标准规范下载简介
JR/T 0240-2021 证券期货业移动互联网应用程序安全检测规范.pdf简介:
"JR/T 0240-2021 证券期货业移动互联网应用程序安全检测规范"是中国金融标准化技术委员会发布的行业标准。这个规范主要针对证券期货业的移动互联网应用程序(Mobile Internet Applications, MIA)的安全性进行了详细的规定和指导。它涵盖了应用程序的开发、测试、发布和运行全过程中的安全要求,包括但不限于数据加密、用户隐私保护、防篡改、防止恶意攻击、安全更新等方面。
该规范的目的是为了提升证券期货业移动应用的安全性,保障用户信息的安全,防止数据泄露,确保金融交易的准确性和完整性,同时也符合监管要求,帮助企业在移动互联网环境下合规运营。通过遵循这个标准,企业可以有效地管理和控制移动应用的风险,提高用户对金融应用的信任度。
JR/T 0240-2021 证券期货业移动互联网应用程序安全检测规范.pdf部分内容预览:
5. 2. 1. 2. 2 检测流程
检查送检文档中关于用户登记的说明,查看在哪些情况下移动互联网应用程序进行用户登记。 首次使用第三方移动互联网应用程序进行认证,检查移动互联网应用程序是否会再次进行用户名密 码登记并核验
5. 2. 1. 2. 3通过要求
通桥(2017)2101-I.pdfJR/T 02402021
若首次采用第三方移动互联网应用程序的认证方式,行业机构的移动互联网应用程序应再次进行用 户名密码登记并核验
5. 2. 1. 3登录失败处理
5. 2. 1. 3. 1检测目的
互联网应用程序是否提供了登录失败处理机制
5. 2. 1. 3. 2 检测流程
检测流程如下: a)检查开发文档中,移动互联网应用程序是否提供连续鉴别失败处理机制; b)检查移动互联网应用程序在认证用户身份时,是否具备认证失败处理机制
5.2.1.3.3通过要求
应采取限定连续登录失败次数的措施,如设置登录失败次数上限、多次登录失败后的账户
5.2. 1.4登录超时
5. 2. 1. 4. 1 检测目的
5.2.1.4. 2检测流程
检测流程如下: a)检查开发文档中,移动互联网应用程序是否提供登录会话超时重鉴别机制。 b)检查证券期货业移动互联 行身份鉴别
5. 2. 1. 4. 3通过要求
5.2.2鉴别数据保护
5.2.2.1授权保护
5. 2. 2. 1. 1检测目的
验查移动互联网应用程序是否能够未授权查阅或修改鉴别数据
查移动互联网应用程序是否能够未授权查阅或修改鉴别数据。
5. 2.2. 1.2检测流程
检查移动互联网应用程序是否存在查阅或修改鉴别数据的功能,检查是否在查阅或修改鉴别数据时 需要进行二次身份鉴别。
5. 2. 2. 1. 3通过要求
不应未授权查阅或修改鉴别数据
5. 2. 2. 2用户提醒
5. 2. 2. 2. 1 检测目的
JR/T02402021
5.2.2.2.2检测流程
5. 2. 2. 2. 3通过要求
5. 2. 2.3 身份绑定
5. 2. 2. 3. 1检测目的
5.2.2.3.2检测流程
检查移动互联网应用程序身份认证时(如用户注册)绑定对象是否为用户身份信息,检查同 份信息是否可注册多个用户
5. 2. 2. 3. 3通过要求
时绑定对象应为用户身份信息,不局限于移动丝
5. 2. 3密码安全
5. 2. 3. 1存储安全
5.2.3.1.1检测且的
5. 2. 3. 1. 2 检测流程
通过字段查询等方式检查移动互联网应用程序是否将密码明文保存在移动终端的本地
5.2.3.1.3通过要求
以任何形式明文保存在移动终端的本地存储上。
5. 2. 3. 2传输安全
5.2.3.2.1检测且的
检查移动互联网应用程序在通信过程中是否传输明文密码信息
5. 2. 3. 2. 2 检测流程
JR/T 02402021
检查移动互联网应用程序在与服务器的通信过程中是否对密码进行加密处理,所采用的加密算法是 否符合国家密码主管部门认可的密码算法
5. 2. 3. 2. 3通过要求
密码在传输过程中不应以明文的形式传输 应采用符合国家密码主管部门认可的密码算法。
5.2.3.3残留信息保护
5. 2. 3. 3. 1检测目的
检查移动互联网应用程序是否在缓存和日志中输出密码和密钥信息
验查移动互联网应用程序是否在缓存和日志中输出密码和密钥作
5. 2. 3. 3. 2 检测流程
检查移动互联网应用程序的缓存和日志信息,查看是否存在密码和密钥信息。
5. 2. 3. 3. 3通过要求
密码和密钥不应在缓存和日志中输出。
5. 2. 3. 4 安全输入
5. 2. 3. 4. 1检测目的
5.2.3.4. 2检测流程
检测流程如下: a)检查开发文档中,移动互联网应用程序是否提供技术措施防止密码被盗取; b)检查移动互联网应用程序在输入密码信息时是否可防截屏操作; c)检查移动互联网应用程序在输入密码信息时是否可防信息截获
