T_ISC 0054-2024 组装式应用开发平台 第2部分：安全要求和测试方法.docxVIP

ICS35.240L60

团体标准

T/ISC0054—2024

组装式应用开发平台第2部分：安全要求和测试方法

ComposableApplicationsDevelopmentPlatform

PART2:SecurityRequirementsandTestingMethods

2024-9-3发布2024-10-3实施

中国互联网协会发布

I

T/ISC0054—2024

目次

目次 I

前言 III

1范围 4

2规范性引用文件 4

3术语、定义和缩略语TBD 4

3.1术语定义 4

3.1.1应用程序接口ApplicationProgrammingInterface 4

3.1.2会话Cookie 4

3.1.3Secure属性 4

3.1.4Domain属性 4

3.1.5Path属性 4

3.1.6HttpOnly 5

3.1.7Session 5

3.1.8Token 5

3.1.9敏感数据 5

3.2缩略语 5

4安全技术要求 5

4.1供应链安全 5

4.2代码安全 5

4.3认证安全 5

4.3.1身份鉴别 6

4.3.2登录策略 6

4.3.3数据审计 6

4.3.4认证权限 6

4.3.5错误锁定 6

4.3.6账号口令 6

4.4应用安全 7

4.4.1数据安全 7

4.4.2输入输出 7

4.4.3密码安全 7

4.5通信安全 7

4.5.1通信加密 7

4.5.2访问控制 7

4.6安全策略 8

5测试方法 8

5.1供应链安全 8

5.2代码安全 8

II

T/ISC0054—2024

5.3认证安全 8

5.3.1身份鉴别 8

5.3.2登录策略 8

5.3.3数据审计 9

5.3.4账号口令 9

5.4应用安全 9

5.4.1授权管理 9

5.4.2数据安全 9

5.4.3输入输出 10

5.4.4密码安全 10

5.5通信安全 10

5.5.1通信加密 10

5.5.2访问控制 10

5.6安全策略 11

III

T/ISC0054—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中国互联网协会提出并归口。

本文件起草单位：中国信息通信研究院、浪潮通用软件有限公司、金蝶软件（中国）有限公司、用友网络科技股份有限公司、北京致远互联软件股份有限公司、北京仁科互动网络技术有限公司、北京火山引擎科技有限公司、腾讯云计算（北京）有限责任公司、北京百度网讯科技有限公司、深圳市蓝凌软件股份有限公司、上海泛微网络科技股份有限公司、广东云徙智能科技有限公司、北京数势云创科技有限公司、南京数睿数据科技有限公司、金现代信息产业股份有限公司、云智慧（北京）科技有限公司、北京朗新天霁软件技术有限公司、北京微金时代科技有限公司、体坛传媒集团股份有限公司、上海易校信息科技有限公司、北京炎黄盈动科技发展有限责任公司、中国农业银行研发中心、中国工商银行软件开发中心。

本文件主要起草人：李玮、王景尧、吴荻、冯艺卓、曹海啸、郑伟波、孙立新、宫保金、李帆、彭璐、陈张伟、刘然、刘岩、王文友、魏俊华、刘志强、马戈、黄通、董洪辰、王星、王倩、潘征、张社丽、李楠、孙圭光、李晓明、谢玉鑫、王海虎、张飞禄、何裕涛、李玖伟、严琦东、赵娟、赖强、王飞。

4

T/ISC0054—2024

组装式应用开发平台第2部分：安全要求和测试方法

1范围

本文件规定了组装式应用开发平台的安全要求和测试方法。

本文件适用于组装式应用开发平台的开发者、提供商及专业测评机构开展安全测试工作，为提升组装式应用开发平台安全能力水平、强化测试能力、健全技术手段提供指引和依据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件