信息安全技術 移動應用網絡安全評價規(guī)范-編制說明

工作簡況任務來源隨著移動應用的快速發(fā)展，因我國尚未建立起有效、完備的移動應用安全檢測評價體系，存在檢測評價體系不統(tǒng)一、檢測評價的內容不完備、檢測評價流程待完善等安全問題。故此，2015年7月國家信息技術安全研究中心開始著手制定《信息安全技術移動應用網絡安全評價規(guī)范》標準,以此來規(guī)范移動應用網絡安全評價要求、規(guī)范移動應用網絡安全評價結果、提示各類移動應用存在的風險以及提供對移動應用進行網絡安全評價的參考流程和方法。協(xié)作單位《信息安全技術移動應用網絡安全評價規(guī)范》標準任務下達后，國家信息技術安全研究中心立即與移動應用安全廠商和相關研究機構進行聯系與溝通，最后確定由中國信息通信研究院泰爾實驗室、北京洋浦偉業(yè)科技發(fā)展有限公司、深圳開源互聯網安全技術有限公司等單位作為標準編制協(xié)作單位。主要工作過程成立編制組2015年接到標編制任務后，立即組建標準編制組，開始標準草案的起草工作。編制項目組主要成員：李京春、李冰、萬仁忠、王宏、李健、李蒙、紀崇廉、于園園、楊正軍、董霽、闞志剛、胡波、劉一鳴、陳彪、萬振華、夏天澤等；標準編制協(xié)作單位的高級技術人員共同參與標準的內容編制與研討。制定工作計劃編制組首先制訂了編制工作計劃，并確定了編制組人員例會安排以便及時溝通交流工作情況。參考資料該標準編制過程中，主要參考了：GB/T25069-2010信息安全技術術語GB/T18336-2015信息技術安全技術信息技術安全性評價準則GB/Z28828-2012信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南YD/T2407-2013移動智能終端安全能力技術要求OWASPMobileTOP10RisksNISTSP800-163確定編制內容經編制組研究決定，以GB/T18336-2015信息技術安全技術信息技術安全性評價準則、NISTSP800-163為主要參考依據，完成《信息安全技術移動應用網絡安全評價規(guī)范》標準的編制工作。編制工作簡要過程按照項目進度，編制組人員首先對所參閱的文獻、標準等資料進行整理和閱讀，編寫標準編制提綱，并在對提綱進行修改完善的基礎上，開始具體的編制工作。2015年8月開始對已有相關法律法規(guī)、政策、標準等文件進行研究，總結國內外現有的移動應用安全檢測評價規(guī)范及經驗，并開始編寫《信息安全技術移動應用網絡安全評價規(guī)范》草案（第一版）。2016年6月，在國家信息技術安全研究中心召開了組內討論會議，會議上編制組成員對標準進行了討論，提出了新的意見和建議，會后編制組成員討論制定下一階段工作計劃，確定了標準框架、內容、組織形式，期間形成《信息安全技術移動應用網絡安全評價規(guī)范》草案（第二版）。2016年9月，在國家信息技術安全研究中心召開了專家評審會，會上征求了崔書昆、肖京華、上官曉麗、李嵩、劉蓓等專家的意見和建議后，對標準整體框架進行調整，明確了標準面向對象和范圍，會后根據專家意見，由標準編制組編寫形成《信息安全技術移動應用網絡安全評價規(guī)范》草案（第三版）。2017年2月，在國家信息技術安全研究中心召開了組內討論會議，會上收集意見，根據意見，會后形成《信息安全技術移動應用網絡安全評價規(guī)范》草案（第四版）。2017年4月，在武漢參加了全國信息安全標準化技術委員2017年第一次會議周會議（WG5工作組），會上與會專家對標準名稱、內容提供了意見參考，會后根據意見，組織協(xié)作單位進行討論修改，完成《信息安全技術移動應用網絡安全評價規(guī)范》征求意見稿。起草人及其工作標準編制組具體由李京春、李冰、萬仁忠、王宏、李健、李蒙、紀崇廉、于園園、楊正軍、董霽、闞志剛、胡波、劉一鳴、陳彪、萬振華、夏天澤組成。李京春、李冰、萬仁忠全面負責標準編制工作，包括制定工作計劃、確定編制內容和整體進度、人員的安排以及標準審閱；王宏、楊正軍主要負責標準的前期調研、現狀分析、標準各版本的編制、意見匯總的討論處理、編制說明的編寫等工作；李健、萬振華負責標準校準審核等工作；李蒙、劉一鳴主要負責標準編制過程中的各項技術支持和整體指導。標準主要內容編制原則為了使本標準的內容從一開始就與國家標準保持一致，本標準的編寫參考了其他國家有關標準，主要有GB/T18336-2015信息技術安全技術信息技術安全性評價準則、GB/Z28828-2012信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南。本標準符合我國的實際情況，遵從我國有關法律、法規(guī)的規(guī)定。具體原則與要求如下：先進性標準是先進經驗的總結，同時也是技術的發(fā)展趨勢。目前，我國移動應用網絡安全評價技術種類繁多，要制定出先進的國家標準，必須參考國內外先進技術和標準，吸收其精華，才能制定出具有先進水平的標準。本標準的編寫始終遵循這一原則。實用性標準必須是可用的，才有實際意義，因此本標準的編寫是在對國內外標準的相關技術內容消化、吸收的基礎上，結合我國的實際情況，廣泛了解了市場上主流產品的功能，吸收其精華，制定出符合我國國情的、可操作性強的標準。