移动互联网应用程序安全监测指标及评价指南-全文及说明.docx
《移动互联网应用程序安全监测指标及评价指南-全文及说明.docx》由会员分享,可在线阅读,更多相关《移动互联网应用程序安全监测指标及评价指南-全文及说明.docx(26页珍藏版)》请在第一文库网上搜索。
1、ICS 35. 240. 01L 70团ClITA 403-2021移动互联网应用程序安全监测指标及评价指南Eva Iuat i on gu i de Ii nes of monitoring in mob iIe internet applicat ionsfor security(征求意见稿)2022-xx-xx 发布2022-xx-xx 实施中国信息产业商会发布刖 舌I1范围12规范性引用文件13术语和定义14缩略语25监测指标框架26指标说明37评价模型8附录A (资料性附录)监测指标安全受影响程度及权重表10附录B (资料性附录)数据采集方法14参考文献15Cl ITA 403202
2、1本文件按照GBl.l2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准委员会提出并归口。本文件起草单位:中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京智游网安科技有限公司、北京知道创宇信息技术股份有限公司、腾讯云计算(北京)有限责任公司、国家信息技术安全研究中心、北京医慧科技有限公司、中电科(北京)信息测评认证有限公司。本文件主要起草人:赵亮、桑戟南、徐鹏、孟晓、赵刚、陈勇和、赵威、张春芳、田伟、王雷雷、江海、杨令宜、何淑伟、黄江平、郭训平、马超。本文
3、件为20XX年第一次发布。移动互联网应用程序安全监测指标及评价指南1范围本标准规定了移动互联网应用程序包括APP、小程序、各类服务号等,进行安全监测时的指标框架、指标说明以及评价模型。本文件适用于移动互联网应用程序安全监测的设计、开发,并为移动互联网应用程序安全的评价提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GBf 25069信息安全技术术语GB 35273信息安全技术个人信息安全规范GB41391信息安全技术 移动互联网应用程序(APP)收集个人信息基本
4、要求3术语和定义下列术语和定义适用于本文件。GB/T 25069、GB/T 41391界定的术语和定义适用于本文件。3. 1移动互联网应用程序mobi Ie i nternet appl i cat ion在移动智能终端或互联网上提供服务的应用程序,包括APP、小程序、各类服务号等。来源:GB/T 41391-2022,3.1,有修改3.2安全监测 mon i tor i ng for secur i ty通过对APP、小程序、各类服务号等移动互联网应用程序的软件包、通讯、使用状况等信息在其运行过程中进行主动、持续、实时采集,以指标分析等方式对监测对象进行风险识别、威胁发现、安全事件实时告警及
5、可视化展示。3.3小程序 mini program基于应用程序开放接口实现的,用户无需安装即可使用的APP。3.4服务号 serv i ce account基于第三方信息服务平台的开放接口,在其客户端内独立地为企业实现业务服务和用户管理功能,无需安装即可使用的APP。3.5用户界面劫持攻击 user i nterface h i jack i ng attack对移动互联网应用程序的界面被恶意攻击者劫持,替换上仿冒的恶意界面进行攻击。Cl ITA 40320213.6联网环境 runtime envi ronment移动互联网应用程序运行时的基本运行条件。3.7无量名冈化 nond i men
6、s i ona I i zat i on将不同量纲的指标消除量纲影响的过程。3. 8监测指标 monitor ing indicator用于监控和评价移动互联网应用程序采用自动化手段进行安全监测时的状态综合指数。4缩略语下列缩略语适用于本文件。AHP:层次分析法(Analytical Hierarchy Process)API:应用程序编程接口(Application Programming Interface)APP:应用(Application)SDK:软件开发工具包(Software Development Kit)SSL:安全套接层(Secure Sockets Layer)TLS:传
7、输层安全协议(Transport Layer Security)5监测指标框架指标层级是为了满足移动互联网应用程序安全监测提出的评价Fl标,对评价内容和对象进行逐层分解得到的结构,指标层级为指标的有序性提供保证。移动互联网应用程序安全监测指标分为三个层级,其中一级指标和二级指标构成指标框架,三级指标为底层指标。当指标需要调整时,一级指标和二级指标相对固定,三级指标相对灵活。图1给出了移动互联网应用程序安全监测的指标框架。移动互联网应用程序安全监测指标框架抗抵赖数据窃取数据篡改数据残留风险数据传输安全数据存储安全内容安全框架安全逻辑安全代码安全组件安全基础安全图1移动互联网应用程序安全监测指标框
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 移动 互联网 应用程序 安全 监测 指标 评价 指南 全文 说明