移动应用软件发布安全指导翠月直通车系统V100.doc

Word可编辑 移动应用软件 发布平安指导 2022年8月21日 修订记录： 修订版本号 修订人 修订日期 修订描述 V 江山 .21 软件发布的平安指导 目 录 TOC \o 1-6 \h \z 1 范围 5 2 引用文件 5 3 术语和缩写 5 4 软件发布技术平安 6 平安功能 6 4.1.1 身份鉴别 6 鉴别方式 6 平安输入 7 敏感信息显示 7 鉴别失败 7 密码的设定与找回 8 4.1.2 访问控制 8 4.1.3 权限控制 8 4.1.4 逻辑平安设计 8 4.1.5 防暴力破解 9 4.1.6 会话平安 9 数据平安 10 4.2.1 数据获取 10 数据防窃取 10 数据防篡改 10 数据有效性 10 数据访问控制 11 4.2.2 数据传输 11 通信协议 11 数据必威体育官网网址性 11 数据完整性 12 数据真实性 12 4.2.3 数据存储 12 4.2.4 数据销毁 13 剩余信息保护 13 页面返回保护 13 4.2.5 密码算法及密钥管理 13 密码算法 13 密钥管理 14 5 软件发布软件平安 14 平安配置 14 组件平安 14 接口平安 15 可信程序 15 运行环境检测 15 抗攻击能力 15 6 软件发布管理平安 16 设计平安 16 开发平安 16 发布平安 17 维护平安 18  范围 本平安指导适用于翠月直通车系统的 端软件和PC端软件的软件发布。 引用文件 以下文件对于本文件的应用是必不可少的。但凡注日期的引用文件，仅所注 日期的版本适用于本文件。但凡不注日期的引用文件，其必威体育精装版版本(包括所有的 修改单)适用于本文件。 GB/T 22239-2022 信息系统平安等级保护根本要求? GB/T 18336-2022 信息技术平安评估准那么? GB/Z 28828-2021 公共及商用效劳信息系统个人信息保护指南? JR/T 0092-2021 中国金融移动支付客户端技术标准 移动互联网应用程序信息效劳管理规定(国家互联网信息办公室2022年6月28日发布)? 术语和缩写 术语 描述 移动互联网应用软件 安装于移动智能终端上，专门为某一应用目的编制的程序(APP)，简称移动应用软件 密钥 密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。在非对称密钥体系中，密钥又分为公钥和私钥 签名 数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明? 敏感信息 一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。影响基于移动应用软件平安的密码、密钥以及个人敏感数据等信息，密码包括但不限于登录密码、证书的PIN等，密钥包括但不限于用于确保通信平安、报文 完整性等的密钥，个人敏感数据包括但不限于证件号码、生物识别信息、 号、银行卡号等 软件发布技术平安 平安功能 身份鉴别 鉴别方式 一般要求: 按照自愿的原那么，在注册时对用户进行基于移动 号码等真实身份信息的鉴别; 对于用户鉴别信息修改等重要业务操作，移动应用软件应进行二次鉴权，防止用户身份被冒用。 增强要求: 移动应用软件登录应采用两种或两种以上的要素对用户身份进行鉴别;短信验证码不宜作为第二种身份鉴别方式; 当移动应用软件进入终端系统后台后，再次被唤醒切换到前台时，应采取措施对用户身份进行鉴别; 对于涉及敏感信息修改或转账、支付等重要业务，除密码认证以外，还应采用其他平安认证方式; 涉及敏感信息及重要业务操作，应用软件不宜通过第三方帐户，如微博、微信、支付宝等进行认证 。 平安输入 一般要求:? 移动应用软件应提供用户输入密码的即时防护功能，例如采取逐字符加密、 随机键位软键盘、防范键盘窃听技术、计算MAC校验码等措施。 增强要求: 移动应用软件应提供用户输入敏感信息，诸如身份证号、 号、邮箱、姓名等信息的即时防护功能。 敏感信息显示 一般要求: 移动应用软件的密码框应禁止明文显示密码，应使用同一特殊字符(例如* ?或?)代替; 除必须由用户确认的情况外，