兼容性本標準既要與國際接軌，更要與我國現有的政策、法規(guī)、標準、規(guī)范等相一致。編制組在對標準起草過程中始終遵循此原則，其內容符合我國已經發(fā)布的有關政策、法律和法規(guī)。標準內容標準結構本標準的編寫格式和方法依照GB/T1.1-2009標準化工作導則第一部分：標準的結構和編寫規(guī)則。本標準主要結構包括如下內容：范圍規(guī)范性引用文件術語和定義符合和縮略語移動應用模型移動應用安全評價要素移動應用安全評價要求安全評價主要內容范圍、標準引用、術語定義和縮略語該部分定義了本標準適應的范圍，所引用的其他標準情況，及以何種方式引用。術語和定義明確了該標準涉及的一些術語?？s略語定義了該標準所涉及的縮略語。在術語中明確了“移動應用”、“安全評價”、“敏感信息”等重要概念。移動應用模型移動應用的架構由移動應用的客戶端和移動應用的服務端組成，如圖1所示。移動應用的基本架構移動應用的基本架構用戶：具有對移動應用進行操作行為的主體。客戶端：指移動應用的客戶端，為用戶提供本地服務的程序。服務端：指移動應用的服務端，本標準規(guī)定的服務端僅包含為客戶端提供針對性的服務程序。邊界：指主體之間互聯互通的界限，包括交互邊界、網絡邊界、運行環(huán)境邊界、系統(tǒng)邊界等。其中，移動應用的客戶端架構如圖2所示。移動應用的客戶端架構移動應用的客戶端架構移動應用的客戶端主要由業(yè)務邏輯模塊和安全模塊構成：業(yè)務邏輯模塊：完成移動應用每項業(yè)務特征過程的描述集合。安全模塊：為移動應用涉及用戶的賬號、口令、個人信息等敏感數據提供加解密、為移動應用網絡鏈接提供安全保障、存儲用戶個人密鑰以及用戶身份驗證鑒權等功能的集合。移動應用的客戶端涉及到的外部實體包括用戶、系統(tǒng)、服務端和其他移動應用，包含以下功能：交互功能：實現用戶與移動應用進行交互操作的集合，包括數據顯示、數據輸入等。接口功能：提供給移動應用開發(fā)人員基于移動應用訪問的一組程序的能力集合，其無需訪問源代碼，或理解內部工作機制的細節(jié)。通信功能：移動應用與服務端進行通信和服務所必須遵循的規(guī)則和約定的集合。移動應用的服務端架構如圖3所示。移動應用的服務端架構移動應用的服務端架構移動應用的服務端主要由認證鑒權和業(yè)務邏輯構成：認證鑒權：對移動應用與服務端的通信請求、答復進行鑒權行為的集合。業(yè)務邏輯：完成服務端每項業(yè)務特征過程的描述集合。移動應用的服務端涉及到的外部實體包括移動應用和其他服務器，包含以下功能：通信功能：移動應用服務端與客戶端、與其他服務器進行通信和服務所必須遵循的規(guī)則和約定的集合。移動應用安全評價要素確定評價對象，確定安全評價基本要素保密性、完整性、可用性、可控性和不可否認性，確定安全評價要求內容，如表1，其中關鍵項是支撐評價對象穩(wěn)定運行的重要安全評價要求項。安全評價要求評價對象安全評價要求項關鍵項示例客戶端業(yè)務邏輯模塊源代碼安全√代碼數據安全運行狀態(tài)安全客戶端安全模塊運行環(huán)境安全算法安全√客戶端交互功能組件安全日志數據安全存儲數據安全√客戶端接口功能權限安全√第三方庫安全客戶端通信功能通信協(xié)議安全√通信數據安全服務端認證鑒權身份認證安全√口令安全訪問權限安全認證因子安全服務端業(yè)務邏輯會話管理安全√提示信息安全服務端通信功能通信協(xié)議安全√通信數據安全表中關鍵項示例，僅用于表示在某個安全評價任務下，評價主體所自行選定的關鍵評價項，每項評價對象至少有一項安全評價要求項為關鍵項。移動應用安全評價要求針對評價對象，結合安全評價基本要素規(guī)范移動應用安全評價具體內容。安全評價安全評價主要由評價流程和評價結果構成，評價流程規(guī)定了安全評價的具體測試流程，評價結果規(guī)定了針對評價對象測試結果的定性分析。編制的背景和意義本標準的制定旨在聯合國內多家具有安全檢測評價經驗的信息安全測評機構以及移動應用產品開發(fā)廠商，結合國內移動應用信息安全需求，以檢測評價移動應用產品的安全性與可控性為重點，制定移動應用安全檢測評價規(guī)范，明確國內外接受檢測評價的移動應用產品的檢測評價范圍、檢測評價流程及檢測評價方法，設計科學合理的檢測評價模型，規(guī)范并推動移動應用安全檢測評價事宜，維護國家安全與公眾利益。編制的目的通過對本標準的研究制定，規(guī)范移動應用安全測試工作，并為移動應用安全廠商、第三方評價機構等單位提供開發(fā)、測試參考依據。國內外標準對比情況無相關國家、國際標準與有關的現行法律、法規(guī)和強制性國家標準的關系本標準不觸犯國家現行法律法規(guī)，不與其他強制性國標相沖突。重大分歧意見的處理經過和依據本標準編制過程中，如標準編制組內部出現重大意見分歧時，由標準編制組組長組織召開內部調解會解決；如標準編制單位之間出現重大意見分歧，由標準編制承擔單位國家信息技術安全研究中心召開參編單位調協(xié)會解決。如征求意見過程中，各廠家，特別是各部委意見與標準編制組之間出現重大意見分歧，由全國信息安全標準化技術委員會組織召開協(xié)調會解決，并認真聽取專家意見進行修改。標準作為強制性或推薦性標準的建議建議將本