5. 2. 3. 4. 3通过要求
密码信息时应采取技术措施防止密码被盗取。
5. 2. 3. 5 密码显示
5.2.3.5.1检测目的
检查移动互联网应用程序是否默认以非明文的形式显示密码。
5.2.3.5.2检测流程
5.2.3.5.3通过要求
密码展示处不应默认以明文的形式显示密码。
5. 2. 3. 6 密码复杂度
5.2.3.6.1检测目的
检查移动互联网应用程序是否提供密码复杂度
互联网应用程序是否提供密码复杂度校验功能。
5. 2. 3. 6. 2 检测流程
JR/T0240202
检测流程如下: a)检查开发文档中,移动互联网应用程序是否提供密码复杂度校验功能。 b)检查移动互联网应用程序在密码设置处是否提供密码复杂度校验功能,是否能够设置易于 的密码。
5. 2. 3. 6. 3通过要求
5. 2. 3. 7 密码修改
5. 2. 3. 7. 1 检测目的
5. 2. 3. 7. 2 检测流程
5. 2. 3. 7. 3通过要求
应在对密码进行修改前验证用户身份
应在对密码进行修改前验证用户身份
5.3.1.1安全协议
5.3. 1.1.1检测目的
检查移动互联网应用程 通信协议和加密算法。
5. 3. 1. 1. 2 检测流程
检查移动互联网应用程序与服务器是否正确配置安全通信协议,在敏感数据传输时是否对服务 的合法性进行校验。
5. 3. 1. 1. 3通过要求
5. 3. 1. 2 安全版本
5.3. 1. 2. 1检测目的
关网应用程序与服务器之间的通信是否使用安全
JR/T 02402021
5. 3. 1. 2. 2 检测流程
5. 3. 1. 2. 3通过要求
讯协议的安全版本,取消对存在安全隐患版本切
5. 3. 1. 3密码安全
5.3.1.3.1检测目的
验查移动互联网应用程序与服务器通信过程中是否使用国家密码主管部门认可的安全加密算法
5.3.1.3.2检测流程
)检查开发文档,了解移动互联网应用程序使用的加密算法和密钥长度; 检查移动互联网应用程序与服务器重要通信过程和重要存储过程中使用的加密算法和密钥 度是否符合国家密码主管部门的要求。
5.3.1.3.3通过要求
应使用国家密码主管部门认可的安全加密算法和密钥长度。
5. 3. 2 会话管理
5.3.2.1缓存信息保护
5.3.2.1.1检测目的
5. 3. 2. 1. 2 检测流程
a)检查开发文档中,移动互联网应用程序在会话结束后是否有清除敏感数据缓存的措施 b)检查移动互联网应用程序在会话结束后是否立即清除敏感数据缓存。
5. 3. 2. 1. 3通过要求
5. 3. 2. 2 安全提示
5. 3.2.2. 1检测目的
互联网应用程序在不同移动终端上登录时是否向
5. 3. 2. 2. 2 检测流程
检测流程如下: a)检查开发文档中,移动互联网应用程序是否具备不同移动终端上登录的用户提示措施 b)使用不同移动终端登录移动互联网应用程序,检查程序是否向用户进行信息提示
5. 3. 2. 2. 3通过要求
同移动终端上登录时应向用户进行信息提示。
5. 3. 2. 3会话鉴别
5. 3. 2.3.1检测目的
5. 3. 2. 3. 2检测流程
JR/T02402021
检查服务端是否对登录完成后的会话 的所有请求进行合法身份鉴别(如token方式) 删除身份鉴别信息和替换无权限用户的鉴别信息进行请求,
5. 3. 2. 3. 3通过要求
5. 3. 2. 4 会话保护
5.3.2.4.1检测目的
检查是否对会话采取保护措施,防止软件与后台服务器之间的会话被窃听、改、伪造、重
5.3.2.4.2检测流程
检测流程如下: a)通过网络层截包分析等方式获取通信报文,查看程序与后台服务器之间的会话是否采取加密等 保护措施; b)在应用层尝试获取会话信息,获取后进行篡改和伪造,查看服务器后台是否响应该非法报文; ℃)在应用层尝试对关键业务操作进行重放攻击,查看服务器后台是否响应该重放报文。
5. 3. 2. 4. 3通过要求
5. 3. 2. 5 会话终正
5. 3. 2. 5. 1检测目的
5. 3. 2. 5. 2检测流程
关网应用程序在用户执行注销/登出后,会话是否
使用正常用户在移动互联网应用程序上进行登录操作获取合法权限J20J217 多槽加强型保温复合板建筑构造.pdf,收集正常用户的会话信息 行注销/登出操作;尝试使用之前的会话信息与服务器进行数据交互,查看该会话是否仍然存在 访问权限。
5.3.2.5.3通过要求
用户执行注销/登出后,会话应被安全终止。
JR/T 02402021
JR/T02402021
DBJ61∕T 105-2015 建筑基坑支护技术与安全规程5.3.2.6会话超时
5. 3. 2. 6. 1 检测目的