标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
JR/T 0192-2020 证券期货业移动互联网应用程序安全规范应保障密码的安全性,满足以下安全性要求: 密码不应以任何形式明文保存在移动终端的本地存储上: 密码在传输过程中不应以明文的形式传输,宜采用国密算法或国际数据加密算法 密码禁止在缓存和日志中输出; d 输入密码信息时应采取技术措施防止密码被盗取; e 密码输入框默认禁止明文显示密码; 应提供密码复杂度检查功能,防止用户设置易于猜测的密码; g 应在对密码进行修改前验证用户身份
移动互联网应用程序在与服务器通信时,应满足以下要求: a)应采用安全的通信协议和加密算法,敏感数据传输时应对服务端证书的合法性进行校验 应使用通讯协议的安全版本,取消对存在安全隐患版本协议的支持; C 应使用国家密码主管部门认可的安全加密算法和密钥长度
移动互联网应用程序在与服务器通信时,应满足以下要求: a)会话结束后应立即清除敏感数据缓存,防止信息泄露; b 在不同移动终端上登录时应向用户进行信息提示; 登录完成后的会话管理阶段的所有请求都需要对用户的合法身份进行鉴别,鉴别通过后才能进 行操作。 d 应采取会话保护措施,防止软件与后台服务器之间的会话被窃听、篡改、伪造、重放等; e) 应确保用户在执行注销/登出后,会话被安全终止; 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,自动退出登录状态; g 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话 来消耗系统资源,影响业务的可用性。
会话结束后应立即清除敏感数据缓存,防止信息泄露; b 在不同移动终端上登录时应向用户进行信息提示: 登录完成后的会话管理阶段的所有请求都需要对用户的合法身份进行鉴别,鉴别通过后才能进 行操作。 d 应采取会话保护措施,防止软件与后台服务器之间的会话被窃听、篡改、伪造、重放等; e 应确保用户在执行注销/登出后,会话被安全终止; f) 应设计合理的账户登录超时控制策略,当用户闲置在线状态超出时限时,自动退出登录状态; g 应限制会话并发连接数,限制同一用户的会话并发连接数,避免恶意用户创建多个并发的会话 来消耗系统资源,影响业务的可用性
移动互联网应用程序和服务器之间的通 如使用第三方服务器,应建立服务器与移动互联网应用程 序之间的加密安全通道,防止信息被第三方截获或算改。
移动互联网应用程序在数据录入时,应满足以下要求: )用户输入密码等客户敏感信息时,不应明文显示; b)移动互联网应用程序应支持界面返回后自动清除该界面客户敏感信息的机制。
移动互联网应用程序在数据存储时,应满足以下要求: a)移动互联网应用程序不应在客户未许可或不知情的情况下存储客户敏感信息,且不应以任何形 式存储密码信息; 移动互联网应用程序删除后,应清除移动终端中的所有客户信息; 移动互联网应用程序退出时,应清除或加密存储客户的敏感数据。
移动互联网应用程序在开发时,应满足以下要求: a)移动互联网应用程序开发过程中应考虑编码安全性,减少应用程序安全漏洞; b)所使用的第三方开发工具和第三方插件应是安全的; C)认证逻辑、校验功能应在服务器端完成。
移动互联网应用程序应满足以下安全性功能要求 )移动互联网应用程序在开发完成TCECA-G 0076-2020 “领跑者”标准评价要求 电吹风,正式上线前,应进行安全测试和渗透测试; b)应提供安全性功能操作文档,应提供安全性功能测试文档。
移动互联网应用程序在发布时,应满足以下要求: a) 正式版本发布时,应删除测试数据和所有用于调试的代码: 移动互联网应用程序应采用发布机构的证书进行签名,标识应用程序的发布者,签名证书应由 专门岗位管理; C 移动互联网应用程序应有规范的上线发布流程,并应提供安全可靠的移动应用软件下载、发布、 升级渠道。
JR/T 01922020
日志管理应满足以下要求: a)日志应存储于掉电非易失性存储介质中; 仅允许授权用户以只读形式访问日志,且支持日志审计; 日志应具备查询功能; d)日志不应记录客户敏感信息; 日志应存放于服务器端; +) 日志保存的时间不少于十二个月,满足业务管理、审计、监督检查等需要
型 2]GB/T18336.2一2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求 3]GB/T18336.3信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求 4]GB/T20984一2007信息安全技术信息系统风险评估规范 5]GB/Z28828一2012信息安全技术公共及商用服务信息系统个人信息保护指南 6]JR/T0068一2015网上银行系统信息安全通用规范 71证券公司网上证券信息系统技术指引中国证券业协会2015年3月13日