收藏
下载资源

移动互联网相关标准

上传人:n**** 文档编号:118748489 上传时间:2019-12-24 格式:PDF 页数:45 大小:2.23MB
返回 下载 相关 举报
移动互联网相关标准_第1页
第1页 / 共45页
移动互联网相关标准_第2页
第2页 / 共45页
移动互联网相关标准_第3页
第3页 / 共45页
移动互联网相关标准_第4页
第4页 / 共45页
移动互联网相关标准_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《移动互联网相关标准》由会员分享,可在线阅读,更多相关《移动互联网相关标准(45页珍藏版)》请在金锄头文库上搜索。

1、移动互联网应用商店及移动互联网移动互联网应用商店及移动互联网 联网应用平台安全防护要求介绍联网应用平台安全防护要求介绍 中国通信企业协会 通信网络安全专业委员会专家组 许子先 2014年6月 移动互联网联网应用平台安全防护标准介绍 移动互联网应用安全案例分析 移动互联网应用商店安全防护标准介绍 应用商店安全防护案例分析 应用商店安全防护标准主要内容 应用商店安全防护标准编写背景 标准制定背景 p 2007年,为保证电信网络安全防护工作整体、规范、科学、有序地 开展,工业和信息化部开始组织制定“电信网和互联网安全防护” 系列标准,以加快推进电信网络安全防护工作。该系列标准将随着 网络和业务的发展

2、不断地扩充和完善,截止2013年已发布50项标准 。 p “移动互联网应用商店”如,中国移动商城、中国联通沃商店、中 国电信天翼工厂等,作为一种新移动业务提供流手段近两年逐步发 展壮大,为保证该类业务开发平台安全、规范的为用户提供服务, 应对该类业务开发平台的各个方面提出相应的安全要求及相关检测 要求,以指导运营企业有效开展安全防护工作。 移动互联网应用商店安全防护范围 本标准适用于移动互联网应用商店业务系统本标准适用于移动互联网应用商店业务系统 应用商店的安全包括应用软件安全、业务应用安全、网络层安全、主应用商店的安全包括应用软件安全、业务应用安全、网络层安全、主 机层安全、物理环境安全以及

3、管理安全。机层安全、物理环境安全以及管理安全。 应用软件安全应用软件安全是指应用商店中出售的软件商品的安全,主要软件行为是指应用商店中出售的软件商品的安全,主要软件行为 安全。安全。 应用系统安全应用系统安全是指应用商店业务应用系统在身份鉴别、访问控制、安是指应用商店业务应用系统在身份鉴别、访问控制、安 全审计、资源控制、信息保护方面的安全。全审计、资源控制、信息保护方面的安全。 网络层安全网络层安全是指网络拓扑结构安全及网络设备在身份鉴别、访问控制、是指网络拓扑结构安全及网络设备在身份鉴别、访问控制、 安全审计、入侵防范、软件容错、恶意代码防范、网络及安全设备防安全审计、入侵防范、软件容错、

4、恶意代码防范、网络及安全设备防 护方面的安全。护方面的安全。 主机层安全主机层安全是指主机、服务器操作系统在身份鉴别、访问控制、安全是指主机、服务器操作系统在身份鉴别、访问控制、安全 审计、入侵防范、恶意代码防范、资源控制方面的安全。审计、入侵防范、恶意代码防范、资源控制方面的安全。 物理层安全物理层安全是指应用商店物理环境方面的安全。是指应用商店物理环境方面的安全。 管理安全管理安全是指应用商店系统运营中安全管理方面的安全。是指应用商店系统运营中安全管理方面的安全。 应用商店安全防护案例分析 应用商店安全防护标准主要内容 应用商店安全防护标准编写背景 7 应用软件安全审核不严格: 上传具有恶

5、意代码的应用程序并通过审核上架发布。 移动互联网应用商店-安全防护案例 移动互联网应用商店-安全防护案例 应用系统存在安全漏洞: 应用商店系统存在安全漏洞,可非法获取管理员及用户隐私信息。 移动互联网应用商店-安全防护案例 应用系统存在安全漏洞: 应用商店系统存在安全漏洞,可入侵业务服务器远程控制系统。 10 移动互联网应用商店-安全防护案例 应用系统存在安全漏洞: 应用商店系统存在安全漏洞,可绕过鉴权直接下载、修改收费应用。 应用商店安全防护案例分析 应用商店安全防护标准主要内容 应用商店安全防护标准编写背景 12 移动互联网应用商店安全威胁 应用商店的主要功能是向移动互联网用户提供移动智能

