TGZBD 11-2023 移动应用程序（App）安全规范

ICS35.020CCSL67团 体 标 准T/GZBD11-2023移动应用程序（App）安全规范Specificationformobileapplicationsecurity2023-08-01发布 2023-09-01实施贵州省大数据发展促进会 发布T/GZBD11T/GZBD11—2023PAGE\*ROMANPAGE\*ROMANII目 次前言 II范围 1规范性引用文件 1术语和定义 1缩略语 2基本要求 3搜集个人信息 3App权限 3用户权利 3需求分析阶段安全 3App分类 3安全需求 3设计阶段安全 4安全定级 4安全体系架构 4开发阶段安全 4第一级系统 4第二级系统 4第三级系统 4接口对接 5第三方接入 5交付阶段安全 5基本安全 5安装及卸载 5运维阶段安全 5废弃阶段安全 5参考文献 6前 言GB/T1.1-20201请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由贵州大学提出。本文件由贵州省大数据发展促进会归口。（公共大数据国家重点实验室（人工智能与区块链研究院本文件主要起草人：陈玉玲、李少波、秦永彬、贾文生、李进、韩耀明、谭超月、张旭、杨义先、罗运、龙洋洋、彭长根、胡建文、董森、李涛、豆慧、张邦梅、丁会敏、吴越、杨国栋。T/GZBD11T/GZBD11—2023１１移动应用程序（App）安全规范范围本文件适用于移动应用程序安全的研发、测试和评估。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文必不可少的条款。其中，注日期的引用文件，（包括所有的修改单适用于本文件。GB/T22240信息安全技术网络安全等级保护定级指南GB/T25058信息安全技术网络安全等级保护实施指南GB/T25069信息安全技术术语GB/T25070-2019信息安全技术 网络安全等级保护安全设计技术要求GB/T30998-2014信息技术 软件安全保障规范GB/T34975-2017信息安全技术 移动智能终端应用软件安全技术要求和测评评价方法GB/T35273 信息安全技术 个人信息安全规范GB/T37729-2019信息技术智能移动终端应用软件(APP)技术要求GB/T38674-2020信息安全技术 应用软件安全编程指南GB/T41391-2022信息安全技术 移动互联网应用程序(App)收集个人信息基本要求术语和定义GB/T25069、GB/T35273和GB/T34975-2017界定的以及下列术语和定义适用于本文件。移动终端 mobiledevice在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。[来源：GB/T38674-2020，3.10]移动应用程序 mobileapplication通过移动终端为用户提供服务的应用程序。注：简称App。移动应用程序客户端 mobileapplicationclient运行在移动终端上，为用户提供服务的客户端程序。敏感数据 sensitivedataT/GZBD11T/GZBD11—2023２２必须受保护的，其泄露、修改、破坏或丢失会对人或事产生可预知的损害的信息。[来源：GB/T38674-2020，3.1.9]系统权限 systemauthority移动智能终端操作系统向移动应用程序开放的，对移动终端资源的访问许可。网络安全 cybersecurity通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。[来源：GB/T22239-2019，3.1]定级系统 classifiedsystem已确定安全保护等级的系统。定级系统安全保护环境 securityenvironmentofclassifiedsystem由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。安全计算环境securitycomputingenvironment对定级系统的信息进行存储、处理及实施安全策略的相关部件。注：安全计算环境按照保护能力划分为第一级至第五级安全计算环境。[来源：GB/T34990-2017，3.9]安全区域边界securityareaboundary对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。[来源：GB/T34990-2017，3.10]移动应用数据采集 mobileApplicationdatacollection移动应用程序运行期间对相关数据的收集。应急响应 emergencyresponse移动应用程序对突发状况采取的响应措施。缩略语下列缩略语适用于本文件。API：应用程序编程接口（ApplicationProgrammingInterface）CSP：内容安全策略（ContentSecurityPolicy）HSTS：HTTP严格传输安全协议（HTTPStrictTransportSecurity）HTML：超文本标记语言（HyperTextMarkupLanguage）HTTP：超文本传输协议（HyperTextTransferProtocol）SQL：结构化查询语言（StructuredQueryLanguage）T/GZBD11T/GZBD11—2023３３SSL：安全套接层（SecureSocketsLayer）VPN：虚拟专用网络（VirtualPrivateNetwork）基本要求搜集个人信息按GB/T41391-2022中6的规定执行。