移動應用開發安全規范_第1頁
移動應用開發安全規范_第2頁
移動應用開發安全規范_第3頁
移動應用開發安全規范_第4頁
移動應用開發安全規范_第5頁
已閱讀5頁,還剩5頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、移動應用開發安全規范1、數據保存規范1.1、所有敏感信息不要保存到外部存儲中1.2、S1級別的敏感信息不能在客戶端保存1.3、S2級敏感數據必須加密保存(1)、采取權威的主流加密算法(如DES、AES、RSA等)(2)、選取秘鑰的長度必須足夠長,以便滿足安全性要求。(3)、加密算法的實現方法,必須采用操作系統官方提供的接口,或是各語言標準算法庫提供的函數。(4)、嚴禁自己設計、實現機密算法注:敏感數據定義詳見10. 敏感數據定義安全規范一節2、網絡傳輸規范客戶端與服務端之間通信的網絡是不可信的,包括運營商網絡和wifi無線網絡。2.1、認證授權相關網絡傳輸安全規范登錄、注冊、密碼找回等屬于認證

2、授權環節的網絡傳輸需要使用https協議傳輸。2.3、敏感數據傳輸需要使用https協議敏感數據定義詳見10. 敏感數據定義安全規范一節2.3、服務端的證書必須由權威的CA機關提供服務端不能采用自簽名的方式提供證書,客戶端需要實現驗證服務端證書合法性的功能。2.4、采用其他加密算法進行傳輸加密的規范不建議使用對于無法采用https協議進行加密通信的場景,需要使用其他加密通信方案的必須按照以下規范實施:(1)、采取權威的主流加密算法(如DES、AES、RSA等)(2)、選取秘鑰的長度必須足夠長,以便滿足安全性要求。(3)、加密算法的實現方法,必須采用操作系統官方提供的實現,或是各語言標準算法庫提

3、供的實現。(4)、客戶端、服務端之間需要有驗證雙發合法性身份的機制(5)、嚴禁自己設計、實現機密算法2.5、自動升級的安全規范(1)、為了能夠及時修復已發布產品的安全漏洞,必須具備在線升級的功能。(2)、在線升級功能的實現上必須對更新程序進行完整性檢查,避免在升級程序在網絡傳輸中被替換掉。3、頁面展示規范3.1、S0級敏感信息不能在頁面中直接顯示3.2、S1級敏感信息不能在頁面中完全顯示可以采用*隱藏部分內容后再頁面上顯示。3.3、S2級敏感信息規范(1)、單個信息展示,可以全部內容展示。(2)、同時展示5個以上該類信息的頁面,需要對該類信息的內容做不完全展示(使用*隱藏部分內容)如:用戶列表

4、的展示頁面4、日志安全規范4.1、敏感數據不能保存在日志中所有S1、S2、S3級別的敏感數據均不能在日志中出現,確實需要出現的,需要保存時隱去部分信息。4.2、正式發布版本不能包含debug級以下日志4.3、關鍵操作日志記錄規范(1)、登錄、修改密碼、付款等關鍵操作,需要在日志中進行記錄。(2)、關鍵操作日志的記錄位置應該是服務器端。5、身份認證、授權和會話管理規范5.1、身份認證機制安全規范(1)、需要設計有效的身份驗證機制。(2)、如果采取賬號密碼的認證機制,密碼需要6位以上,字母數字混合(3)、涉及交易,資金等核心業務,需要有二次認證機制。5.2、身份認證應該綁定終端用戶的身份綁定的對象

5、是用戶的身份,而非用戶的設備5.3、會話管理安全規范登錄完成后的會話管理階段的所有請求都需要對用戶的合法身份進行鑒別(如token方式),鑒別通過后才能進行光管的操作。5.4、使用第三方認證安全規范(1)、使用OAuth2.0 協議作為第三方登錄認證的協議。(2)、嚴格按照第三方開放平臺接入規范執行。(3)、認證邏輯盡量放在服務器端完成,不要放在客戶端。6、服務端安全規范需要按照web服務安全規范執行,重點關注以下幾點:6.1、有效防范常規的XSS、SQL注入、CSRF等web安全漏洞。6.2、對水平權限、垂直權限等與業務場景關系緊密的安全漏洞有防范措施6.3、有防范DDOS、CC攻擊的安全方

6、案。保障后端 API 服務和平臺的安全 7、針對使用第三方或開源的代碼庫、框架的安全規范7.1、在同類產品中排名前三位的代碼庫或框架。7.2、有團隊在持續維護,最近兩年內至少發不過一個新版本或更新過bug。7.3、國外有Google、亞馬遜、微軟等或國內有百度、阿里、騰訊等廠商使用的代碼庫或框架優先考慮。8、應用模塊、接口安全規范8.1、應用內模塊組件間的驗證應用內各組件、模塊間調用要進行驗證。確保調用方和被調用方多有應用內的合法安全模塊。沒有被替換的風險。8.2、對被調用的外部模塊的驗證應用對調用的外部模塊或組件,需要有完整的驗證機制,確保被調用者的合法性。8.3、對外部調用者合法性驗證應用對外提供服務、數據訪問接口的功能,需要對調用者的合法性進行驗證。注:對于android系統重點關注Activity、BroadcastReceive、Service、Content Provider各組件之間訪問的安全性9、發布安全規范9.1、測試版本嚴禁發布(1)、輸出測試log的版本(2)、使用測試簽名的版本9.2、使用公司官方證書簽名后的版本才能正式發布9.3、簽名證書需要集中管理有有專人負責10、敏感數據定義安全規范級別內容定義要求顯示規范備注S1密碼6位以上,數字、字母組合禁止顯示登錄密碼S2身份證號碼

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論