信息安全技术移动应用网络安全评价规范模板.docx
《信息安全技术移动应用网络安全评价规范模板.docx》由会员分享,可在线阅读,更多相关《信息安全技术移动应用网络安全评价规范模板.docx(7页珍藏版)》请在冰豆网上搜索。
信息安全技术移动应用网络安全评价规范模板
《信息安全技术移动应用网络安全评价规范》
编制说明
1工作简况
1.1任务来源
随着移动应用的快速发展,因我国尚未建立起有效、完备的移动应用安全检测评价体系,存在检测评价体系不统一、检测评价的内容不完备、检测评价流程待完善等安全问题。
故此,2015年7月国家信息技术安全研究中心开始着手制定《信息安全技术移动应用网络安全评价规范》标准,以此来规范移动应用网络安全评价要求、规范移动应用网络安全评价结果、提示各类移动应用存在的风险以及提供对移动应用进行网络安全评价的参考流程和方法。
1.2协作单位
《信息安全技术移动应用网络安全评价规范》标准任务下达后,国家信息技术安全研究中心立即与移动应用安全厂商和相关研究机构进行联系与沟通,最后确定由中国信息通信研究院泰尔实验室、北京洋浦伟业科技发展有限公司、深圳开源互联网安全技术有限公司等单位作为标准编制协作单位。
1.3主要工作过程
1.3.1成立编制组
2015年接到标编制任务后,立即组建标准编制组,开始标准草案的起草工作。
编制项目组主要成员:
李京春、李冰、万仁忠、王宏、李健、李蒙、纪崇廉、于园园、杨正军、董霁、阚志刚、胡波、刘一鸣、陈彪、万振华、夏天泽等;标准编制协作单位的高级技术人员共同参与标准的内容编制与研讨。
1.3.2制定工作计划
编制组首先制订了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料
该标准编制过程中,主要参考了:
●GB/T25069-2010信息安全技术术语
●GB/T18336-2015信息技术安全技术信息技术安全性评价准则
●GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南
●YD/T2407-2013移动智能终端安全能力技术要求
●OWASPMobileTOP10Risks
●NISTSP800-163
1.3.4确定编制内容
经编制组研究决定,以GB/T18336-2015信息技术安全技术信息技术安全性评价准则、NISTSP800-163为主要参考依据,完成《信息安全技术移动应用网络安全评价规范》标准的编制工作。
1.3.5编制工作简要过程
按照项目进度,编制组人员首先对所参阅的文献、标准等资料进行整理和阅读,编写标准编制提纲,并在对提纲进行修改完善的基础上,开始具体的编制工作。
2015年8月开始对已有相关法律法规、政策、标准等文件进行研究,总结国内外现有的移动应用安全检测评价规范及经验,并开始编写《信息安全技术移动应用网络安全评价规范》草案(第一版)。
2016年6月,在国家信息技术安全研究中心召开了组内讨论会议,会议上编制组成员对标准进行了讨论,提出了新的意见和建议,会后编制组成员讨论制定下一阶段工作计划,确定了标准框架、内容、组织形式,期间形成《信息安全技术移动应用网络安全评价规范》草案(第二版)。
2016年9月,在国家信息技术安全研究中心召开了专家评审会,会上征求了崔书昆、肖京华、上官晓丽、李嵩、刘蓓等专家的意见和建议后,对标准整体框架进行调整,明确了标准面向对象和范围,会后根据专家意见,由标准编制组编写形成《信息安全技术移动应用网络安全评价规范》草案(第三版)。
2017年2月,在国家信息技术安全研究中心召开了组内讨论会议,会上收集意见,根据意见,会后形成《信息安全技术移动应用网络安全评价规范》草案(第四版)。
2017年4月,在武汉参加了全国信息安全标准化技术委员2017年第一次会议周会议(WG5工作组),会上与会专家对标准名称、内容提供了意见参考,会后根据意见,组织协作单位进行讨论修改,完成《信息安全技术移动应用网络安全评价规范》征求意见稿。
1.3.6起草人及其工作
标准编制组具体由李京春、李冰、万仁忠、王宏、李健、李蒙、纪崇廉、于园园、杨正军、董霁、阚志刚、胡波、刘一鸣、陈彪、万振华、夏天泽组成。
李京春、李冰、万仁忠全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排以及标准审阅;王宏、杨正军主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;李健、万振华负责标准校准审核等工作;李蒙、刘一鸣主要负责标准编制过程中的各项技术支持和整体指导。
2标准主要内容
2.1编制原则
为了使本标准的内容从一开始就与国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T18336-2015信息技术安全技术信息技术安全性评价准则、GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。
目前,我国移动应用网络安全评价技术种类繁多,要制定出先进的国家标准,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准。
本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义,因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。
