DB32_T 3374-2018智能终端应用软件安全性测评技术要求02.pdf
《DB32_T 3374-2018智能终端应用软件安全性测评技术要求02.pdf》由会员分享,可在线阅读,更多相关《DB32_T 3374-2018智能终端应用软件安全性测评技术要求02.pdf(14页珍藏版)》请在咨信网上搜索。
1、ICS 35.080L77备案号:58110-2018DB 32江苏省地方标准DB 32/T 33742018智能终端应用软件安全性测评技术要求Technical requirements of security for smart terminal applications testing2018-2-10 发布2018-3-10 实施江苏省质量技术监督局发 布DB32/T 33742018I目次前言.II1范围.12规范性引用文件.13术语、定义、缩略语.14测评目标.24.1总则.24.2测评目标.25测评方法.35.1收集用户数据.35.2修改用户数据.35.3流量耗费.45.4费用损
2、失.45.5信息泄露.55.6安装与卸载.55.7启动与退出.65.8运行.65.9更新.75.10广告行为.75.11其他通用测试方法.10附录 A(资料性附录)测评报告.11参考文献.13DB32/T 33742018II前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准由江苏省软件工程标准化技术委员会提出并归口。本标准起草单位:南京市产品质量监督检验院、国家软件产品质量监督检验中心(江苏)、江苏苏测软件检测技术有限公司、南京大学、国网电力科学研究院、南京慕测信息科技有限公司。本标准主要起草人:程秀才、刘晓波、刘艳、王蕊、丁利、陈银平、
3、荣鼎慧、房春荣、张小飞、郑珞林、徐剑锋。DB32/T 337420181智能终端应用软件安全性测评技术要求1范围本标准规定了智能终端应用软件安全性测评技术要求的术语定义、测评目标和测评方法。本标准适用于移动智能终端第三方应用软件的安全性测评,个别条款不适用于特殊行业、专业应用。其他智能终端参考使用。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T 2408-2013 移动智能终端安全能力测试方法3术语、定义、缩略语3.1术语、定义YD/T 2408-2013 界定
4、的以及下列术语和定义适用于本标准。为了便于使用,以下重复列出了YD/T2408-2013中的某些术语和定义。3.1.1智能终端 smart Terminal能够接入通信网络,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的智能终端。3.1.2智能终端应用软件application In Smart Terminal以应用逻辑封装文件包形式提供的、运行在智能终端开放式操作系统上的、供用户在应用发布平台下载的软件。3.1.3应用发布平台application Issuing Platform通过商业方式为智能终端用户提供应用软件下载的平台。3.1.4数字签名 digit
5、al SignatureDB32/T 337420182附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的来源和完整性,保护数据不被篡改、伪造,并保证数据的不可否认性。3.1.5恶意收费malicious Charge在用户不知情或未授权的情况下由智能终端上应用软件造成的用户经济损失。3.1.6敏感信息 sensitive Information不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。3.1.7用户数据 user Data智能终端上存储的用户个人信息,包括由用户在本地生成的数据、为用户在本地生成的
6、数据、在用户许可后由外部进入用户数据区的数据等。3.2缩略语下列缩略语适用于本标准。APP:智能终端应用软件(application)SQL:结构化查询语言(structured Query Language)URL:统一资源定位地址(uniform/universal resource lacator)WLAN:无线局域网(wireless Local Area Network)XSS:跨站脚本(cross Site Scripting)4测评目标4.1总则保证智能终端应用软件对敏感行为的可控性,确保无损害用户利益和危害网络安全的行为。示例:恶意吸费、未经授权的修改、删除、向外传送用户数据等
