《企业移动智能终端应用开发、安装、运行管控机制指南(T-ZSA 9—2020).pdf》由会员分享,可在线阅读,更多相关《企业移动智能终端应用开发、安装、运行管控机制指南(T-ZSA 9—2020).pdf(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.240L70/84团团体体标标准准T/ZSA 9-2020代替 T/ZSA 3001.01-2016企业移动智能终端应用软件开发、安装、运行管控机制指南App developing,installing,running management and control mechanism guidelinefor enterprise mobile smart terminal2020-10-27 实施中中关关村村标标准准化化协协会会发发布布2020-10-26 发布T/ZSA 9-2020I目次前言.II引言.III1 范围.42 规范性引用文件.43 术语和定义.44 要求.54
2、.1通用 APP基本流程.64.2定制 APP基本流程.64.3企业专用证书定制 APP基本流程.7附录A(规范性附录)EMCG 应用审核指南.9附录B(资料性附录)EMCG 应用软件安全开发指南.14T/ZSA 9-2020II前 言本文件按照 GB/T 1.12020标准化工作导则 第 1 部分:标准化文件的结构和起草规则给出的规则起草。本文件代替T/ZSA 3001.01-2016企业移动智能终端应用开发、安装、运行管控机制(指南),与T/ZSA 3001.01-2016相比除编辑性改动外,主要技术变化如下:a)标准名称,原标准名称“企业移动智能终端应用开发、安装、运行管控机制(指南)”
3、修改为“企业移动智能终端应用开发、安装、运行管控机制指南”。b)引言,增加了“网络安全等级保护国家标准GB/T 22239-2019 对组织机构使用移动应用软件(App)开发、检测及签名等提出要求。”的表述,删除了原标准“2014 年”等相关内容表述。c)2 规范性引用文件,增加了的2个引用文件。d)3 术语和定义,将分散在各章节中的术语与定义,归集至“3 术语与定义”中,并增加了移动智能终端、App、数字签名(密码签名)3 个术语及定义。e)基本流程,删除“基本流程”三级标题,并到上一级标题。修改为4.1 通用App 基本流程、4.2 定制App 基本流程、4.3 企业专用证书定制App 基
4、本流程。f)各节流程图,4 基本要求中的图1、图2、图3 等,附录B 中的各图均增加了图题,图的步骤框描述修改成段落描述。g)4.1 通用App 基本流程,增加了“以下流程中App 签名须使用国家密码管理部门核准的密码技术。”的表述。h)4.2 定制App 基本流程,增加了“以下流程中App 签名须使用国家密码管理部门核准的密码技术。”的表述。i)4.3 企业专用证书定制App 基本流程,增加了“以下流程中App 签名须使用国家密码管理部门核准的密码技术。”的表述。j)附录A(规范性附录)EMCG 应用审核指南,A.8 条题“隐私”修改为“隐私与权限”,A8.1条文增加“未得用户同意,不得收集
5、并上传用户敏感信息和用户行为统计等信息”的内容,增加“A.8.2 应公开用户数据的收集、使用及分享方式,数据应仅用于公开说明的用途,且须获得用户的同意。”、“A.8.5 不得获取与软件无关的权限。”、“A.8.6 请求权限必须给用户提示授权。不得未得授权自动发短信、打电话、启动系统服务(蓝牙、GPS)、打开网络连接等。”等条文。本文件代替标准历次版本发布情况:T/ZSA 3001.012016。本文件由中关村标准化协会技术委员会提出并归口。请注意本文件的某些内容可能涉及专利。中关村标准化协会不承担识别这些专利的责任。本文件主要起草单位:中关村网络安全与信息化产业联盟、华为技术有限公司、联想集团
