标准规范下载简介
JR/T 0192-2020 证券期货业移动互联网应用程序安全规范ICS03.060 A 11
JR/T 01922020
证券期货业移动互联网应用程序
DB15T 353.13-2020 建筑消防设施检验规程 第13部分:消防电梯系统.pdfJR/T 01922020
本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国金融标准化技术委员会证券分技术委员会(SAC/TC180/SC4)提出。 本标准由全国金融标准化技术委员会(SAC/TC180)归口。 本标准起草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、中证信 息技术服务有限责任公司、上海期货交易所、大连商品交易所、中国金融期货交易所、中国证券登记结 算有限责任公司、中国期货市场监控中心有限责任公司、中国期货业协会、兴业证券股份有限公司、国 泰君安证券股份有限公司、东吴证券股份有限公司、光大证券股份有限公司、华泰证券股份有限公司、 每通期货股份有限公司、兴业基金管理有限公司、公安部第三研究所、上海市信息安全测评认证中心。 本标准主要起草人:姚前、刘铁斌、周云晖、叶婧、朱立、马卿平、甘张生、陈磊、居红伟、卫飞、 丁新杰、冯小根、焦东亮、周桉、崔慧阳、艾青、王玥、陈凯晖、梅克波、华仁杰、刘嵩、张嵩、王勇 斌、徐正伟、张艳、李宏达。
JR/T0192—2020引言随着移动互联网新兴技术的蓬勃兴起,层出不穷的创新业务,在商业模式应用、技术风险控制等方面对金融业构成了新的挑战。在当前的互联网金融浪潮中,信息系统建设与安全运行的压力越来越大,所面临的信息安全形势日趋复杂。金融行业的移动互联网应用程序(APP)安全问题尤其严峻国家为加强对移动互联网应用程序信息服务的规范管理,鼓励有关行业协会等依法制定自律性管理制度,加强用户权益保护。行业移动终端应用安全规范,对市场主流移动终端应用开展安全检测与风险评估,完善监测渠道与预警机制,建立移动终端应用安全风险提示系统,及时发现并通报移动终端应用的设计缺陷与安全漏洞,以及假冒、篡改的移动终端应用。督促经营机构加强对移动终端应用的安全管理,切实提高投资者风险防范意识。III
JR/T 01922020
期货业移动互联网应用程序安全
本标准规定了证券期货业移动互联网应用程序的移动终端安全、身份鉴别、网络通信安全、数据安 全、开发安全和安全审计。 本标准适用于证券期货业机构开发和发布移动互联网应用程序
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 GB/T25069一2010信息安全技术术语 JR/T0060一2010证券期货业信息系统安全等级保护基础要求
GB/1Z5U6 件。 3.1 移动终端mobileterminal 以手机、平板电脑等智能设备为代表,能够安装并使用证券期货移动互联网应用程序,可以在移动 中使用的计算机设备
JR/T 01922020
移动互联网应用程序以独立的程序形式存在移动终端上,其自身应满足安全性要求: a)采取防动态调试、代码混淆、防逆向等技术对关键代码、核心逻辑进行保护; b)不应设计有违反和绕过安全措施的任何类型的接口和开发文档中未说明的任何模式的接口; 保障输入信息的机密性,如采取自定义键盘、随机键盘位、防范键盘窃听技术等措施; d)对输入信息的合法性进行识别; 未得到用户许可前不应访问、修改、删除移动终端上与业务无关的数据; 获取移动终端上其他权限,应以明显方式提示用户,包括但不限于图标、文字和声音提示等: 名 具备完整性校验机制,防止被重签名和二次打包。关键的校验代码应得到保护; 出现异常时,应提示明确、易理解的业务操作信息,避免将程序代码错误直接返回给用户
移动终端环境应支持以下安全检查: a)移动互联网应用程序应在每次运行前对运行环境安全性进行检测,提示发现的风险; 移动互联网应用程序启动及运行过程DGJ08-2048-2016 民用建筑电气防火设计规程,应采取相应的进程保护措施,防止非法程序获取该进程 的访问权限; )应采取有效措施监测并向后台系统反馈移动终端环境安全状况并在必要时停止应用运行
移动互联网应用程序的安装需得到明确授权,且安装过程中不应破坏移动终端环境。卸载时,应能 利除由其生成的数据和信息。安装与卸载应满足以下要求: a)安装时应提示用户对其使用的终端资源(包含通信资源和外设接口)、终端权限和终端数据进 行确认; b 安装和使用过程中的缓存数据应能完全删除,且删除用户使用过程中生成的数据时应有提示: c)不应影响终端操作系统和其他应用软件的功能
移动互联网应用程序应支持软件的安全更新,及时提开安全性。开级与更新应满足以下要求: a)在更新时应进行真实性和完整性校验,防范移动互联网应用程序被篡改或替换; b)至少采取一种安全机制,保证升级的时效性,例如自动升级,更新通知等手段; C当因重大安全问题需要升级时,在应用市场允许的情况下能够强制用户升级后方可使用。
JR/T 01922020
户名密码登记井核验; 应采取限定连续登录失败次数的措施,如设置登录失败次数上限、多次登录失败后的账户锁定 策略等; 应具备登录超时锁定或注销功能,在设定的时间段内没有任何操作的情况下,终止登录会话 需要再次进行身份鉴别才能够重新操作。
应保障密码的安全性,满足以下安全性要求: 密码不应以任何形式明文保存在移动终端的本地存储上: 密码在传输过程中不应以明文的形式传输,宜采用国密算法或国际数据加密算法 密码禁止在缓存和日志中输出; d 输入密码信息时应采取技术措施防止密码被盗取; e 密码输入框默认禁止明文显示密码; 应提供密码复杂度检查功能,防止用户设置易于猜测的密码; g 应在对密码进行修改前验证用户身份
移动互联网应用程序在与服务器通信时,应满足以下要求: a)应采用安全的通信协议和加密算法NB/T 35113-2018 水电工程钻孔压水试验规程,敏感数据传输时应对服务端证书的合法性进行校验 应使用通讯协议的安全版本,取消对存在安全隐患版本协议的支持; C 应使用国家密码主管部门认可的安全加密算法和密钥长度
移动互联网应用程序在与服务器通信时,应满足以下要求: a)会话结束后应立即清除敏感数据缓存,防止信息泄露; b 在不同移动终端上登录时应向用户进行信息提示; 登录完成后的会话管理阶段的所有请求都需要对用户的合法身份进行鉴别,鉴别通过后才能进 行操作。 d 应采取会话保护措施,防止软件与后台服务器之间的会话被窃听、篡改、伪造、重放等; e) 应确保用户在执行注销/登出后,会话被安全终止; 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,自动退出登录状态; g 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话 来消耗系统资源,影响业务的可用性。
会话结束后应立即清除敏感数据缓存,防止信息泄露; b 在不同移动终端上登录时应向用户进行信息提示: 登录完成后的会话管理阶段的所有请求都需要对用户的合法身份进行鉴别,鉴别通过后才能进 行操作。 d 应采取会话保护措施,防止软件与后台服务器之间的会话被窃听、篡改、伪造、重放等; e 应确保用户在执行注销/登出后,会话被安全终止; f) 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,自动退出登录状态; g 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话 来消耗系统资源,影响业务的可用性