标准规范下载简介

JR／T 0240-2021 证券期货业移动互联网应用程序安全检测规范.pdf

应在对密码进行修改前验证用户身份

应在对密码进行修改前验证用户身份

JG／T 270-2010 工业构筑物水泥基耐磨材料.pdf5.3.1.1安全协议

5.3. 1.1.1检测目的

检查移动互联网应用程 通信协议和加密算法。

5. 3. 1. 1. 2 检测流程

检查移动互联网应用程序与服务器是否正确配置安全通信协议，在敏感数据传输时是否对服务 的合法性进行校验。

5. 3. 1. 1. 3通过要求

5. 3. 1. 2 安全版本

5.3. 1. 2. 1检测目的

关网应用程序与服务器之间的通信是否使用安全

JR/T 02402021

5. 3. 1. 2. 2 检测流程

5. 3. 1. 2. 3通过要求

讯协议的安全版本，取消对存在安全隐患版本切

5. 3. 1. 3密码安全

5.3.1.3.1检测目的

验查移动互联网应用程序与服务器通信过程中是否使用国家密码主管部门认可的安全加密算法

5.3.1.3.2检测流程

）检查开发文档，了解移动互联网应用程序使用的加密算法和密钥长度； 检查移动互联网应用程序与服务器重要通信过程和重要存储过程中使用的加密算法和密钥 度是否符合国家密码主管部门的要求。

5.3.1.3.3通过要求

应使用国家密码主管部门认可的安全加密算法和密钥长度。

5. 3. 2 会话管理

5.3.2.1缓存信息保护

5.3.2.1.1检测目的

5. 3. 2. 1. 2 检测流程

a）检查开发文档中，移动互联网应用程序在会话结束后是否有清除敏感数据缓存的措施 b）检查移动互联网应用程序在会话结束后是否立即清除敏感数据缓存。

5. 3. 2. 1. 3通过要求

5. 3. 2. 2 安全提示

5. 3.2.2. 1检测目的

互联网应用程序在不同移动终端上登录时是否向

5. 3. 2. 2. 2 检测流程

检测流程如下： a）检查开发文档中，移动互联网应用程序是否具备不同移动终端上登录的用户提示措施 b）使用不同移动终端登录移动互联网应用程序，检查程序是否向用户进行信息提示

5. 3. 2. 2. 3通过要求

同移动终端上登录时应向用户进行信息提示。

5. 3. 2. 3会话鉴别

5. 3. 2.3.1检测目的

5. 3. 2. 3. 2检测流程

JR/T02402021

检查服务端是否对登录完成后的会话 的所有请求进行合法身份鉴别（如token方式） 删除身份鉴别信息和替换无权限用户的鉴别信息进行请求，

5. 3. 2. 3. 3通过要求

5. 3. 2. 4 会话保护

5.3.2.4.1检测目的

检查是否对会话采取保护措施，防止软件与后台服务器之间的会话被窃听、改、伪造、重

5.3.2.4.2检测流程

检测流程如下： a）通过网络层截包分析等方式获取通信报文，查看程序与后台服务器之间的会话是否采取加密等 保护措施； b）在应用层尝试获取会话信息，获取后进行篡改和伪造，查看服务器后台是否响应该非法报文； ℃）在应用层尝试对关键业务操作进行重放攻击，查看服务器后台是否响应该重放报文。

5. 3. 2. 4. 3通过要求

5. 3. 2. 5 会话终正

5. 3. 2. 5. 1检测目的

5. 3. 2. 5. 2检测流程

关网应用程序在用户执行注销/登出后，会话是否

使用正常用户在移动互联网应用程序上进行登录操作获取合法权限，收集正常用户的会话信息 行注销/登出操作；尝试使用之前的会话信息与服务器进行数据交互，查看该会话是否仍然存在 访问权限。

