T_GZBD 11-2023 移动应用程序（App）安全规范.docx

ICS 35.020 CCS L67 团 体 标 准 T/GZBD 11-2023 移动应用程序（App）安全规范 Specification for mobile application security 2023-08-01 发布 2023-09-01 实施 贵州省大数据发展促进会 发 布 T/GZBD 11—2023 目 次 前言 II 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 2 5 基本要求 3 5.1 搜集个人信息 3 5.2 App 权限 3 5.3 用户权利 3 6 需求分析阶段安全 3 6.1 App 分类 3 6.2 安全需求 3 7 设计阶段安全 4 7.1 安全定级 4 7.2 安全体系架构 4 8 开发阶段安全 4 8.1 第一级系统 4 8.2 第二级系统 4 8.3 第三级系统 4 8.4 接口对接 5 8.5 第三方接入 5 9 交付阶段安全 5 9.1 基本安全 5 9.2 安装及卸载 5 10 运维阶段安全 5 11 废弃阶段安全 5 参考文献 6 II 前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由贵州大学提出。 本文件由贵州省大数据发展促进会归口。 本文件起草单位：贵州大学（公共大数据国家重点实验室）、贵州数安汇大数据产业发展有限公司、 广州大学（人工智能与区块链研究院）、贵阳智游网安科技有限公司、贵州薪创科技有限公司、贵州省信息中心、贵州中云数据服务有限公司。 本文件主要起草人：陈玉玲、李少波、秦永彬、贾文生、李进、韩耀明、谭超月、张旭、杨义先、 罗运、龙洋洋、彭长根、胡建文、董森、李涛、豆慧、张邦梅、丁会敏、吴越、杨国栋。 T/GZBD 11—2023 移动应用程序（App）安全规范 1 范围 本文件规定了移动应用程序安全的术语和定义、缩略语、基本要求、需求分析阶段安全、设计阶段 安全、开发阶段安全、交付阶段安全、运维阶段安全、废弃阶段安全。 本文件适用于移动应用程序安全的研发、测试和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22240 信息安全技术 网络安全等级保护定级指南GB/T 25058 信息安全技术 网络安全等级保护实施指南GB/T 25069 信息安全技术 术语 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 30998-2014 信息技术 软件安全保障规范 GB/T 34975-2017 信息安全技术 移动智能终端应用软件安全技术要求和测评评价方法 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 37729-2019 信息技术智能移动终端应用软件(APP)技术要求 GB/T 38674-2020 信息安全技术 应用软件安全编程指南 GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求 3 术语和定义 GB/T 25069、GB/T 35273和GB/T 34975-2017界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile device 在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。 [来源：GB/T 38674-2020，3.10] 3.2 移动应用程序 mobile application 通过移动终端为用户提供服务的应用程序。 注：简称App。 3.3 移动应用程序客户端 mobile application client 运行在移动终端上，为用户提供服务的客户端程序。 3.4 敏感数据 sensitive data １ T/GZBD 11—2023 必须受保护的，其泄露、修改、破坏或丢失会对人或事产生可预知的损害的信息。 [来源：GB/T 38674-2020，3.1.9] 3.5 系统权限 system authority 移动智能终端操作系统向移动应用程序开放的，对移动终端资源的访问许可。 3.6 网络安全 cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 [来源：GB/T 22239-2019，3.1] 3.7 定级系统 classified system 已确定安全保护等级的系统。 3.8 定级系统安全保护环境 security environment of classified system 由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保 护的环境。 3.9 安全计算环境 security computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 注：安全计算环境按照保护能力划分为第一级至第五级安全计算环境。 [来源：GB/T 34990-2017，3.9] 3.10 安全区域边界 security area boundary 对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。 [来源：GB/T 34990-2017，3.10] 3.11 移动应用数据采集 mobile Application data collection 移动应用程序运行期间对相关数据的收集。 3.12 应急响应 emergency response 移动应用程序对突发状况采取的响应措施。 4 缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（Application Programming Interface） CSP：内容安全策略（Content Security Policy） HSTS：HTTP严格传输安全协议（HTTP Strict Transport Security） HTML：超文本标记语言（Hyper Text Markup Language） HTTP：超文本传输协议（Hyper Text Transfer Protocol） SQL：结构化查询语言（Structured Query Language） ２ T/GZBD 11—2023 SSL：安全套接层（Secure Sockets Layer） VPN：虚拟专用网络 （Virtual Private Network） 5 基本要求 5.1 搜集个人信息 按GB/T 41391-2022中6的规定执行。 