T_CIITA 403-2022 移动互联网应用程序安全监测指标及评价方法.docx

《T_CIITA 403-2022 移动互联网应用程序安全监测指标及评价方法.docx》由会员分享，可在线阅读，更多相关《T_CIITA 403-2022 移动互联网应用程序安全监测指标及评价方法.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、兔学兔标准下载CIITAICS35.240.01CCSL70团体标准T/CIITA403-2022移动互联网应用程序安全监测指标及评价方法Evaluationmethodofmonitoringinmobileinternetapplicationsforsecurity（）2022-12-28发布2022-1-1实施中国信息产业商会发布学标准兔兔下载学兔兔标准下载目次前言.I1范围.12规范性引用文件.13术语和定义.14缩略语.25监测指标框架.26指标项.37评价方法.9附录A（资料性）指标计算及安全评价示例.10附录B（资料性）数据采集方法.15参考文献.16I学标准兔兔下载学兔兔标准

2、下载前言本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准委员会提出并归口。本文件起草单位：中国软件评测中心（工业和信息化部软件与集成电路促进中心）、北京智游网安科技有限公司、北京知道创宇信息技术股份有限公司、腾讯云计算(北京)有限责任公司、国家信息技术安全研究中心、北京医慧科技有限公司、中电科（北京）信息测评认证有限公司、北京尊冠科技有限公司武汉分公司。本文件主要起草人：赵亮、桑戟南、徐鹏、孟晓、赵刚、陈勇和、赵威、张春芳、田伟、王雷雷、江海

3、、杨令宜、何淑伟、黄江平、张建祥、马超、郑良。II学标准兔兔下载学兔兔标准下载T/CIITA4032022移动互联网应用程序安全监测指标及评价方法1范围本文件规定了移动终端应用软件、小程序、各类服务号等移动互联网应用程序安全监测指标、指标说明以及评价准则。本文件适用于移动互联网应用程序的设计、开发和维护，也适用于监管部门对移动互联网应用程序的监督、管理和第三方评估活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273信息安全技

4、术个人信息安全规范GB/T41391信息安全技术移动互联网应用程序（APP）收集个人信息基本要求3术语和定义下列术语和定义适用于本文件。3.1移动终端应用软件mobileterminalapplicationsoftware在移动终端预置、下载安装的应用软件。注：简称APP。3.2小程序miniprogram基于应用程序开放接口实现的，用户无需安装即可使用的移动互联网应用程序。来源：GB/T41391-2022,3.33.3服务号serviceaccount基于第三方信息服务平台开放接口，在客户端内独立为企业实现业务服务和用户管理功能，无需安装即可使用的移动互联网应用程序。3.4移动互联网应用

5、程序mobileinternetapplication在移动智能终端或互联网上提供服务的移动终端应用软件、小程序、各类服务号等应用程序。来源：GB/T41391-2022,3.1,有修改3.5安全监测monitoringforsecurity1学兔兔标准下载T/CIITA403-2022通过对移动终端应用软件、小程序、服务号等移动互联网应用程序的软件包、通讯、使用状况等信息，在运行过程中主动、持续采集，以指标分析等方式对监测对象进行风险识别、威胁发现、安全事件告警及动态连续地数据分析展示。3.6监测指标monitoringindicator对移动互联网应用程序采用自动化手段进行安全监测时得出的

6、状态综合指数。3.7劫持攻击用户界面hijackingattacktouserinterface恶意攻击者对移动互联网应用程序界面进行劫持，替换上仿冒的恶意界面的攻击行为。3.8联网环境runtimeenvironment移动互联网应用程序运行时所使用的网络环境。4缩略语下列缩略语适用于本文件。API：应用程序编程接口（ApplicationProgrammingInterface）APP：应用软件（ApplicationSoftware）SDK：软件开发工具包（SoftwareDevelopmentKit）SSL：安全套接层（SecureSocketsLayer）TLS：传输层安全协议（Tr