6、、北京小米科技有限责任公司、奇虎360科技有限公司、北京元心科技有限公司、安天实验室、北京中油瑞飞信息技术有限责任公司、杭州安恒信息技术有限公司、江苏通付盾科技有限公司。本文件主要起草人:王克、王梓、刘长山、石晓宏、张建国、黄晟、潘宣辰、宋超。T/ZSA 9-2020III引 言随着 4G、5G 移动网络及智能移动终端技术快速发展,使用移动互联技术处理业务信息已成为政府提高办事效率,企业产业转型升级的重要手段,网络安全等级保护国家标准GB/T 22239-2019 对组织机构使用移动应用软件(App)开发、检测及签名等提出要求。为保障政企单位移动信息化建设发展,解决移动应用软件安全问题,需建立
7、移动应用软件管控机制。T/ZSA 9-2020企业移动智能终端应用软件开发、安装、运行管控机制指南1范围本文件规定了移动应用软件(App)开发准入、软件开发、软件签名及验证、软件审核、软件发布、软件安装及运行监管等过程。本标准适用于智能终端厂商、应用开发者、企业应用软件服务商实施企业移动应用软件(App)的生命期管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GM/Z 0001-2013密码术语T/EMCG 001.1-2019 移动智能终端密码模块技术框架 第1部
8、分:总则3术语和定义GM/Z 0001-2013界定的以及下列术语和定义适用于本本件。3.1移动智能终端 mobile smart terminal能够接入移动通信网,具有提供应用软件开发接口的开放操作系统,并能够安装和运行第三方移动应用软件的移动设备。包括手机、Pad,这些设备可以是市场通用型的,也可以是政企机构专用型的。T/EMCG 001.1-2019 移动智能终端3.2App(移动应用软件)application安装在移动智能终端上,能够利用移动智能终端设备上操作系统提供的开发接口,实现某项或某几项特定任务的应用程序,包括移动智能终端预置的应用程序,以及通过网站、应用商店等移动分发平台
9、下载、安装和升级的应用程序。3.3数字签名(密码签名)digital signature签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。GM/Z 0001-2013 术语2.1133.4官方机构 official authority社会公认的组织,可以是政府机构,也可以是社会团体、企业、联盟、协会等实体。3.5App 开发者 App developer企业移动智能终端应用软件开发组织。T/ZSA 9-202053.6EMCG(中关村网络安全与信息化产业联盟-企业移动计算工作组)企业 A
10、pp 服务中心enterprise app services ESS遵照 EMCG 标准建立的为企业移动终端提供软件管理的服务平台。3.7软件市场 App 商店 software market App shop面向社会的移动终端软件商店。3.8EMCG 终端 EMCG smart mobile terminal具有验证、安装官方机构签名 app 能力的移动智能终端。3.9EMCG-App经官方机构颁发或授权数字证书签名的 App。3.10App 测试证书 test certificate官方机构颁发的,用于开发者进行 APP 开发调试的数字证书。3.11App 发布证书 publish cer
11、tificate官方机构颁发的,用于开发者进行 APP 发布的数字证书。3.12官方机构证书 official authority certificate官方机构数字证书,用于 EMCG-App 发布。3.13App 内部发布证书 internal publishcertificate官方机构颁发的,用于开发者进行APP企业内部发布的数字证书。3.14企业内部 App 管理中心 internal App management centreApp使用企业建立的用于企业App管理的系统平台。3.15企业专用证书 enterprise special certificate社会各团体组织已经建立的C
