移动互联网应用程序安全监测指标及评价指南-全文及说明.docx

《移动互联网应用程序安全监测指标及评价指南-全文及说明.docx》由会员分享，可在线阅读，更多相关《移动互联网应用程序安全监测指标及评价指南-全文及说明.docx（26页珍藏版）》请在第一文库网上搜索。

1、ICS 35. 240. 01L 70团ClITA 403-2021移动互联网应用程序安全监测指标及评价指南Eva Iuat i on gu i de Ii nes of monitoring in mob iIe internet applicat ionsfor security（征求意见稿）2022-xx-xx 发布2022-xx-xx 实施中国信息产业商会发布刖 舌I1范围12规范性引用文件13术语和定义14缩略语25监测指标框架26指标说明37评价模型8附录A （资料性附录）监测指标安全受影响程度及权重表10附录B （资料性附录）数据采集方法14参考文献15Cl ITA 403202

2、1本文件按照GBl.l2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准委员会提出并归口。本文件起草单位：中国软件评测中心（工业和信息化部软件与集成电路促进中心）、北京智游网安科技有限公司、北京知道创宇信息技术股份有限公司、腾讯云计算（北京）有限责任公司、国家信息技术安全研究中心、北京医慧科技有限公司、中电科（北京）信息测评认证有限公司。本文件主要起草人：赵亮、桑戟南、徐鹏、孟晓、赵刚、陈勇和、赵威、张春芳、田伟、王雷雷、江海、杨令宜、何淑伟、黄江平、郭训平、马超。本文

3、件为20XX年第一次发布。移动互联网应用程序安全监测指标及评价指南1范围本标准规定了移动互联网应用程序包括APP、小程序、各类服务号等，进行安全监测时的指标框架、指标说明以及评价模型。本文件适用于移动互联网应用程序安全监测的设计、开发，并为移动互联网应用程序安全的评价提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GBf 25069信息安全技术术语GB 35273信息安全技术个人信息安全规范GB41391信息安全技术 移动互联网应用程序（APP）收集个人信息基本

4、要求3术语和定义下列术语和定义适用于本文件。GB/T 25069、GB/T 41391界定的术语和定义适用于本文件。3. 1移动互联网应用程序mobi Ie i nternet appl i cat ion在移动智能终端或互联网上提供服务的应用程序，包括APP、小程序、各类服务号等。来源：GB/T 41391-2022,3.1,有修改3.2安全监测 mon i tor i ng for secur i ty通过对APP、小程序、各类服务号等移动互联网应用程序的软件包、通讯、使用状况等信息在其运行过程中进行主动、持续、实时采集，以指标分析等方式对监测对象进行风险识别、威胁发现、安全事件实时告警及

5、可视化展示。3.3小程序 mini program基于应用程序开放接口实现的，用户无需安装即可使用的APP。3.4服务号 serv i ce account基于第三方信息服务平台的开放接口，在其客户端内独立地为企业实现业务服务和用户管理功能,无需安装即可使用的APP。3.5用户界面劫持攻击 user i nterface h i jack i ng attack对移动互联网应用程序的界面被恶意攻击者劫持，替换上仿冒的恶意界面进行攻击。Cl ITA 40320213.6联网环境 runtime envi ronment移动互联网应用程序运行时的基本运行条件。3.7无量名冈化 nond i men

6、s i ona I i zat i on将不同量纲的指标消除量纲影响的过程。3. 8监测指标 monitor ing indicator用于监控和评价移动互联网应用程序采用自动化手段进行安全监测时的状态综合指数。4缩略语下列缩略语适用于本文件。AHP：层次分析法(Analytical Hierarchy Process)API：应用程序编程接口(Application Programming Interface)APP：应用(Application)SDK：软件开发工具包(Software Development Kit)SSL：安全套接层(Secure Sockets Layer)TLS：传

7、输层安全协议(Transport Layer Security)5监测指标框架指标层级是为了满足移动互联网应用程序安全监测提出的评价Fl标，对评价内容和对象进行逐层分解得到的结构，指标层级为指标的有序性提供保证。移动互联网应用程序安全监测指标分为三个层级，其中一级指标和二级指标构成指标框架，三级指标为底层指标。当指标需要调整时，一级指标和二级指标相对固定，三级指标相对灵活。图1给出了移动互联网应用程序安全监测的指标框架。移动互联网应用程序安全监测指标框架抗抵赖数据窃取数据篡改数据残留风险数据传输安全数据存储安全内容安全框架安全逻辑安全代码安全组件安全基础安全图1移动互联网应用程序安全监测指标框

8、架一级指标从移动互联网应用程序所面临安全威胁的五个方面进行设计，包括程序安全、数据安全、密码算法及密钥管理、应用安全和通信安全。二级指标是对一级指标依据一定的准则进行分析和分解所得。程序安全指标下设基础安全、组件安全、代码安全、逻辑安全、框架安全和内容安全等指标；数据安全指标下设数据存储安全、数据传输安全、数据残留风险、数据篡改、抗抵赖等指标；密码算法及密钥管理下设密码算法、密钥安全等指标;应用安全下设应用场景安全、抗攻击能力等指标；通信安全下设联网环境安全、传输通道、API接口等指标。6指标说明6.1 程序安全指标6.1.1 基础安全基础安全监测是对支撑移动互联网应用程序运行时应具备的最基础