5.3.2.5.3通过要求

用户执行注销/登出后，会话应被安全终止。

JR/T 02402021

JR/T02402021

5.3.2.6会话超时

5. 3. 2. 6. 1 检测目的

检查移动互联网应用程序是否设计合理的会话超时控制策略

检查移动互联网应用程序是否设计合理的会话超时控制策略，

5.3.2.6.2检测流程

使用正常用户在移动互联网应用程序上进行登录操作建立有效会话，当会话超出预先设定时限时 能够自动退出会话状态。

5. 3. 2. 6. 3通过要求

为会话超时控制策略，当会话超出预先设定时限

5.3.2.7并发限制

5. 3. 2. 7. 1检测目的

检查移动互联网应用程序与服务器的连接是否限制会话并发连接数，限制同一用户的会话 数。

5. 3. 2. 7. 2 检测流程

检测流程如下： a）检查服务器配置，是否对同一用户的连接会话数量进行限制； b）询问管理员是否限制同一用户的会话并发连接数，然后通过同一用户在不同的移动终端上采用 移动互联网应用程序进行登录操作，查看是否触发限制功能，

5. 3. 2. 7. 3通过要求

应限制会话并发连接数，限制同一用户的会话并发连接数，避免恶意用户创建多个并发的会话来消 耗系统资源，影响业务的可用性

5.3.3第三方网络通信

5.3.3.1安全通道

5. 3. 3. 1. 1检测目的

5. 3. 3. 1. 2 检测流程

检测流程如下： ）检查开发文档中，移动互联网应用程序和服务器中间的通信是否经过第三方服务器； 检查移动互联网应用程序与服务器是否建立安全的加密通道，加密算法和密钥长度是否符合 家密码主管部门的要求。

5.3.3.1.3通过要求

移动互联网应用程序和服务器之间的通信如使用第三方服务器，应建立服务器与移动互联网应用 间的加密安全通道，防止信息被第三方截获或篡改

5. 4. 1数据录入

5.4. 1.1数据录入安全

5. 4. 1.1.1 检测目的

5. 4. 1. 1. 2 检测流程

JR/T02402021

通过检查开发文档等方式，发现移动互联网应用程序需要输入密码的业务功能点，检查在用 码时，是否以非明文形式显示。

5. 4. 1. 1. 3通过要求

用户输入密码时，不应以明文显示。

6.4.1.2页面返回保护

5.4.1.2.1检测目的

5. 4. 1. 2. 2 检测流程

应用程序是否支持界面返回后自动清除该界面每

检测流程如下： a）检查开发文档中关于页面返回后自动清除个人信息的说明； b）检查移动互联网应用程序哪些页面涉及敏感数据的显示和处理； c）操作移动互联网应用程序进入涉及敏感数据显示和处理的页面，输入敏感数据后通过各种方式 （切到其它页面、切到后台等）重新进入该页面，检查敏感数据是否自动清除； d）调出后台列表界面，查看移动互联网应用程序客户端在后来列表中的预览界面是否采取模糊或 其他防护措施。

5.4.1.2.3通过要求

移动互联网应用程序应支持界

5. 4. 2数据存储

5.4.2.1敏感信息存储

5.4.2.1.1检测目的

5. 4. 2. 1. 2 检测流程

检测流程如下： a）检查开发文档中对于移动互联网应用程序在个人敏感信息存储的规定； b）个人敏感信息的范围包括但不限于账户口令、身份证号码、财产信息等：

JR/T 02402021

c）使用文件系统管理工具检查移动互联 八数感信息： 与开发文 档中的规定是否一致； d）检查移动互联网应用程序存储个） 或明示同意

5. 4. 2. 1. 3通过要求

移动互联网应用程序不应在客户未许可或不知情的情况下存储个人敏感信息，且不应以任何形式 文密码信息。

5.4.2.2客户信息保护

5.4.2.2.1检测目的

5. 4. 2. 2. 2检测流程

检测流程如下： a）检查开发文档中，移动互联网应用程序卸载后移动终端中是否仍有客户信息残留相关 b）使用文件系统管理工具检查移动互联网应用程序卸载后，移动终端中是否仍有客户信

5.4.2.2.3通过要求

5.4.2.3敏感信息保护

5. 4. 2. 3. 1检测目的

5. 4. 2. 3. 2 检测流程

验测流程如下： ）检查开发文档中，关于移动互联网应用程序退出时是否清除或加密存储客户敏感数据相关说明 使用文件管理工具或内存搜索工具检查移动互联网应用程序退出时是否清除文件系统中客户 感数据。