12、A管理的证书。3.16授权证书 authorized certificate经官方机构批准授权(官方机构签名)的企业专用证书。3.17企业移动App enterprise App是指移动智能终端出厂后由用户下载安装使用的App,包括通用App、定制App、企业专用证书定制App。4要求T/ZSA 9-20204.1 通用 App 基本流程通用App适用于企业使用的通用功能的App(如计算器、日历等)。通用App开发、安装、运行管控机制基本流程如图1所示。以下流程中App签名须使用国家密码管理部门核准的密码技术。1图 1 通用 App 开发、安装、运行管控机制基本流程流程要求:a)开发申请:Ap
13、p 开发者向官方机构提交 App 开发申请;b)审核批准:官方机构对开发者进行资质审核,审核通过,官方机构发给开发者 App 测试证书和 App 发布证书。开发者私钥自己保存,公钥发给官方机构;c)App 开发:开发者开发企业移动 App 软件。开发过程中开发者使用 App 测试证书(对应的私钥)对开发的 App 进行密码签名,以便开发调试。参考附录 B EMCG 应用软件开发(安全)指南进行 App 开发;d)App 审核:开发者完成 App 开发后向官方机构提交,提交的 App 必须使用发布证书(对应的私钥)进行密码签名;官方机构将按照附录 A 对提交的 App 进行审核;e)官方签名:官
14、方机构使用官方机构证书(对应的私钥)对审核通过的 App 在开发者签名基础上再进行密码签名,生成 EMCG-App;将 EMCG-App 发给开发者;f)App 发布:经官方机构密码签名的 EMCG-App 默认在 EMCG 应用管理系统中存档,开发者可以选择立即发布到 EMCG 企业软件服务中心,或者选择上架发布时间;上架后的 EMCG-App也可以随时选择下架;开发者也可下载 EMCG-App 并自行发布到其他软件市场应用商店;g)App 安装运行:企业 EMCG 终端可从软件市场 App 商店或 EMCG 企业 App 服务中心下载安装EMCG-App;EMCG-App 安装和运行时,E
15、MCG 终端进行 App 签名验证,只有经官方机构签名的 App 方可安装及运行;非 EMCG 终端也可从软件市场 App 商店下载 EMCG-App。4.2 定制 App 基本流程定制App适用于企业使用的专用功能的App。定制App开发、安装、运行管控机制基本流程如图2所示。以下流程中App签名须使用国家密码管理部门核准的密码技术。消费市场 APP 商店消费市场 APP 商店软件市场 App 商店官方机构EMCG 企业 App 服务中心App 开发者企业 EMCG 终端1234667756T/ZSA 9-202073.2图 2 定制 App 开发、安装、运行管控机制基本流程流程要求:a)开
16、发申请:App 开发者向官方机构提交软件开发申请;b)审核批准:官方机构对开发者进行资质审核,通过审核后官方机构发给开发者 App 测试证书和 App 内部发布证书。开发者私钥自己保存,公钥发给官方机构;c)App 开发:发者开发企业移动 App 软件。开发过程中开发者使用 App 测试证书(对应的私钥)对开发的 App 进行密码签名,以便开发调试。参考附录 B 进行 App 开发;d)App 签名发布:开发者完成软件开发后用 App 内部发布证书(对应的私钥)进行密码签名,生成 EMCG-App;开发者将 EMCG-App 发到企业内部 App 管理中心;e)App 安装运行:企业用户 EM
17、CG 终端从企业内部 App 管理中心下载安装 EMCG-App;EMCG-App 安装和运行时,EMCG 终端进行 App 签名验证,只有经官方机构证书签名的App 方可安装及运行。4.3 企业专用证书定制 App 基本流程企业专用证书定制App适用于为已建立CA的企业开发本企业专用App。企业专用证书定制App开发、安装、运行管控机制基本流程如图3所示。以下流程中App签名须使用国家密码管理部门核准的密码技术。图 3 企业专用证书定制 App 开发、安装、运行管控机制基本流程消费市场 APP 商店消费市场 APP 商店软件市场 App 商店官方机构企业内部 App 管理中心App 开发者企