6、终端应用软件,因此:应用商店的主要功能是向移动互联网用户提供移动智能终端应用软件,因此: 一方面,应用商店提供的应用软件也可能面临一定的安全威胁,如恶意一方面,应用商店提供的应用软件也可能面临一定的安全威胁,如恶意 吸费等;吸费等; 另外一方面,应用商店作为互联网业务系统在业务、网络主机、物理环另外一方面,应用商店作为互联网业务系统在业务、网络主机、物理环 境、管理等层面均面临安全威胁。境、管理等层面均面临安全威胁。 应用软件 应用软件中如 存在并传播非 法信息,将会 给社会安全带 来安全隐患; 应用软件如存 在恶意行为, 如恶意吸费、 窃取用户隐私 等,将会对用 户利益造成严 重威胁。 业务

7、应用 业务应用系统 中如存在逻辑、 代码缺陷,则 有可能被攻击 者利用,进而 入侵业务系统, 对用户、运营 者利益造成严 重威胁。 网络层 网络结构及配 置存在缺陷, 则有可能被恶 意攻击者利用, 进而对整个应 用商店系统的 网络进行控制, 甚至可造成网 络系统瘫痪, 对用户、运营 者利益带来严 重威胁。 主机层 主机系统如存 在配置缺陷、 系统漏洞等, 则有可能被恶 意攻击者利用, 进而对服务器 进行控制,对 主机资源进行 恶意下载、篡 改等,对用户、 运营者利益带 来严重威胁。 物理环境 机房、楼宇等 物理环境存在 安全隐患,将 对应用商店运 营造成严重安 全威胁。 管理 在对应用软件、

8、开发者、第三 方合作机构的 安全管理缺陷, 将会给用户、 开发者、运营 者以及商店运 营带来安全威 胁。 13 应用系统 安全 向用户提供 的相关业务 及应用在实 现技术、逻 辑、管理和 控制等方面 的安全要求, 主要包括业 务逻辑安全、 web安全、 对外能力开 放接口安全、 用户信息安 全防护等。 网络层安全 网络拓扑 结构安全 及网络设 备在身份 鉴别、访 问控制、 安全审计、 入侵防范、 软件容错、 恶意代码 防范、网 络及安全 设备防护 方面的安 全。 主机层安全 移动互联 网应用商 店系统的 主机、服 务器操作 系统在身 份鉴别、 访问控制、 安全审计、 入侵防范、 恶意代码 防范

9、、资 源控制方 面的安全。 物理环境 安全 移动互联 网应用商 店系统所 处的物理 环境在机 房位置、 电力供应、 防火、防 水、防静 电、温湿 度控制等 方面的安 全要求。 管理安全 管理制度、 人员和技 术支持能 力、运行 维护管理 能力、灾 难恢复预 案等方面 的安全要 求。 具体安全防护要求及检测要求请参见移动互联网应用商店安全防护要求 及移动互联网应用商店安全防护检测要求 移动互联网应用商店-安全防护及检测 应用软件 安全 移动互联 网应用商 店系统中 出售的软 件商品的 安全,主 要包括软 件行为安 全。 移动互联网应用商店定级 14 社会影响力I 规模和服务范围 R 建议赋值 2

10、 R2R2R3R3 1 1 2 2 3 3 4 4 建 议 赋 值 R1R1(月均)(月均)R4R4(月均)(月均)R5R5 R1:访问用户独立IP数、R2:注册用户数、R3:上线应用数、R4:应用下载量、R5:签约开发者数 50005000万万 1010万万 30003000万万 1000万万 不作要求不作要求 不作要求不作要求 1 1万万-5-5万万 55万万 移动互联网应用商店定级 15 服务的重要性 V 建议赋值: 移动互联网终端操作系统厂商自营的应用商店所提供 服务的重要性赋值为4; 移动运营商的应用商店所提供服务重要性赋值为3; 其他的应用商店所提供服务的重要性赋值为2。 移动互联