5. 4. 2. 3. 3通过要求

5. 5. 1 安全需求

5.5.1.1安全需求

5.5.1.1.1检测且的

检查移动互联网应用程序在架构设计时是否制定安全需求 5. 5. 1. 1. 2 检测流程

JR/T02402021

查看移动互联网应用程序的安全需求，

5. 5. 1. 1. 3通过要求

移动互联网应用程序在架构设计时应制定安全需求，描述移动互联网应用程序应具备的安全

5. 5. 2. 1安全编码

5.5.2.1.1检测且的

5. 5. 2. 1. 2 检测流程

5. 5. 2. 1. 3通过要求

5. 5. 2. 2 安全插件

5.5.2.2.1检测且的

是否使用安全的第三方开发工具和第三方插件

5. 5. 2. 2. 2 检测流程

a）检查移动互联网应用程序中的第三方插件是否具有安全测试报告或证书： b）检查所使用的第三方开发工具是否经过安全认定和检查。

5. 5. 2. 2. 3通过要求

5. 5. 2. 3 安全逻辑

5.5.2.3.1检测目的

5. 5. 2. 3. 2检测流程

正的逻辑、重要数据的校验功能是否在服务器端

检测流程如下： a）检查移动互联网应用程序的身份认证逻辑是否在服务器端完成； b）检查重要数据的校验功能是否在服务器端完成，如数据报文的完整性校验、口令的复杂度校验 （若口令在客户端采用不可逆算法，则可在客户端进行校验）等。