18、业用户 EMCG 终端1245EMCG 企业 App 服务中心3消费市场 APP 商店消费市场 APP 商店软件市场 App 商店官方机构企业内部 App 管理中心App 开发者企业用户 EMCG 终端1246EMCG 企业 App 服务中心352T/ZSA 9-2020流程要求:a)开发申请:App 开发者向官方机构提交软件开发申请;b)批准及证书授权:官方机构对开发者进行资质审核,通过审核后开发者申请证书许可,并将企业专用证书相关数据发送给官方机构,官方机构将企业专用证书(或由官方机构签名)放到 EMCG 企业 App 服务中心;c)App 开发:开发者开发企业移动 App 软件。开发过程
19、中开发者使用企业专用证书(对应的私钥)对开发的软件进行密码签名开发调试。参考附录 B 进行 App 开发;d)App 签名发布:开发者完成 App 开发后用企业专用证书(对应的私钥)进行密码签名,生成 EMCG-App;开发者将 EMCG-App 发到企业内部 App 管理中心;e)证书下载:企业通过安全传输方式从 EMCG 企业 App 服务中心获得企业专用证书供企业EMCG 终端 APP 签名验证;f)安装运行:企业用户 EMCG 终端从企业内部 App 管理中心下载安装 EMCG-App;EMCG-App 安装和运行时,EMCG 终端进行 App 签名验证,只有经官方机构授权证书签名的
20、App 方可安装及运行。T/ZSA 9-20209附录A(规范性附录)EMCG 应用软件审核指南A.1条款与条件本指南旨在帮助开发者的程序通过中关村网络安全与信息化产业联盟 EMCG 的认可,而不是为了修改和删除开发者任何其他协议中的条款。A.2功能A.2.1 有严重错误导致应用崩溃、闪退的程序将会被拒绝;A.2.2 包含与开发者应用描述不符内容的应用将会被拒绝;A.2.3 使用非公开 API 的应用将会被拒绝;A.2.4 在用户不知情或者不通知用户的情况下,在后台进行任何与用户所使用的功能无关的操作的应用将会被拒绝;A.2.5 提供不正确诊断或其他不准确数据的应用将会被拒绝;A.2.6 与其
21、他开发者应用外观、名称、内容、界面、功能等相似或混淆的应用可能会被拒绝;A.2.7 用同一个功能模块开发大量相似产品,供用户反复下载的应用可能会被拒绝;A.2.8 将主应用拆分为大量单一应用让用户反复下载,只接受主应用,其它单一应用可能会被拒绝;A.2.9 应用内带有修改其他数据、存档等内容的功能;A.2.10 应用内包含骚扰用户性质的模块,包含但不限于电话或短信轰炸机类应用;A.2.11 存在非法窃取或上传用户隐私信息模块的应用将会被拒绝;A.2.12 未经授权的情况下发布、披露、收集、查询他人的隐私和机密信息的应用将会被拒绝;A.2.13 应用带有破解系统权限增加系统风险性功能的应用将会被
22、拒绝;A.2.14 应用中提供的服务于内容无法被认为是安全可靠的,可能存在导致用户的隐私受到侵犯或者财产受到损失的风险的应用可能会被拒绝;A.2.15 伪造真实用户信息进行恶搞或者其他用途的应用将会被拒绝;A.3安全性能A.3.1 源码存在安全隐患的应用将会被拒绝;T/ZSA 9-2020A.3.2 不符合国家相关安全标准的应用程序将会被拒绝;A.3.3 存在测试代码、数据和日志信息的应用将会被拒绝;A.3.4 数据传输过程中存在安全威胁的应用将会被拒绝;A.3.5 与应用关联的服务器层存在安全威胁的应用将会被拒绝;A.4广告A.4.1 内容主要是营销材料或者广告的程序将会被拒绝;A.4.2
23、上传他人应用的破解版本、嵌入广告 SDK 因此而获利的应用将会别拒绝;A.4.3 在应用中不合理地嵌入广告位,诱使用户误点而获利的应用将会被拒绝;A.4.4 人工刷广告浏览量或广告点击率的应用将会被拒绝;A.4.5 用不正当的方式提高应用的排名及好评率将会被拒绝;A.5推送A.5.1 首次推送通知或者要求推送通知之前未获得用户许可的应用将会被拒绝;A.5.2 使用推送通知发送个人敏感信息或机密信息的程序将会被拒绝;A.5.3 使用推送通知发送非请求消息,或用于钓鱼或群发垃圾信息用途的应用将会被拒绝;A.5.4 应用程序不可使用推送通知发送广告、促销或任何类型的直销信息。A.5.5 滥用推送通知