11、网应用商店-定级方法 在完成定级对象的在完成定级对象的社社会影响力会影响力I I、规模和规模和服务范服务范围围R R、所提供所提供服务服务 重重要要性性V V三个三个定级要定级要素素的的赋值后赋值后,需采需采用以用以下公式来下公式来计计算算定级对象的定级对象的 安全安全等等级级值:值: k = Round1Log2k = Round1Log22I+2I+2R+2R+2V2V 其其中,中,k k代代表表安全安全等等级级值值,I I代代表表社社会影响力赋值会影响力赋值、R R代代表规模和表规模和 服务范服务范围赋值围赋值、V V代代表所提供表所提供服务的服务的重重要要性赋值性赋值,Round1Ro

12、und1表示四表示四 舍五舍五入入处处理,保理,保留留1 1位小数位小数,Log2Log2表示取表示取以以2 2为为底底的对的对数数, 、 、 分分别别表示表示定级对象的社定级对象的社会影响力会影响力、规模和规模和服务范服务范围围、所提供所提供服务的服务的 重重要要性赋值所占性赋值所占的的权重权重,0 0,0 0,0 0,且且+ + + + =1=1。建议权建议权 重值重值、 、分分别为别为:0.40.4、0.40.4、0.20.2,或者或者1/31/3、1/31/3、1/31/3,各各应用应用 商店运营商店运营企企业业也可根据也可根据本本企企业业实际情况调节实际情况调节、 、三个权重值三个权

13、重值。 17 计算所得定级对象的安全等级值与安全等级的映射关系 如表: 安全等级值k安全等级 1 k 1.5第1级 1.5 k 2.5第2级 2.5 k 3.3第3.1级 3.3 k 4第3.2级 4 k 4.5第4级 4.5 k 5第5级 移动互联网应用商店-定级方法 应用软件安全-软件行为安全 18 2级安全要求2级安全要求 a)应用商店应在应用软件及数字内容上线前对其进行安全审核,以确保其不包含恶意代码、恶意行为等, 经过安全审核后才能进行上线处理、正式发布。 b)应用商店可提供用户数据同步功能,但应用商店同步的用户数据不应保存在位于我国境外的服务器上。 c)应用商店客户端应允许用户根据

14、需要对其自由安装、卸载。 d)应用商店可支持应用软件的移动代码签名机制,对应用软件检测审核后,经由可信第三方对应用软件进 行数字签名。移动终端在下载安装应用软件之前,对经过签名的应用软件进行签名验证,只有通过签名验证的 应用软件才能被认为是可信的,继而被安装到终端上。 e)应用商店应对已经上线的应用软件或数字内容进行拨测抽查,对对违规行为、可疑行为等进行相应的处 理。应用软件拨测可采用自动拨测与人工拨测相结合的方式: 自动拨测:利用自动拨测工具,通过关键字过滤、图像过滤、音视频等技术扫描应用软件是否含有非法内 容;网页打开有自动拨测、针对病毒有自动扫描。 人工拨测:主要利用手工方式审查应用软件

15、是否含有非法图片、视频或其他非法内容及恶意行为。 f)应用商店应要求开发者在提交应用软件时声明其调用的API,并对应用软件调用终端API的行为进行检测。 应用软件不应调用与其业务功能无关的API。 应用软件不应调用在其声明范围之外的API。 应用软件安全-软件行为安全 19 3.1级安全要求3.1级安全要求 应用软件在上线前或升级后应进行代码审计,形成报告, 并对审计出的问题进行代码升级完善; 应用软件应避免使用含有已公开漏洞的开源第三方应用 组件及代码。(漏洞库可参考CVE、CNVD等) 3.2级安全要求3.2级安全要求 同3.1级要求 业务系统安全-信息保护 20 2级安全要求2级安全要求 业务提供、控制与管理过程应保护用户隐私,不泄漏用户相关敏感信息; 应保护业务相关信息的安全,避免相关数据和页面被篡改和破坏; 应禁止不必要的内嵌网络服务,应禁止在用户端自动安装恶意软件和插件; 应对通信过程中的敏感信息字段进行加密; 应对敏感信息(如用户信息、订单信息、应用软件下载路径等)进行加密存储; 应对应用商店相关业务及应用的关键数据(如业务数据、系统配置数据、管理员操作维护记录、 用户信息、应用软件购买、下载信息等)应有必要的容灾备份; 应能对诈骗、虚假广告等信息建立处理机制,防止类似信

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号