App在用户未授权情况下，APP不应：读写用户短信、联系人等隐私数据；收集或上报用户设备、系统及应用程序信息；修改系统配置等资源文件；修改其他应用程序的权限、数据等；通过使用数据融合分析等手段获取用户个人信息；采取诱导，欺骗等行为使用户泄露个人信息；通过预留系统陷门违规更改系统资源文件；使用相关技术手段获取其它应用程序信息，包括用户密码，用户使用记录等。注：相关技术手段包括硬盘扫描、前端侦听等。用户权利用户在使用App时有以下权利：不得对个人信息查询、更正、删除、限制使用以及用户注销账号设置不合理的条件；应提供用户撤销同意、查询、更正、删除、限制使用个人信息以及注销账户的功能实现；c）接收到用户查询、更正、删除、限制使用请求时，应在合理时间和代价范围内予以响应；d）应在程序设计前进行安全需求调研，形成安全需求说明，并对安全需求进行评审；应严格按照安全需求说明书进行安全方案设计，并对设计方案进行评审；应建立版本管理和开发生命周期中程序的变更控制机制，确保App版本控制的安全性。需求分析阶段安全App根据保障App基本功能服务正常运行所必须的信息，App分类表见表1。表1 App分类表种类分类依据一般App无须提供信息普通App要求提供个人敏感信息，如：个人财产、个人健康生理、个人生物识别、个人身份等信息特殊App涉及工作秘密、商业秘密、敏感信息安全需求T/GZBD11T/GZBD11—2023４４应根据App的种类，提供相应的安全需求分析说明书。设计阶段安全安全定级按GB/T22240的规定，根据App安全需求分析说明书，App安全等级见表2。表2 App安全等级App安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人或其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第二级第三级安全体系架构设计App安全体系架构按GB/T25058的规定执行。对整个等级保护对象实施统一的安全技术管理。开发阶段安全第一级系统除满足GB/T38674-2020中6的规定外，还应满足以下要求：a）将前端代码和数据分隔；b）建立安全风险管理机制，及时对发现的安全风险进行处置；c）建立并遵循APP源代码保密管理制度；当采用外包方式进行App开发时，应与外包方签署保密协议与服务水平协议；当App/工具的新版本来提高产品的性能、安全性；考虑安全功能、安全措施或外部运行环境对应用、业务效率、性能的影响，或是否与业务相冲突，在发现有问题时，宜积极考虑其它规避、替代措施等。第二级系统除满足8.1的规定外，还应满足以下要求：a）启用HSTS、CSP；给cookie设置合适的SameSite；注：SameSite用于控制某个cookie能否作为第三方cookie，如SameSite=Strict时表示该cookie任何情况下都不能作为第三方cookie。在HTTP中加入X-FRAME-OPTIONS属性。注：该属性用于控制页面是否可被嵌入iframe中。第三级系统按GB/T25070-2019中8.3.1的规定执行。T/GZBD11T/GZBD11—2023５５接口对接除满足GB/T37729-2019中的规定外，还应满足以下要求：根据接口连接特点与业务特色，制定专门的安全技术实施策略，保证接口的数据传输和数据处理的安全性；系统应在接入点的网络边界实施接口安全控制。第三方接入按GB/T41391-2022中6.6的规定执行。交付阶段安全基本安全App交付时，应满足以下要求：a）采用专业的移动应用安全检测工具进行检测，并在上线前及时修复已发现的安全漏洞；b）提供验证所交付App完整性必须的安全措施，减少交付过程中的篡改风险；c）若采用外包方式进行设计和开发，上线前应确保第三方资源引入已通过充分的安全风险评估；d）建立App验收测试程序和相关标准，并在新建、升级和更新版本时进行验收测试；建立并遵循源代码审计规范，在上线前进行严格的源代码安全审计，并及时修复已发现的安全缺陷；建立移动应用发布的管理制度及审核机制，明确管理职责和发布流程，正式发布前应通过内部业务确认和技术审查；通过正规渠道进行App发布；进行发布档案管理，包括但不限于发布内容、发布时间、程序版本；通过移动应用平台对移动客户端程序的注册、发布、更新、终止全生命周期进行管理；提供安全维护指南等指导性文档，给出适当的风险提示和应急响应措施，明确部署环境的安全要求。安装及卸载按GB/T34975-2017中4.1.1的规定执行。运维阶段安全按GB/T30998-2014中7的规定执行。废弃阶段安全App废弃应满足以下要求：制定App废弃安全管理制度；在App在App停止运营后，对已发布的App进行下架处理。T/GZBD11T/GZBD11—2023６６参考文献[1]GB/T18336 信息技术安全评估准则[2]GB/T22239-2019 信息安全技术 网络安全等级保护基本要求[3]GB/T25070信息安全技术网络安全等级保护安全设计技术要求[4]GB/T28448信息安全技术网络安全等级保护测评要求[5]GB/T34977信息安