24、给用户造成明显骚扰的应用将会被拒绝;A.5.6 推送通知病毒、恶意软件、程序执行代码的应用将会被拒绝;A.5.7 使用推送通知发送提醒信息的应用需要在通知栏提醒信息中包含应用名称或其它可被用户直接辨别来源的信息,否则应用将会被拒绝;A.5.8 应用程序不能向使用推送通知服务的用户收取费用。A.5.9 使用推送通知会过多利用 APN 服务的网络流量或给设备带来过度负担的程序将会被拒绝;A.5.10 传送病毒、文件、计算机代码或程序,并且对 APN 服务的正常运行造成损害或中断的应用将会被拒绝;A.6损害设备A.6.1 怂恿用户以可能损害的方式使用移动设备的应用将会被拒绝;T/ZSA 9-2020
25、11A.6.2 快速耗光设备电量或产生过多热量的应用将会被拒绝;A.6.3 能导致用户人身伤害的 APP 将会被拒绝;A.7内容A.7.1 包含讨论政治新闻、政治人物等政治敏感内容的应用将会被拒绝;A.7.2 包含煽动性涉政新闻、散播谣言、扰乱社会稳定秩序内容的应用将会被拒绝;A.7.3 含有暴力、色情素材、非法色情交易的应用将会被拒绝;A.7.4 应用中出现人或动物被杀、致残以及枪击、刺伤、拷打等受伤情形的真实画面将会被拒绝;A.7.5 鼓励过量饮酒、物质滥用等,或鼓励青少年饮酒、吸烟的应用;A.7.6 包含描绘暴力或虐待儿童等内容的应用将会被拒绝;A.7.7 包含诽谤、批判性内容、人身攻击
26、性质、侵害他人或组织合法权益的应用内容将被拒绝;A.7.8 游戏中出现的“敌人”不可指向一个特定种族、文化、一个真实存在的政府、企业或者其他任何现实中的实体;A.7.9 对武器进行真实描述以怂恿非法使用或滥用这些武器的应用将会被拒绝;A.7.10 涉及宗教、文化或族群的引用或评论包含诽谤或攻击性内容的应用,或会使特定群体遭受伤害或暴力的应用将被拒绝;A.7.11 包含宣扬邪教、不健康文化等内容的应用将被拒绝;A.7.12 涉及到宗教、民族的应用内容不应该具有煽动性言论或者破坏民族团结的内容;A.7.13 包含令人反感、低俗或者激怒用户内容的应用将会被拒绝;A.7.14 请求、促进或鼓励犯罪或明
27、显鲁莽行为的应用将会被拒绝;A.7.15 包括虚假、欺诈或误导性陈述的应用将会被拒绝A.8隐私及权限A.8.1 在未经用户事先许可,或未告知用户如何使用信息以及在何处使用信息的情况下,应用不能传输用户数据;未得用户同意,不得收集并上传用户敏感信息和用户行为统计等信息;A.8.2 应公开用户数据的收集、使用及分享方式,数据应仅用于公开说明的用途,且须获得用户的同意;A.8.3 要求用户共享电子邮箱地址或者出生日期等私人信息才可使用其功能的应用将会被拒绝;A.8.4 收集、传输以及分享未成年用户个人信息的应用程序必须遵守儿童隐私法律,并且必须包含T/ZSA 9-2020隐私条款;A.8.5 向终端
28、用户或者任意第三方显示用户信息的应用将会被拒绝;A.8.6 不得获取与软件功能无关的权限;A.8.7 请求权限必须给用户提示授权。不得未经授权自动发短信、打电话、启动系统服务(蓝牙、GPS)、打开网络连接等。A.9应用元数据A.9.1 包含任何描述性文字,包含但不限于宣传口号、功能描述性文字的应用将会被拒绝;A.9.2 应用标题、简介、描述、副标题中出现与应用本身功能、内容无关的其他应用或品牌关键词将会被拒绝;A.9.3 应用名称、icon、截图与其他应用过度相似的可能会被拒绝;A.9.4 不当使用或未经授权使用受版权保护的文学、戏剧、影视剧集、综艺节目等作品的应用将会被拒绝;A.9.5 应用
29、 icon 包含未经授权的角标将会被拒绝;A.10 特殊行业A.10.1 包含彩票销售模块的应用必须由合法授权的应用开发者/公司发起;A.10.2 包含股票交易的应用必须由合法授权的应用开发者/公司发起;A.10.3 包含银行业务的应用必须由合法授权的应用开发者/公司发起;A.10.4 包含理财产品销售模块的应用必须由合法授权的应用开发者/公司发起;A.10.5 包含信用借贷类业务的应用必须由合法授权的应用开发者/公司发起;A.10.6 包含医疗咨询、医药销售、医疗器材销售等模块的应用必须由合法授权的应用开发者/公司发起;A.10.7 P2P 融资类应用、众筹类等涉及到用户资金财产安全的应用必