7、ansportLayerSecurity）5监测指标框架移动互联网应用程序安全监测指标应分为三个层级，一级指标和二级指标构成指标框架，三级指标为底层指标。移动互联网应用程序安全监测指标见图1。2学兔兔标准下载T/CIITA4032022图1移动互联网应用程序安全监测指标一级指标根据移动互联网应用程序所面临的安全威胁确定，包括程序安全、数据安全、密码算法及密钥管理、应用安全和通信安全。二级指标按一级指标分析和分解所得。程序安全指标应包括基础安全、组件安全、代码安全、逻辑安全、框架安全和内容安全指标；数据安全指标应包括数据存储安全、数据传输安全、数据残留风险、数据篡改、抗抵赖指标；密码算法及密钥管

8、理指标应包括密码算法、密钥安全指标；应用安全指标应包括应用场景安全、抗攻击能力指标；通信安全指标应包括联网环境安全、传输通道、API指标。6指标项6.1程序安全指标6.1.1基础安全基础安全监测应对支撑移动互联网应用程序运行时具备的基础的安全情况进行监测，适用于小程序、各类服务号。基础安全监测应包括操作系统高危漏洞、中间件漏洞、高危端口、用户输入、升级管理、后台管理登录限制和应用基本信息。操作系统高危漏洞监测操作系统高危漏洞，包括：远程命令执行、未授权访问、拒绝服务、提权漏洞等。中间件高危漏洞监测中间件高危漏洞，包括：远程命令执行、目录遍历、文件解析、未授权访问、注入类漏洞、配置信息泄露等。高

9、危端口a)监测操作系统是否开放高危端口，如：135、139、445、3389、Memcached缓存端口等；b)监测数据库系统端口是否开放在互联网端，常见的端口如：3306、5000、5432、1433、1521等。用户输入3学兔兔标准下载T/CIITA403-2022a)监测应用是否限制用户输入类型，是否存在跨站脚本、注入类等漏洞；b)监测应用是否限制用户输入次数，是否具有会话令牌机制防止暴力破解；c)监测应用是否限制用户输入长度，是否存在缓存区溢出等漏洞；d)监测应用是否对用户输入的数据进行校验，是否存在跨站脚本、注入类等漏洞。升级管理a)监测应用是否定期更新补丁；b)监测APP版本检查信

10、息，包括Android、iOS等相关文件中的版本字符串，摘取版本信息；c)监测小程序、服务号更新推送时间，摘取应用版本变更信息。后台管理登录限制a)监测是否限制后台管理登录网络地址，防范未授权访问、后台管理网络地址外泄等风险；b)监测是否采用双因子认证，防范单因素身份验证引起的身份鉴别风险；c)监测是否采用账户权限控制，防范越权、数据泄露等风险。应用基本信息监测应用名称、包名、文件大小、版本、应用特征值、签名信息、加固厂商、SDK信息等，主要防范盗版应用、钓鱼、相似应用风险。6.1.2组件安全组件安全监测应对移动互联网应用程序开发过程使用的组件进行监测。组件安全监测应用组件，防范组件中存在的信

11、息泄露、权限滥用风险，根据最新披露组件漏洞库信息，监测是否存在组件漏洞攻击风险。6.1.3代码安全代码安全监测应对移动互联网应用程序源代码安全情况进行监测。代码安全监测包含统一错误回显信息、恶意代码、代码安全性和程序漏洞。统一错误回显信息监测应用错误页面，防范敏感数据泄露风险。恶意代码a)监测应用是否存在恶意代码，防范木马、病毒、后门等风险；b)监测应用是否存在恶意程序，防范非授权获取用户信息等风险。代码安全性监测应用包体、小程序源码是否采取安全保护措施，包括加壳、混淆、程序签名校验、代码加密等。程序漏洞监测应用中是否存在文件下载漏洞、应用篡改漏洞、权限绕过漏洞、注入类漏洞、广播信息泄漏漏洞、

