路径: 主页 > MISC > 第174页 > JR/T 0192-2020 | 标准编号 | JR/T 0192-2020 (JR/T0192-2020) | | 中文名称 | 证券期货业移动互联网应用程序安全规范 | | 英文名称 | (Security Regulations for Mobile Internet Applications in the Securities and Futures Industry) | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 字数估计 | 12,164 | | 发布日期 | 2020-07-10 | | 实施日期 | 2020-07-10 | | 标准依据 | 证监会公告(2020)40号 | | 发布机构 | 中国人民银行 | JR/T 0192-2020: 证券期货业移动互联网应用程序安全规范
JR/T 0192-2020 英文名称: (Security Regulations for Mobile Internet Applications in the Securities and Futures Industry)
中 华 人 民 共 和 国 金 融 行 业 标 准
证券期货业移动互联网应用程序
安全规范
中国证券监督管理委员会 发 布
1 范围
本标准规定了证券期货业移动互联网应用程序的移动终端安全、身份鉴别、网络通信安全、数据安
全、开发安全和安全审计。
本标准适用于证券期货业机构开发和发布
移动互联网应用程序。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
GB/T 25069-2010 信息安全技术 术语
JR/T 0060-2010 证券期货业信息系统安全等级保护基础要求
3 术语和定义
GB/T 25069-2010、GB/T 22239-2008和JR/T 0060-2010界定的以及下列术语和定义适用于本文
件。
4.1 移动互联网应用程序
移动互联网应用程序以独立的程序形式存在移动终端上,其自身应满足安全性要求:
a) 采取防动态调试、代码混淆、防逆向等技术对关键代码、核心逻辑进行保护;
b) 不应设计有违反和绕过安全措施的任何类型的接口和开发文档中未说明的任何模式的接口;
c) 保障输入信息的机密性,如采取自定义键盘、随机键盘位、防范键盘窃听技术等措施;
d) 对输入信息的合法性进行识别;
e) 未得到用户许可前不应访问、修改、删除移动终端上与业务无关的数据;
f) 获取移动终端上其他权限,应以明显方式提示用户,包括但不限于图标、文字和声音提示等;
g) 具备完整性校验机制,防止被重签名和二次打包。关键的校验代码应得到保护;
h) 出现异常时,应提示明确、易理解的业务操作信息,避免将程序代码错误直接返回给用户。
4.2 移动终端环境
移动终端环境应支持以下安全检查:
a) 移动互联网应用程序应在每次运行前对运行环境安全性进行检测,提示发现的风险;
b) 移动互联网应用程序启动及运行过程,应采取相应的进程保护措施,防止非法程序获取该进程
的访问权限;
c) 应采取有效措施监测并向后台系统反馈移动终端环境安全状况并在必要时停止应用运行。
4.3 安装与卸载
移动互联网应用程序的安装需得到明确授权,且安装过程中不应破坏移动终端环境。卸载时,应能
删除由其生成的数据和信息。安装与卸载应满足以下要求:
a) 安装时应提示用户对其使用的终端资源(包含通信资源和外设接口)、终端权限和终端数据进
行确认;
b) 安装和使用过程中的缓存数据应能完全删除,且删除用户使用过程中生成的数据时应有提示;
c) 不应影响终端操作系统和其他应用软件的功能。
4.4 升级与更新
移动互联网应用程序应支持软件的安全更新,及时提升安全性。升级与更新应满足以下要求:
a) 在更新时应进行真实性和完整性校验,防范移动互联网应用程序被篡改或替换;
b) 至少采取一种安全机制,保证升级的时效性,例如自动升级,更新通知等手段;
c) 当因重大安全问题需要升级时,在应用市场允许的情况下能够强制用户升级后方可使用。
5 身份鉴别
5.1 鉴别方式
移动互联网应用程序应满足以下鉴别认证方式,安全技术要求:
a) 对于资金类交易、客户信息修改等关键业务,应增设二次认证的环节,且不应仅使用存放在移
动客户端的本地信息进行认证。认证方式包括密码、生物特征、短信、令牌、图形手势等中的
至少一种;
