(hù)
5.2.2.1授權(quán)保護(hù)
5. 2. 2. 1. 1檢測(cè)目的
驗(yàn)查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否能夠未授權(quán)查閱或修改鑒別數(shù)據(jù)
查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否能夠未授權(quán)查閱或修改鑒別數(shù)據(jù)。
5. 2.2. 1.2檢測(cè)流程
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否存在查閱或修改鑒別數(shù)據(jù)的功能,檢查是否在查閱或修改鑒別數(shù)據(jù)時(shí) 需要進(jìn)行二次身份鑒別。
5. 2. 2. 1. 3通過(guò)要求
不應(yīng)未授權(quán)查閱或修改鑒別數(shù)據(jù)
5. 2. 2. 2用戶(hù)提醒
5. 2. 2. 2. 1 檢測(cè)目的
JR/T02402021
5.2.2.2.2檢測(cè)流程
5. 2. 2. 2. 3通過(guò)要求
5. 2. 2.3 身份綁定
5. 2. 2. 3. 1檢測(cè)目的
5.2.2.3.2檢測(cè)流程
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序身份認(rèn)證時(shí)(如用戶(hù)注冊(cè))綁定對(duì)象是否為用戶(hù)身份信息,檢查同 份信息是否可注冊(cè)多個(gè)用戶(hù)
5. 2. 2. 3. 3通過(guò)要求
時(shí)綁定對(duì)象應(yīng)為用戶(hù)身份信息,不局限于移動(dòng)絲
5. 2. 3密碼安全
5. 2. 3. 1存儲(chǔ)安全
5.2.3.1.1檢測(cè)且的
5. 2. 3. 1. 2 檢測(cè)流程
通過(guò)字段查詢(xún)等方式檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序是否將密碼明文保存在移動(dòng)終端的本地
閥門(mén)標(biāo)準(zhǔn)5.2.3.1.3通過(guò)要求
以任何形式明文保存在移動(dòng)終端的本地存儲(chǔ)上。
5. 2. 3. 2傳輸安全
5.2.3.2.1檢測(cè)且的
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序在通信過(guò)程中是否傳輸明文密碼信息
5. 2. 3. 2. 2 檢測(cè)流程
JR/T 02402021
檢查移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序在與服務(wù)器的通信過(guò)程中是否對(duì)密碼進(jìn)行加密處理暖通空調(diào)設(shè)計(jì)、計(jì)算,所采用的加密算法是 否符合國(guó)家密碼主管部門(mén)認(rèn)可的密碼算法
....- 檢測(cè)試驗(yàn) 安全標(biāo)準(zhǔn) 檢測(cè)標(biāo)準(zhǔn)
- 相關(guān)專(zhuān)題: 互聯(lián)網(wǎng)
相關(guān)下載
相關(guān)推薦
- DB11∕T3042-2024 雷電防護(hù)裝置日常維護(hù)規(guī)范
- DB15∕T3565-2024 電動(dòng)自行車(chē)消防安全管理規(guī)
- NB/T 10484-2021 水電工程建設(shè)征地移民安置
- NB/T 10798-2021 水電工程建設(shè)征地移民安置
- NB/T 10800-2021 水電工程建設(shè)征地移民安置
- GB/T 43861-2024 微波等離子體原子發(fā)射光
- NB/T 35013-2013 水電工程建設(shè)征地移民安置
- NB/T 35038-2014 水電工程建設(shè)征地移民安置
- 抽水蓄能電站設(shè)備檢修定額(試行)-C級(jí)檢修(2
- 抽水蓄能電站設(shè)備檢修預(yù)算編制規(guī)定與計(jì)算標(biāo)
快速入口
下載排行
- DB62∕T4905-2024 風(fēng)力發(fā)電機(jī)塔筒安
- 輸變電工程標(biāo)準(zhǔn)工藝應(yīng)用圖冊(cè)(2024年
- 西藏電力有限公司電網(wǎng)工程設(shè)備材料
- DB11∕T3042-2024 雷電防護(hù)裝置日常
- DB15∕T3565-2024 電動(dòng)自行車(chē)消防安
- NB/T 10484-2021 水電工程建設(shè)征地
- NB/T 10798-2021 水電工程建設(shè)征地
- NB/T 10800-2021 水電工程建設(shè)征地
- GB/T 43861-2024 微波等離子體原
- NB/T 35013-2013 水電工程建設(shè)征地