12、配置信息泄露漏洞、传输漏洞、接口漏洞等风险。6.1.4逻辑安全逻辑安全监测应对移动互联网应用程序在业务流程、账户权限以及数据调用等逻辑设计的安全逻辑漏洞进行监测。逻辑安全监测包含业务逻辑漏洞、用户权限和业务逻辑权限风险。业务逻辑漏洞监测应用是否对前端参数进行校验，是否对危险字符进行过滤，防范跨站漏洞、注入类漏洞等4学兔兔标准下载T/CIITA4032022风险。用户权限a)监测应用是否对用户权限参数进行加密和校验，防范越权漏洞风险、用户遍历漏洞风险；b)监测应用是否遵循应用声明的权限，防范权限滥用风险。业务逻辑权限风险监测应用是否遵循最小用户权限申请原则，防范过分收集个人隐私风险。6.1.5框

13、架安全框架安全监测应对移动互联网应用程序开发过程所使用的开发框架的安全进行监测。开发框架安全监测应用开发框架是否存在心脏滴血漏洞、WordPress漏洞、Spring框架漏洞等高危漏洞。6.1.6内容安全内容安全监测应对移动互联网应用程序页面展示时对敏感内容是否过滤进行监测。敏感内容监测应用中是否包含敏感信息。6.2数据安全指标6.2.1数据存储安全数据存储安全监测应对移动互联网应用程序数据在存储过程中的安全进行监测。数据存储安全监测包括敏感数据存储安全、数据权限设置、日志数据安全和证书安全。敏感数据存储安全监测应用中是否存在存储信息泄露风险。数据权限设置监测应用是否存在数据使用权限滥用、越权

14、等风险。日志数据安全a)监测应用是否存在日志数据泄露，防范应用调试信息、运行日志信息等泄露风险；b)监测应用是否具有权限访问控制。证书安全监测应用是否存在客户端证书信息泄露，防范中间人攻击、解密用户传输数据等风险。6.2.2数据传输安全数据传输安全监测应对移动互联网应用程序数据在传输过程中的机密性、完整性和可用性进行监测。数据传输机密性a)监测应用数据传输是否采用加密协议进行传输，防范数据窃取和篡改风险；b)监测应用是否存在发送广播信息泄漏漏洞，防范敏感信息泄露风险。数据传输完整性监测应用是否采用哈希算法保证数据传输完整性，防范数据篡改、隐私泄露等风险。数据传输可用性监测应用是否采用SSL/T

15、LS协议保证数据可用性，防范数据篡改等风险。6.2.3数据残留风险5学兔兔标准下载T/CIITA403-2022数据残留风险监测应对移动互联网应用程序在测试或运行过程中残留的敏感数据进行监测。数据残留风险监测包含测试信息泄露风险和用户残留账户信息风险。测试信息泄露风险监测应用是否存在内网URL、测试账号信息等测试信息，防范数据泄露风险。用户残留账户信息风险a)监测应用是否存在测试账号残留信息，防范测试所用的网络地址、测试账号、测试信息外泄风险；b)监测应用是否存在残留的账号、密码、手机号码、电子邮件地址等敏感信息，防范敏感信息泄露风险。6.2.4数据防篡改数据防篡改监测应对移动互联网应用程序和

16、通讯报文篡改的安全进行监测。数据防篡改监测包含应用和数据完整性、签名算法安全。应用和数据完整性监测应用是否采用哈希算法或数字签名保证移动互联网应用程序和通讯报文的完整性，防范数据篡改、隐私泄露等风险。签名算法安全监测应用是否使用了不安全的签名算法，防范钓鱼、盗版应用、相似应用等风险。6.2.5数据防窃取数据防窃取监测应对移动互联网应用程序数据被窃取的安全风险进行监测。数据防窃取监测包含SQL注入风险、剪切板敏感信息泄露风险、输入安全和身份鉴别防截屏或录屏。SQL注入风险监测应用是否存在SQL注入漏洞，防范敏感数据泄露风险。剪切板敏感信息泄露风险监测应用是否存在剪切板敏感信息泄露风险。输入安全（