b) 若采用第三方移动互联网应用程序的认证方式,行业机构的移动互联网应用程序应再次进行用
户名密码登记并核验;
c) 应采取限定连续登录失败次数的措施,如设置登录失败次数上限、多次登录失败后的账户锁定
策略等;
d) 应具备登录超时锁定或注销功能,在设定的时间段内没有任何操作的情况下,终止登录会话,
需要再次进行身份鉴别才能够重新操作。
5.2 鉴别数据保护
应提供以下鉴别数据保护功能:
a) 不应未授权查阅或修改;
b) 对于资金类交易、客户信息修改等关键业务宜通过短信等多媒体方式对用户进行提醒;
c) 身份认证绑定对象为用户身份信息,不局限移动终端的设备单一信息。
5.3 密码安全
应保障密码的安全性,满足以下安全性要求:
a) 密码不应以任何形式明文保存在移动终端的本地存储上;
b) 密码在传输过程中不应以明文的形式传输,宜采用国密算法或国际数据加密算法;
c) 密码禁止在缓存和日志中输出;
d) 输入密码信息时应采取技术措施防止密码被盗取;
e) 密码输入框默认禁止明文显示密码;
f) 应提供密码复杂度检查功能,防止用户设置易于猜测的密码;
g) 应在对密码进行修改前验证用户身份。
6 网络通信安全
6.1 通讯协议
移动互联网应用程序在与服务器通信时,应满足以下要求:
a) 应采用安全的通信协议和加密算法,敏感数据传输时应对服务端证书的合法性进行校验;
b) 应使用通讯协议的安全版本,取消对存在安全隐患版本协议的支持;
c) 应使用国家密码主管部门认可的安全加密算法和密钥长度。
6.2 会话管理
移动互联网应用程序在与服务器通信时,应满足以下要求:
a) 会话结束后应立即清除敏感数据缓存,防止信息泄露;
b) 在不同移动终端上登录时应向用户进行信息提示;
c) 登录完成后的会话管理阶段的所有请求都需要对用户的合法身份进行鉴别,鉴别通过后才能进
行操作。
d) 应采取会话保护措施,防止软件与后台服务器之间的会话被窃听、篡改、伪造、重放等;
e) 应确保用户在执行注销/登出后,会话被安全终止;
f) 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,自动退出登录状态;
g) 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话
来消耗系统资源,影响业务的可用性。
6.3 第三方网络通信
移动互联网应用程序和服务器之间的通信如使用第三方服务器,应建立服务器与移动互联网应用程
序之间的加密安全通道,防止信息被第三方截获或篡改。
7 数据安全
7.1 数据录入
移动互联网应用程序在数据录入时,应满足以下要求:
a) 用户输入密码等客户敏感信息时,不应明文显示;
b) 移动互联网应用程序应支持界面返回后自动清除该界面客户敏感信息的机制。
7.2 数据存储
移动互联网应用程序在数据存储时,应满足以下要求:
a) 移动互联网应用程序不应在客户未许可或不知情的情况下存储客户敏感信息,且不应以任何形
式存储密码信息;
b) 移动互联网应用程序删除后,应清除移动终端中的所有客户信息;
c) 移动互联网应用程序退出时,应清除或加密存储客户的敏感数据。
8 开发安全
8.1 安全需求
移动互联网应用程序在架构设计时应制定安全需求,描述移动互联网应用程序应具备的安全功能。
8.2 安全开发
移动互联网应用程序在开发时,应满足以下要求:
a) 移动互联网应用程序开发过程中应考虑编码安全性,减少应用程序安全漏洞;
b) 所使用的第三方开发工具和第三方插件应是安全的;
c) 认证逻辑、校验功能应在服务器端完成。
8.3 安全测试
移动互联网应用程序应满足以下安全性功能要求:
a) 移动互联网应用程序在开发完成,正式上线前,应进行安全测试和渗透测试;
b) 应提供安全性功能操作文档,应提供安全性功能测试文档。
8.4 安全发布
移动互联网应用程序在发布时,应满足以下要求:
a) 正式版本发布时,应删除测试数据和所有用于调试的代码;
b) 移动互联网应用程序应采用发布机构的证书进行签名,标识应用程序的发布者,签名证书应由
专门岗位管理;
c) 移动互联网应用程序应有规范的上线发布流程,并应提供安全可靠的移动应用软件下载、发布、
升级渠道。
9 安全审计
9.1 日志生成
日志生产基本要求包括:
a) 日志应包括事件发生的日期、时间、用户标识、设备唯一标识、设备型号、设备版本、网络类
型、事件描述和结果等信息;
b) 日志应该如实记录用户各项重要操作,如用户登录成功和失败;校验失败的次数超出阀值导致
会话连接终止等;
......
|