5. 5. 2. 3. 3通过要求

认证逻辑、校验功能应在服务器端完成

JR/T 02402021

JR/T 02402021

5. 5. 3 安全测试

5. 5. 3. 1上线测试

5.5.3.1.1检测目的

互联网应用程序正式上线前是否进行安全测试，

5. 5. 3. 1. 2 检测流程

询问管理员移动互联网应用程序上线前是否进行安全测试，并查看相关的测试报告

5.5.3.1.3通过要求

5. 5. 3. 2 功能测试

5. 5. 3. 2. 1 检测目的

查是否提供安全功能操作和安全功能测试文档

5. 5. 3. 2. 2 检测流程

检查是否提供安全功能操作和安全功能测试文档，是否与移动互联网应用程序的实际情

5.5.3.2.3通过要求

应提供安全功能操作文档，应提供安全功能测试文档。

5. 5.4.1测试数据

5. 5. 4. 1. 1检测目的

式版本发布时，是否删除测试数据和所有用于

5. 5. 4. 1. 2 检测流程

5. 5. 4. 1. 3通过要求

正式版本发布时，应删除测试数据和所有用于调试的代码。

5. 5. 4. 2 证书签名

5. 5. 4. 2. 1检测目的

5.5.4.2.2检测流程

JR/T0240202

检测流程如下： a）查看移动互联网应用程序的签名证书，查看证书的标识是否与来源保持一致； b）询问管理员签名证书是否由专门岗位管理。

5.5.4.2.3通过要求

移动互联网应用程序应由发布机构进行签名，签名证书应标识应用程序的发布者，签名证书应 岗位管理。

5.5. 4. 3上线发布

5. 5. 4. 3. 1检测目的

检查移动互联网应用程序是否有规范的上线发布流程，是否提供安全可靠的移动应用软件下载、发 布、升级渠道。

5. 5. 4. 3. 2检测流程

检测流程如下： a）查看移动互联网应用程序上线发布流程的规范文档； b）询问管理员移动互联网应用程序的下载、 发布、升级渠道，并评估该渠道的安全性

5. 5. 4. 3. 3通过要求

移动互联网应用程序应有规范的上线发布流程，并提供安全可靠的移动应用软件下载、发布、升级 渠道。

5.6.1.1且志内容

5. 6. 1. 1.1检测目的

检查移动互联网应用程序 否对用户重要操作进行记录

5. 6. 1. 1. 2 检测流程

5. 6. 1. 1. 3通过要求

5. 6. 1. 2 操作且患

5. 6. 1. 2. 1检测目的

JR/T 02402021

检查移动互联网应用程序服务端是否如实记录用户各项重要操作，如对用户登录成功和失败进行记

5. 6. 1. 2. 2 检测流程

登录后台服务器日志系统，查看系统是否记录用户的各项重要操作，如登录成功和失败日志等。

5.6.1.2.3通过要求

日志应如实记录用户各项重要操作，如用户登录成功和失败；校验失败的次数超出阈值导 接终止等。

5. 6. 1. 3 调试且志

5.6.1.3.1检测目的

险查移动互联网应用程序是否在移动终端产生开发过程的调试日志

5. 6. 1. 3. 2 检测流程

查看移动互联网应用程序客户端操作系统的日志记录文件，查找移动互联网应用程序是否 统提供开发过程的调试日志。

5.6.1.3.3通过要求

发布的移动终端程序应不包含调试过程中的日志

5. 6. 2. 1日志存储

5.6.2.1.1检测目的

检查日志是否存储于掉电非易失性存储介质中。

验查日志是否存储于掉电非易失性存储介质中。

5.6.2.1.2检测流程

查看移动互联网应用程序服务端的日志信息，是否采取安全措施（如备份等）进行要善保护，防止 日志丢失。

5.6.2. 1.3通过要求

日志应存储于掉电非易失性存储介质中。

5. 6. 2. 2且志访间

5.6.2.2.1检测目的

检查日志是否仅允许授权用户以只读形式访问日志，且支持日志审计。

5. 6. 2. 2. 2 检测流程

流程如下： 问管理员是否将审计日志提供审计管理员进行日

b）查看日志的权限管理功能，是否仅允许授权用户以只读形式访间日志。

5. 6. 2. 2. 3通过要求

应仅允许授权用户以只读形式访问日志，且支持日志审计。

5. 6. 2. 3且志查询

5. 6. 2. 3. 1检测目的

日志是否能够进行查询和分析。

日志是否能够进行查询和分析

5.6.2.3.2检测流程

JR/T02402021

查看移动互联网应用程序服务端的日志信息，是否部署相关工具或开发相关功能能够对日志信 整体查询和分析，

5. 6. 2. 3. 3通过要求

5.6.2.4敏感日志保护

5. 6. 2. 4. 1检测目的

5.6.2.4. 2检测流程

查看服务端的日志记录，查看客户信息的相关内容，根据信息的敏感性进行筛选和甄

的日志记录，查看客户信息的相关内容，根据信息的敏感性进行筛选和甄别

5.6.2.4.3通过要求

日志不应记录个人敏感信息

5.6.2.5存储位置

5. 6. 2. 5. 1 检测目的

检查日志是否存放于移动互联网应用程序服务端。

检查日志是否存放于移动互联网应用程序服务端。

5.6.2.5.2检测流程

查看移动互联网应用程序服务端的日志记录。

查看移动互联网应用程序服务端的日志记录

5.6.2.5.3通过要求

日志应存放于服务器端。

5. 6. 2. 6 保存时间

5. 6. 2. 6. 1 检测目的

JR/T 02402021

5.6.2.6.2检测流程

互联网应用程序服务端的日志记录，查看最早记

5.6.2.6.3通过要求

于移动互联网应用程序服务端且保存的时间不少

5. 7.1 检测目的

行业机构依据《APP违法违规收集使用个人信息行为认定方法》，采取有效措施加强移动互联网 序的个人信息保护。

依据《APP违法违规收集使用个人信息行为认定方法》，通过管理和技术手段，检测移动互联网应 用程序是否完全满足个人信息保护要求

5. 7. 3 通过要求

移动互联网应用程序的个人信息保护能力依据《APP违法违规收集使用个人信息行为认定方法》规 定

GBT36402-2018 陶瓷材料的热分析--质谱联用测试方法A类检测项和B类检测项见表1

JR/T02402021

附录A （规范性） A类检测项和B类检测项统计

表1A类检测项和B类检测项

钢结构工程施工方案--精选--04--(15套)JR/T 02402021

表1A类检测项和B类检测项（续）

JR/T02402021