17、ZB31）监测应用在敏感数据输入时是否使用不安全的系统软键盘，防范敏感信息泄露风险。身份鉴别防截屏或录屏（ZB32）监测应用界面是否在身份鉴别过程提供输入手势验证码、登录口令等被防截屏、录屏措施。6.2.6抗抵赖抗抵赖监测应对移动互联网应用程序的中间人攻击风险进行监测。抗抵赖监测包含数字证书和数字签名的使用。数字证书a)监测应用是否具备数字证书；b)监测应用客户端和服务端证书的有效性和发布正确性。数字签名监测应用是否具备数字签名。6.3密码算法及密钥管理指标6学兔兔标准下载T/CIITA40320226.3.1密码算法密码算法监测应对移动互联网应用程序密码算法使用的安全进行监测。密码算法安全监

18、测应用是否使用不安全版本密码算法。国密算法监测应用是否使用国密算法。6.3.2密钥安全密钥安全监测应对移动互联网应用程序使用的密钥生存周期安全进行监测。密钥安全监测包含密钥硬编码风险。密钥硬编码风险监测应用是否存在密钥硬编码风险。6.4应用安全指标6.4.1应用场景安全应用场景安全监测应对移动互联网应用程序在不同应用场景下的安全进行监测。应用场景安全监测包含系统软键盘使用风险、非法程序使用、欺诈行为和仿冒应用风险。系统软键盘使用风险监测应用在敏感数据输入时是否使用不安全的系统软键盘。非法程序使用监测应用中是否存在非授权使用用户信息和终端资源的情况。欺诈行为监测应用是否通过隐蔽执行、欺骗用户点击

19、等手段，订购收费业务或支付费用，导致用户经济损失。仿冒应用风险监测是否存在仿冒应用。隐私合规性按GB/T35273、GB/T41391的规定，对应用收集用户隐私行为、敏感权限使用、第三方SDK行为和权限进行监测。6.4.2抗攻击能力抗攻击能力监测应对移动互联网应用程序在静态、动态攻击下的安全防护能力进行监测。抗攻击能力监测包含拒绝服务攻击、应用程序安全、截屏攻击、用户界面劫持攻击、防动态调试、反编译、内存保护和账户登录保护。拒绝服务攻击监测应用是否具备抗拒绝服务攻击能力。应用程序安全监测应用中是否存在资源代码文件泄露、键盘使用风险、强制下载、强行推送、信息窃取、远程控制、非法运营、恶意诱导、欺

20、诈行为等高危风险。截屏攻击监测应用界面是否被允许录屏或者截图。用户界面劫持攻击7学兔兔标准下载T/CIITA403-2022监测应用界面是否存在被劫持的风险。防动态调试监测应用是否存在被各类动态攻击工具实施调试攻击的风险。反编译通过监测应用代码源文件的加固、混淆程度，确认移动应用程序有否被反编译的风险。内存保护监测应用是否有内存保护机制，防范应用在内存中被恶意篡改的风险。账户登录保护a)监测应用账户密码长度和复杂度是否符合行业监管要求；b)监测应用是否提供登录失败策略；c)监测应用是否采用防暴力破解登录策略。6.5通信安全指标6.5.1联网环境安全联网环境安全监测应对移动互联网应用程序运行使用

21、的网络环境安全进行监测。联网环境安全监测包含代理服务器联网安全、访问境外服务器风险、网络地址和通信协议安全。代理服务器联网安全监测应用是否使用代理服务器联网。访问境外服务器风险监测应用是否存在访问境外服务器的风险。网络地址监测应用是否对网络地址进行硬编码。通信协议安全监测应用是否采用安全的通信协议。6.5.2传输通道传输通道监测应对移动互联网应用程序传输通道的安全防护能力进行监测。传输通道监测包含传输通道加密和传输协议风险。传输通道加密监测应用数据传输过程中是否采用密码技术对传输通道加密。传输通道风险监测a)监测应用是否采用安全传输通道协议；b)监测应用采用协议版本是否为安全稳定版本。6.5.