7、行为,保证用户数据的安全存储,确保用户数据不被非法访问、不被非法获取、不被非法篡改。4.2测评目标测评智能终端应用软件是否符合国家相关法律、法规、标准和安全管理相关文件要求,为智能终端应用软件的安全规范提供技术和法律依据,主要包括:智能终端应用软件在使用过程中向用户展示的互联网信息应符合国家和行业相关法律法规的规定,且不应危害社会公共安全;智能终端应用软件的开发方应提供合法的身份信息,作为安全问题追溯的依据;检测智能终端应用软件本身不应存在信息安全漏洞;检测智能终端应用软件不应存在超越其功能范围收集手机用户隐私数据、故意偷跑流量、恶意消耗手机资源等安全隐患;DB32/T 337420183为智
8、能终端应用软件发布提供国家法律认可的第三方检测报告,详见附录 A。5测评方法5.1收集用户数据5.1.1测试项目智能终端应用软件收集用户数据行为。5.1.2预置条件被测智能终端应用软件于正常工作状态。5.1.3测试步骤a)使智能终端应用软件信息安全测试系统(包括服务器和客户端软件)处于正常工作状态;b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上,并与服务器建立连接;c)使用基于特征码扫描、静态源代码分析、动态行为监测等检测方法,对被测智能终端应用软件未向用户明示并经用户同意,擅自收集用户数据的行为(包括在用户无确认情况下开启通话录音、本地录音、拍照/摄像和定位的行为)进
9、行检测。5.1.4评测结果如智能终端应用软件信息安全测试系统显示被测应用软件无擅自收集用户数据的行为,则该项目评测结果为“未见异常”;反之,该项目评测结果为“不符合要求”。5.2修改用户数据5.2.1测试项目智能终端应用软件修改用户数据行为。5.2.2预置条件被测智能终端应用软件处于正常工作状态。5.2.3测试步骤a)使智能终端应用软件信息安全测试系统(包括服务器和客户端软件)处于正常工作状态;b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上,并与服务器建立连接;c)使用基于特征码扫描、静态源代码分析、动态行为监测等检测方法,对被测智能终端应用软件未向用户明示并经用户同意
10、,擅自修改用户数据的行为(包括在用户无确认情况下删除或修改用户电话本数据、通话记录、短信数据和彩信数据的行为)进行检测。5.2.4评测结果如智能终端应用软件信息安全测试系统显示被测应用软件无擅自修改用户数据的行为,则该项目评测结果为“未见异常”;反之,该项目评测结果为“不符合要求”。DB32/T 3374201845.3流量耗费5.3.1测试项目智能终端应用软件流量耗费行为。5.3.2预置条件:被测智能终端应用软件处于正常工作状态。5.3.3测试步骤a)使智能终端应用软件信息安全测试系统(包括服务器和客户端软件)处于正常工作状态;b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能
11、终端上,并与服务器建立连接;c)使用基于特征码扫描、静态源代码分析和动态行为监测等检测方法,对被测智能终端应用软件未向用户明示并经用户同意,擅自调用终端通信功能,造成用户流量消耗的行为(包括在用户无确认情况下通过移动通信网络数据连接、WLAN 网络连接和无线外围接口传送数据的行为)进行检测。5.3.4评测结果如果智能终端应用软件信息安全测试系统显示被测智能终端应用软件无擅自调用终端通信功能,造成用户流量消耗的行为,则该项目评测结果为“未见异常”;反之,该项目评测结果为“不符合要求”。5.4费用损失5.4.1测试项目智能终端应用软件费用损失行为。5.4.2预置条件被测智能终端应用软件处于正常工作
12、状态。5.4.3测试步骤a)使智能终端应用软件信息安全测试系统(包括服务器和客户端软件)处于正常工作状态;b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上,并与服务器建立连接;c)使用基于特征码扫描、静态源代码分析和动态行为监测等检测方法,对被测智能终端应用软件未向用户明示并经用户同意,擅自调用终端通信功能,造成用户费用损失的行为(包括在用户无确认情况下拨打电话、发送短信、发送彩信和开启移动通信网络连接并收发数据的行为)进行检测。5.4.4评测结果如果智能终端应用软件信息安全测试系统显示被测智能终端应用软件无擅自调用终端通信功能,造成用户费用损失的行为,则该项目评测结果为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB32_T 3374-2018智能终端应用软件安全性测评技术要求02 3374 2018 智能 终端 应用软件 安全性 测评 技术 要求 02
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。