移动应用开发安全规范

移动应用开发安全规范 1 数据保存规范 1 1 所有敏感信息不要保存到外部存储中 1 2 S1 级别的敏感信息不能在客户端保存 1 3 S2 级敏感数据必须加密保存 1 采取权威的主流加密算法 如 DES AES RSA 等 2 选取秘钥的长度必须足够长 以便满足安全性要求 3 加密算法的实现方法 必须采用操作系统官方提供的接口 或是各 语言标准算法库提供的函数 4 严禁自己设计 实现机密算法 注 敏感数据定义详见 10 敏感数据定义安全规范 一节 2 网络传输规范 客户端与服务端之间通信的网络是不可信的 包括运营商网络和 wifi 无线网络 2 1 认证授权相关网络传输安全规范 登录 注册 密码找回等属于认证授权环节的网络传输需要使用 https 协议 传输 2 3 敏感数据传输需要使用 https 协议 敏感数据定义详见 10 敏感数据定义安全规范 一节 2 3 服务端的证书必须由权威的 CA 机关提供 服务端不能采用自签名的方式提供证书 客户端需要实现验证服务端证书 合法性的功能 2 4 采用其他加密算法进行传输加密的规范 不建议使用 对于无法采用 https 协议进行加密通信的场景 需要使用其他加密通信方案 的必须按照以下规范实施 1 采取权威的主流加密算法 如 DES AES RSA 等 2 选取秘钥的长度必须足够长 以便满足安全性要求 3 加密算法的实现方法 必须采用操作系统官方提供的实现 或是各 语言标准算法库提供的实现 4 客户端 服务端之间需要有验证双发合法性身份的机制 5 严禁自己设计 实现机密算法 2 5 自动升级的安全规范 1 为了能够及时修复已发布产品的安全漏洞 必须具备在线升级的功 能 2 在线升级功能的实现上必须对更新程序进行完整性检查 避免在升 级程序在网络传输中被替换掉 3 页面展示规范 3 1 S0 级敏感信息不能在页面中直接显示 3 2 S1 级敏感信息不能在页面中完全显示 可以采用 隐藏部分内容后再页面上显示 3 3 S2 级敏感信息规范 1 单个信息展示 可以全部内容展示 2 同时展示 5 个以上该类信息的页面 需要对该类信息的内容做不完 全展示 使用 隐藏部分内容 如 用户列表的展示页面 4 日志安全规范 4 1 敏感数据不能保存在日志中 所有 S1 S2 S3 级别的敏感数据均不能在日志中出现 确实需要出现 的 需要保存时隐去部分信息 4 2 正式发布版本不能包含 debug 级以下日志 4 3 关键操作日志记录规范 1 登录 修改密码 付款等关键操作 需要在日志中进行记录 2 关键操作日志的记录位置应该是服务器端 5 身份认证 授权和会话管理规范 5 1 身份认证机制安全规范 1 需要设计有效的身份验证机制 2 如果采取账号密码的认证机制 密码需要 6 位以上 字母数字混合 3 涉及交易 资金等核心业务 需要有二次认证机制 5 2 身份认证应该绑定终端用户的身份 绑定的对象是用户的身份 而非用户的设备 5 3 会话管理安全规范 登录完成后的会话管理阶段的所有请求都需要对用户的合法身份进行鉴别 如 token 方式 鉴别通过后才能进行光管的操作 5 4 使用第三方认证安全规范 1 使用 OAuth2 0 协议作为第三方登录认证的协议 2 严格按照第三方开放平台接入规范执行 3 认证逻辑尽量放在服务器端完成 不要放在客户端 6 服务端安全规范 需要按照 web 服务安全规范 执行 重点关注以下几点 6 1 有效防范常规的 XSS SQL 注入 CSRF 等 web 安全 漏洞 6 2 对水平权限 垂直权限等与业务场景关系紧密的安全 漏洞有防范措施 6 3 有防范 DDOS CC 攻击的安全方案 保障后端 API 服 务 和平台的安全 7 针对使用第三方或开源的代码库 框架的安全规范 7 1 在同类产品中排名前三位的代码库或框架 7 2 有团队在持续维护 最近两年内至少发不过一个新版 本或更新过 bug 7 3 国外有 Google 亚马逊 微软等或国内有百度 阿里 腾讯等厂商使用的代码库或框架优先考虑 8 应用模块 接口安全规范 8 1 应用内模块组件间的验证 应用内各组件 模块间调用要进行验证 确保调用方和被调用方多有应用 内的合法安全模块 没有被替换的风险 8 2 对被调用的外部模块的验证 应用对调用的外部模块或组件 需要有完整的验证机制 确保被调用者的 合法性 8 3 对外部调用者合法性验证 应用对外提供服务 数据访问接口的功能 需要对调用者的合法性进行验 证 注 对于 android 系统重点关注 Activity BroadcastReceive Service Content Provider 各组件之间访问的安全性 9 发布安全规范 9 1 测试版本严禁发布 1 输出测试 log 的版本 2 使用测试签名的版本 9 2 使用公司官方证书签名后的版本才能正式发布 9 3 签名证书需要集中管理有有专人负责 10 敏感数据定义安全规范 级别 内容 定义要求 显示规范 备注 S1 密码 6 位以上 数字 字母组合 禁止显示 登录密码 身份证号码 护照 号码等 前三位 后三位 电话号码 前三位 后四位 S2 用户 id 11 位以上 不连 续数字 至少隐去中间 4 位 邮箱 至少隐去中间 4 位 用户手机上的隐私 信息 通信录 短 信等 只可用作信 息收集 用户名 用户地址 用户账户金额 交易记录 S3 GPS 信息