22、3APIAPI监测应对移动互联网应用程序API的安全防护能力进行监测。API监测包含接口传输安全、接口参数安全和接口调用安全。接口传输安全监测应用API是否采用密码技术进行加密传输。接口参数安全a)监测应用是否对API传入的参数进行校验，防范跨站、注入类等风险；a)监测应用是否对API的参数的类型、长度、格式等进行限制。8学兔兔标准下载T/CIITA4032022接口调用安全a)监测应用是否对API的权限进行限制；b)监测应用是否存在权限绕过调用风险。7评价方法7.1指标权重和指标项指标权重与对移动互联网应用程序安全受影响程度相关，受影响程度越高，指标权重值越大，可采用层次分析法对指标权重进行

23、取值，在附录A.1中给出了指标权重取值示例。指标项所占分值主要依据行业监管要求分配，因不同行业监管要求不同，对于监测指标要求也不同，如：指标项可分为必选或可选，在必选情况下，指标项所占分值均可取100分（满分），在可选情况下，指标项所占分值可小于100分。7.2指标计算7.2.1上级指标值计算在第5章中给出了移动互联网应用程序安全监测指标的三个层级，可采用自底向上的方式计算上级指标值。三级指标值与指标项分值和指标符合程度相关。在实际应用中，可选择不同的计算公式对该级指标值进行计算。在附录A.2的公式（2）给出了一种计算公式示例。指标项符合程度可按附录B的方式对相关数据进行采集后进行判定。二级指

24、标值与其对应的三级指标值和指标权重相关。在实际应用中，可选择不同的计算公式对该级指标值进行计算。在附录A.2的公式（1）中给出了一种计算公式示例。一级指标值是对应二级指标值的统计计算的结果，计算方式可采用数值求和方法或其它统计计算方法示例。7.2.2综合评分计算方法综合评分是对一级指标的统计计算和相关数据处理后的结果，计算方式可采用数值求和方法或其它统计计算方法，在附录A.2的公式（3）中给出了一种计算方法示例。7.3安全状态评价移动互联网应用程序安全状态是根据综合评分得到的安全等级描述，安全等级的划分可根据行业监管要求、运维要求来规定。在附录A.3中给出了安全状态等级的示例。9一级指标二级指

25、标三级指标（编号）权重影响程度说明程序安全指标基础安全操作系统高危漏洞监测（ZB11）1.5高漏洞被利用后可非法获取用户高级别权限，窃取用户敏感信息，影响程度较大中间件高危漏洞监测（ZB12）1.5高漏洞被利用后会导致应用信息敏感信息泄漏，影响程度较大高危端口监测（ZB13）1.5高高危端口的存在大大提升了被攻击的可能性，影响程度较大用户输入监测（ZB14）1.0中用户输入不做限制可能会导致注入类漏洞、跨站类漏洞的出现，影响程度一般升级管理监测（ZB15）0.5低对已知漏洞的修补，通常情况下风险可控，影响程度较低后台管理登录限制监测（ZB16）1.0中通常后台地址处于内网，影响程度一般应用基本

26、信息监测（ZB17）0.5低应用基本信息泄漏，不包含用户敏感信息，影响程度较低组件安全组件安全监测（ZB21）1.0中组件使用过程中有安全控制措施，组件导致的信息泄露影响程度一般代码安全统一错误回显信息监测（ZB31）1.0中回显信息暴露系统基础信息，影响程度一般恶意代码监测（ZB32）1.5高具有强目的性的攻击行为，影响程度较大代码安全性监测（ZB33）1.5高代码编写的不规范性，以及安全保护措施不到位，隐蔽性高，影响程度较大兔兔学标准下载T/CIITA403-2022附录A（资料性）指标计算及安全评价示例A.1指标权重取值表A.1监测指标安全受影响程度及权重表给出了指标权重的参考值，可根据

27、行业监管要求和实际应用进行调整。表A.1监测指标安全受影响程度及权重表10一级指标二级指标三级指标（编号）权重影响程度说明程序安全指标（续）逻辑安全业务逻辑漏洞监测（ZB41）1.0中可能发生越权绕过业务逻辑，影响程度一般用户权限监测（ZB42）1.5高存在未授权访问的情况，会导致敏感数据泄漏，影响程度较大业务逻辑权限风险监测（ZB43）1.5高存在未授权访问的情况，会导致敏感数据泄漏，影响程度较大框架安全开发框架安全监测（ZB51）1.5高使用存在高危漏洞的框架进行应用开发，会导致敏感数据泄露，影响程度较大内容安全敏感内容监测（ZB61）0.5低内容违规但不影响业务应用，影响程度较低数据安全