编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
2.2标准内容
2.2.1标准结构
本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分:
标准的结构和编写规则。
本标准主要结构包括如下内容:
1.范围
2.规范性引用文件
3.术语和定义
4.符合和缩略语
5.移动应用模型
6.移动应用安全评价要素
7.移动应用安全评价要求
8.安全评价
2.2.2主要内容
2.2.2.1范围、标准引用、术语定义和缩略语
该部分定义了本标准适应的范围,所引用的其他标准情况,及以何种方式引用。
术语和定义明确了该标准涉及的一些术语。
缩略语定义了该标准所涉及的缩略语。
在术语中明确了“移动应用”、“安全评价”、“敏感信息”等重要概念。
2.2.2.2移动应用模型
移动应用的架构由移动应用的客户端和移动应用的服务端组成,如图1所示。
图1 移动应用的基本架构
移动应用的基本架构
用户:
具有对移动应用进行操作行为的主体。
客户端:
指移动应用的客户端,为用户提供本地服务的程序。
服务端:
指移动应用的服务端,本标准规定的服务端仅包含为客户端提供针对性的服务程序。
边界:
指主体之间互联互通的界限,包括交互边界、网络边界、运行环境边界、系统边界等。
其中,移动应用的客户端架构如图2所示。
图2 移动应用的客户端架构
移动应用的客户端架构
移动应用的客户端主要由业务逻辑模块和安全模块构成:
业务逻辑模块:
完成移动应用每项业务特征过程的描述集合。
安全模块:
为移动应用涉及用户的账号、口令、个人信息等敏感数据提供加解密、为移动应用网络链接提供安全保障、存储用户个人密钥以及用户身份验证鉴权等功能的集合。
移动应用的客户端涉及到的外部实体包括用户、系统、服务端和其他移动应用,包含以下功能:
交互功能:
实现用户与移动应用进行交互操作的集合,包括数据显示、数据输入等。
接口功能:
提供给移动应用开发人员基于移动应用访问的一组程序的能力集合,其无需访问源代码,或理解内部工作机制的细节。
通信功能:
移动应用与服务端进行通信和服务所必须遵循的规则和约定的集合。
移动应用的服务端架构如图3所示。
图3 移动应用的服务端架构
移动应用的服务端架构
移动应用的服务端主要由认证鉴权和业务逻辑构成:
认证鉴权:
对移动应用与服务端的通信请求、答复进行鉴权行为的集合。
业务逻辑:
完成服务端每项业务特征过程的描述集合。
移动应用的服务端涉及到的外部实体包括移动应用和其他服务器,包含以下功能:
通信功能:
移动应用服务端与客户端、与其他服务器进行通信和服务所必须遵循的规则和约定的集合。
2.2.2.3移动应用安全评价要素
确定评价对象,确定安全评价基本要素保密性、完整性、可用性、可控性和不可否认性,确定安全评价要求内容,如表1,其中关键项是支撑评价对象稳定运行的重要安全评价要求项。
表1 安全评价要求
评价对象
安全评价要求项
关键项示例
客户端业务逻辑模块
源代码安全
√
代码数据安全
运行状态安全
客户端安全模块
运行环境安全
算法安全
√
客户端交互功能
组件安全
日志数据安全
存储数据安全
√
客户端接口功能
权限安全
√
第三方库安全
客户端通信功能
通信协议安全
√
通信数据安全
服务端认证鉴权
身份认证安全
√
口令安全
访问权限安全
认证因子安全
服务端业务逻辑
会话管理安全
√
提示信息安全
服务端通信功能
通信协议安全
√
通信数据安全
表中关键项示例,仅用于表示在某个安全评价任务下,评价主体所自行选定的关键评价项,每项评价对象至少有一项安全评价要求项为关键项。
2.2.2.4移动应用安全评价要求
针对评价对象,结合安全评价基本要素规范移动应用安全评价具体内容。
2.2.2.5安全评价
安全评价主要由评价流程和评价结果构成,评价流程规定了安全评价的具体测试流程,评价结果规定了针对评价对象测试结果的定性分析。
2.3编制的背景和意义
本标准的制定旨在联合国内多家具有安全检测评价经验的信息安全测评机构以及移动应用产品开发厂商,结合国内移动应用信息安全需求,以检测评价移动应用产品的安全性与可控性为重点,制定移动应用安全检测评价规范,明确国内外接受检测评价的移动应用产品的检测评价范围、检测评价流程及检测评价方法,设计科学合理的检测评价模型,规范并推动移动应用安全检测评价事宜,维护国家安全与公众利益。
2.4编制的目的
通过对本标准的研究制定,规范移动应用安全测试工作,并为移动应用安全厂商、第三方评价机构等单位提供开发、测试参考依据。
3国内外标准对比情况
无相关国家、国际标准
4与有关的现行法律、法规和强制性国家标准的关系
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突。
5重大分歧意见的处理经过和依据
本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位国家信息技术安全研究中心召开参编单位调协会解决。
如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改。
6标准作为强制性或推荐性标准的建议
建议将本标准作为国家标准在全国推荐性实施。
7贯彻标准的要求和措施建议
本标准可以配合移动应用网络安全管理、开发、测试评价和审核发布,为国内移动应用厂商以及第三方评价机构开展移动应用网络安全评价工作提供参考依据,规范移动应用网络安全评价方法流程。
标准编制组
2017年5月