9、的安全情况进行监测，适用于小程序、各类服务号。基础安全监测包含操作系统高危漏洞、中间件漏洞、高危端口、用户输入、升级管理、后台管理登录限制和应用基本信息。 操作系统高危漏洞（ZB（）1）a）监测操作系统高危漏洞，包括：远程命令执行、未授权访问、拒绝服务、提权漏洞等。 中间件高危漏洞（ZB02）a）监测中间件高危漏洞，包括：远程命令执行、目录遍历、文件解析、未授权访问、注入类漏洞、配置信息泄露等。 高危端口 （ZBO3）a）监测Windows操作系统是否开放138、139、445、3389等高危端口；b）监测Linux操作系统是否开放监测服务端口，如：Memcached缓存端口、系统服务端口等高

10、危服务端口；c）监测数据库系统端口是否开放在互联网端，包括常见的数据库端口，如Mysql： 3306端口、DB2： 5000 端口、PostgreSQL： 5432 端口、SQL server： 1433 端口、Oracle： 1521 端口等。 用户输入（ZB04）a）监测应用是否限制用户输入类型，是否存在跨站脚本、注入类等漏洞；b）监测应用是否限制用户输入次数，是否具有会话令牌机制防止暴力破解；c）监测应用是否限制用户输入长度，是否存在缓存区溢出等漏洞；d）监测应用是否对用户输入的数据进行校验，是否存在跨站脚本、注入类等漏洞。 升级管理（ZB05）a）监测应用是否定期更新补丁；b）监测AP

11、P版本检查信息，包括Android、iOS相关文件中的版本字符串，摘取版本信息。c）监测各类小程序、订阅号更新推送时间，摘取应用版本变更信息。 后台管理登录限制（ZB06）a）监测是否限制后台管理登录IP,主要防范未授权访问、后台地址外泄等风险；b）监测是否采用双因子认证，主要防范单因素身份验证导致的安全；c）监测是否采用账户权限控制，主要防范越权、数据泄露等风险。 应用基本信息（ZB07）a）监测应用名称、包名、文件大小、版本、MD5、签名信息、加固厂商、SDK信息等，主要防范盗版应用、钓鱼、相似应用风险。6.1.2 组件安全组件安全监测是对移动互联网应用程序在开发过程中使用的组件进行监测。

12、组件安全（ZBO8）a）监测应用组件，主要防范组件中存在的信息泄露、权限滥用风险，同时根据最新披露组件漏洞库信息，监测是否存在组件漏洞攻击风险。6.1.3 代码安全代码安全监测是对移动互联网应用程序的源代码的安全情况进行监测。代码安全监测包含统一错误回显信息、恶意代码、代码安全性和程序漏洞。一一统一错误回显信息（ZB09）a）监测应用错误页面，主要防范敏感数据泄露风险。 恶意代码（ZB1O）a）监测应用是否存在恶意代码，主要防范木马、病毒、后门等风险；b）监测应用是否存在恶意程序，主要防范非授权获取用户信息等风险。 代码安全性（ZB11）a）监测应用包体、小程序源码是否采取安全保护措施，包括但

13、不限于加壳、混淆、程序签名校验、代码加密等。 程序漏洞（ZB12）a）监测应用中是否存在文件下载漏洞、应用篡改漏洞、权限绕过漏洞、注入类漏洞、广播信息泄漏漏洞、配置信息泄露漏洞、传输漏洞、接口漏洞等风险。6.1.4 逻辑安全逻辑安全监测是对移动互联网应用程序在业务流程、账户权限以及数据调用等逻辑设计上的安全逻辑漏洞进行监测。逻辑安全监测包含业务逻辑漏洞、用户权限和业务逻辑权限风险。一一业务逻辑漏洞（ZB13）a）监测应用是否对前端参数进行校验，是否对危险字符进行过滤，主要防范跨站漏洞、注入类漏洞等风险。用户权限（ZB14）a）监测应用是否对用户权限参数进行加密和校验，主要防范越权漏洞风险、用户

14、遍历漏洞风险；b）监测应用是否遵循应用所声明的权限，主要防范权限滥用风险。业务逻辑权限风险（ZB15）a）监测应用是否遵循最小用户权限申请原则，主要防范过分收集个人隐私风险。6.1.5 框架安全框架安全监测是对移动互联网应用程序在开发过程中所使用的开发框架的安全进行监测。开发框架安全（ZB16）a）监测应用开发框架是否存心脏滴血漏洞、WordPress漏洞、Spring框架漏洞等高危漏洞。6. 1.6内容安全内容安全监测是对移动互联网应用程序在页面展示时对敏感内容是否过滤进行监测。敏感内容（ZB17）a）监测应用中是否敏感信息。6.2数据安全指标6. 2.1数据存储安全数据存储安全监测是对移动

15、互联网应用程序数据在存储过程中的安全进行监测。数据存储安全监测包括敏感数据存储安全、数据权限设置、日志数据安全和证书安全。 敏感数据存储安全（ZB18）a）监测应用中是否存在存储信息泄露风险。一一数据权限设置（ZB19）a）监测应用是否存在数据使用权限滥用、越权等风险。 日志数据安全（ZB2O）a）监测应用是否存在日志数据泄露，主要防范应用调试信息、运行日志信息等泄露风险。 证书安全（ZB21）a）监测应用是否存在证书信息泄露，主要防范中间人攻击、解密用户传输数据等风险。7. 2.2数据传输安全数据传输安全监测是对移动互联网应用程序数据在传输过程中的机密性、完整性和可用性进行监测。数据传输机密性（ZB22）a