28、指标数据存储安全敏感数据存储安全监测（ZB71）1.5高敏感数据泄漏后影响程度较大数据权限设置监测（ZB72）1.5高存在未授权访问的情况，会导致敏感数据泄漏，影响程度较大日志数据安全监测（ZB73）1.0中日志信息涉及底层业务逻辑，影响程度一般证书安全监测（ZB74）1.0中证书信息泄露后，服务端无法确认业务访问合法性，影响程度一般数据传输安全数据传输机密性监测（ZB81）1.5高数据在传输过程中存在被窃取的风险，影响程度较大数据传输完整性监测（ZB82）1.5高数据在传输过程中存在被篡改的风险，影响程度较大数据传输可用性监测（ZB83）1.5高数据在传输过程中需保障数据的真实可用，影响程度

29、较大数据残留风险测试信息泄露风险监测（ZB91）1.0中测试相关信息包含系统基础信息，影响程度一般用户残留账户信息风险监测（ZB92）1.5高导致敏感数据泄漏，影响程度较大数据防篡应用和数据完整性监测（ZB101）1.5高数据存在被篡改的安全，影响程度较大一级指标二级指标三级指标（编号）权重影响程度说明程序漏洞监测（ZB34）1.5高已发现的程序漏洞，可以引发数据泄露、越权等高危风险，影响程度较大兔兔学标准下载T/CIITA4032022表A.1（续）11一级指标二级指标三级指标（编号）权重影响程度说明数据安全指标（续）数据防窃取（续）输入安全监测（ZB113）1.0中仅与资金交易类业务应用的

30、功能安全需求有关联，影响程度一般身份鉴别防截屏或录屏监测（ZB114）1.0中窃取用户隐私，影响程度一般抗抵赖数字证书监测（ZB121）1.0中证书信息泄露后，服务端无法确认业务访问合法性，影响程度一般数字签名监测（ZB122）1.0中导致应用二次打包，影响程度一般密码算法及密钥管理指标密码算法密码算法安全监测（ZB131）1.5高使用不安全密码算法，导致敏感数据泄露，影响程度较大国密算法监测（ZB132）1.0中安全保障不必要条件，影响程度一般密钥安全密钥硬编码风险监测（ZB141）1.5高导致敏感数据泄漏，影响程度较大应用安全指标应用场景安全系统软键盘使用风险监测（ZB151）1.0中仅与

31、资金交易类业务应用的功能安全需求有关联，影响程度一般非法程序使用监测（ZB152）1.0中存在未授权用户的风险，影响程度一般欺诈行为监测（ZB153）1.5高与金融支付相关的非法操作行为，影响程度较大仿冒应用风险监测（ZB154）1.5高恶意行为误导，影响程度较大隐私合规性（ZB155）1.5高导致个人敏感信息被过度收集抗攻击能拒绝服务攻击监测（ZB161）1.5高导致正常业务请求中断，影响业务连续性，影响程度较大一级指标二级指标三级指标（编号）权重影响程度说明改签名算法安全监测（ZB102）1.0中存在算法被破解的风险，影响程度较大数据防窃取SQL注入风险监测（ZB111）1.5高导致大规模用户数据泄漏，影响程度较大剪切板敏感信息泄露风险监测（ZB112）1.5高导致敏感数据泄漏，影响程度较大兔学兔标准下载T/CIITA403-2022表A.1（续）12一级指标二级指标三级指标（编号）权重影响程度说明应用安全指标（续）抗攻击能力（续）内存保护监测（ZB167）1.5高导致敏感数据泄漏，影响程度较大账户登录保护监测（ZB168）1.5高导致用户账户信息泄露，影响程度较大通信安全指标联网环境安全代理服务器联网安全监测（ZB171）1.5高导致敏感信息泄露，影响程