5.2 App 权限 在用户未授权情况下，APP不应： a) 读写用户短信、联系人等隐私数据； b) 收集或上报用户设备、系统及应用程序信息； c) 修改系统配置等资源文件； d) 修改其他应用程序的权限、数据等； e) 通过使用数据融合分析等手段获取用户个人信息； f) 采取诱导，欺骗等行为使用户泄露个人信息； g) 通过预留系统陷门违规更改系统资源文件； h) 使用相关技术手段获取其它应用程序信息，包括用户密码，用户使用记录等。 注：相关技术手段包括硬盘扫描、前端侦听等。 5.3 用户权利 用户在使用App时有以下权利： a） 不得对个人信息查询、更正、删除、限制使用以及用户注销账号设置不合理的条件； b） 应提供用户撤销同意、查询、更正、删除、限制使用个人信息以及注销账户的功能实现； c）接收到用户查询、更正、删除、限制使用请求时，应在合理时间和代价范围内予以响应； d）应在程序设计前进行安全需求调研，形成安全需求说明，并对安全需求进行评审； e） 应严格按照安全需求说明书进行安全方案设计，并对设计方案进行评审； f） 应建立版本管理和开发生命周期中程序的变更控制机制，确保App版本控制的安全性。 6 需求分析阶段安全 6.1 App 分类 根据保障App基本功能服务正常运行所必须的信息，App分类表见表1。 表1 App分类表 种类 分类依据 一般App 无须提供信息 普通App 要求提供个人敏感信息，如：个人财产、个人健康生理、个人生物识别、个人身份等信息 特殊App 涉及工作秘密、商业秘密、敏感信息 6.2 安全需求 ３ T/GZBD 11—2023 应根据App的种类，提供相应的安全需求分析说明书。 7 设计阶段安全 7.1 安全定级 按GB/T 22240的规定，根据App安全需求分析说明书，App安全等级见表2。 表2 App安全等级 App安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人或其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第二级 第三级 7.2 安全体系架构 设计App安全体系架构按GB/T 25058的规定执行。对整个等级保护对象实施统一的安全技术管理。 8 开发阶段安全 8.1 第一级系统 除满足GB/T 38674-2020中6的规定外，还应满足以下要求： a）将前端代码和数据分隔； b）建立安全风险管理机制，及时对发现的安全风险进行处置； c）建立并遵循APP源代码保密管理制度； d） 当采用外包方式进行App开发时，应与外包方签署保密协议与服务水平协议； e） 当App设计和开发中需引入第三方资源，包括但不限于开发框架、组件，应建立并遵循外部资源 引入的安全风险管理制度； f） 在保证产品稳定性、可靠性的基础上，尽量考虑新技术、软件/工具的新版本来提高产品的性能、 安全性； g） 考虑安全功能、安全措施或外部运行环境对应用、业务效率、性能的影响，或是否与业务相冲 突，在发现有问题时，宜积极考虑其它规避、替代措施等。 8.2 第二级系统 除满足8.1的规定外，还应满足以下要求： a）启用HSTS、CSP； b） 给cookie设置合适的SameSite； 注：SameSite用于控制某个cookie能否作为第三方cookie，如SameSite=Strict时表示该cookie任何情况下都不能作为第三方cookie。 c） 在HTTP中加入X-FRAME-OPTIONS属性。 注：该属性用于控制页面是否可被嵌入iframe中。 8.3 第三级系统 按GB/T 25070-2019中8.3.1的规定执行。 ４ T/GZBD 11—2023 8.4 接口对接 除满足GB/T 37729-2019中4.7.1.7的规定外，还应满足以下要求： a） 根据接口连接特点与业务特色，制定专门的安全技术实施策略，保证接口的数据传输和数据处 理的安全性； b） 系统应在接入点的网络边界实施接口安全控制。 8.5 第三方接入 按GB/T 41391-2022中6.6的规定执行。 9 交付阶段安全 9.1 基本安全 App交付时，应满足以下要求： a）采用专业的移动应用安全检测工具进行检测，并在上线前及时修复已发现的安全漏洞； b）提供验证所交付App完整性必须的安全措施，减少交付过程中的篡改风险； c）若采用外包方式进行设计和开发，上线前应确保第三方资源引入已通过充分的安全风险评估； d）建立App验收测试程序和相关标准，并在新建、升级和更新版本时进行验收测试； e） 建立并遵循源代码审计规范，在上线前进行严格的源代码安全审计，并及时修复已发现的安全 缺陷； f） 建立移动应用发布的管理制度及审核机制，明确管理职责和发布流程，正式发布前应通过内部 业务确认和技术审查； g） 通过正规渠道进行App发布； h） 进行发布档案管理，包括但不限于发布内容、发布时间、程序版本； i） 通过移动应用平台对移动客户端程序的注册、发布、更新、终止全生命周期进行管理； j） 提供安全维护指南等指导性文档，给出适当的风险提示和应急响应措施，明确部署环境的安全 要求。 9.2 安装及卸载 按GB/T 34975-2017中4.1.1的规定执行。 10 运维阶段安全 按GB/T 30998-2014中7的规定执行。 11 废弃阶段安全 App废弃应满足以下要求： a） 制定App废弃安全管理制度； b） 在App停止运营前，明确告知用户，并停止收集和使用用户数据，且对已经保存的数据进行删除 或匿名化处理； c） 在App停止运营后，对已发布的App进行下架处理。 ５ T/GZBD 11—2023 参 考 文 献 [1] GB/T 18336 信息技术安全评估准则 [2] GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 [3] GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求 [4] GB/T 28448 信息安全技术 网络安全等级保护测评要求 [5] GB/T 34977 信息安全技术 移动智能终端数据存储安全技术要求与测试评价方法 [6] GB/T 34978 信息安全技术 移动智能终端个人信息保护技术要求 [7] GB/T 34990-2017 信息安全技术 信息系统安全管理平台技术要求和测试评价方法 [8] GB/T 35278 信息安全技术 移动终端安全保护技术要求 [9] GB/T 35281 信息安全技术 移动互联网应用服务器安全技术要求 [10] GB/T 36627 信息安全技术 网络安全等级保护测试评估技术指南[11]GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求 ６