30、须由合法授权的应用开发者/公司发起;A.10.8 贵金属交易类应用必须由合法授权的应用开发者/公司发起;A.10.9 移植、汉化、街机、热门开源类游戏需要出示原版授权,否则会被拒绝;T/ZSA 9-202013A.10.10赌博类应用和游戏将会被拒绝;A.10.11包含可以向认证的慈善组织捐赠内容的应用必须是免费的。A.11 法律A.11.1 应用必须遵守各地用户遵守的任何法律要求;A.11.2 开发者有义务了解并遵守当地所有法律。T/ZSA 9-2020附录B(资料性附录)EMCG 应用软件安全开发指南B.1 Android 安全开发相关知识本手册是关于 Android 应用开发的一系列安全
31、建议,这里将讲述 Android 智能手机和平板电脑相关的通用安全设计和安全开发知识,在涉及后面的安全开发章节之前,我们建议你先熟悉下这个章节的内容。B.1.1 Android 应用安全关于测试系统或应用的安全问题,业界已经有一种普遍被接受的思路。首先,我们得理解保护对象,我们称之为资产;接下来,我们要尽可能多的理解发生在资产上的攻击可能性,我们称之为威胁;最后,我们将测试并执行安全措施保护资产,抵御各种威胁,我们称之为安全措施。上述提到的安全措施在这里我们把它叫做安全设计和安全开发,后面的章节会详细描述,本节内容,我们主要集中对资产和威胁进行解释说明。B.1.1.1资产-安全保护对象在系统或
32、应用里有两种保护对象:信息和功能。我们将它们称作信息资产和功能资产。信息资产是指那种只能被有权限的人访问或更改的信息,并且任何没有权限的人无法进行访问或更改。功能资产是指只能被有权限的人使用而其他人无法使用。下面,我们将介绍在 Android 智能机和平板电脑里存在的信息资产类型和功能资产类型。当利用Android 应用程序或 Android 智能机/平板电脑时,我们希望您能使用以下内容作为参考点来研究关于资产的内容。为了方便,我们将 Android 智能机/平板电脑简称为 Android 智能机。B.1.1.1.1Android 智能机的信息资产下面表 B.1、表 B.2、表 B.3 列举了
33、 Android 智能机包含的信息。恰当的保护是必要的,因为这些信息是个人信息、敏感信息或两者都有。表 B.1 Android 智能手机管理的信息样例表序号序号信息信息备注备注1电话号码智能手机自身电话号码2通话记录来电或去电的号码、时间和时间T/ZSA 9-202015序号序号信息信息备注备注3IMEI智能手机的设备 ID4IMSI国 际 移 动 用 户 识 别 码(IMSI:International Mobile SubscriberIdentification Number)5传感信息GPS,地理坐标、速率等6各种配置信息Wi-Fi 配置信息等7账号信息各种账号信息,认证信息等8多媒体
34、数据照片、视频、音乐、录音等9.表 B.2 应用程序管理的信息样例表序号序号信息信息备注备注1Contacts 联系人熟人等2E-mail 地址用户的 E-mail 地址3E-mail 邮箱Content of incoming and outgoing e-mail,attachments,etc.收件箱和发件箱、附件的内容等4Web 收藏夹收藏夹5Web 浏览记录浏览历史记录6Calendar 日历Plans,to-do list,events,etc.计划,任务列表,事件等7社交网络QQ、微信、微博、Facebook 等8.表 B.3 联系人包含详细信息样例表序号序号信息信息内容内容1电
35、话号码家庭电话、移动电话、传真、彩信等2E-mail 地址家庭 E-mail、工作 E-mail、移动电话 E-mail 等3照片缩略图、大图片等4即使通讯QQ、微信、易信、飞信、Skype 等5昵称首字母缩写、曾用名、昵称等6地址国家、邮编、地区、区域、城镇、街道等7组成员关系收藏联系人、家人、朋友、同事等8网站博客、主页、FTP 服务器等9事件生日、纪念日、其他T/ZSA 9-2020序号序号信息信息内容内容10关系配偶、子女、父亲、母亲、主管、助理、合伙人等11SIP 网络电话家庭、工作、其他等直到现在,我们的焦点主要放在智能手机的用户信息,然而,应用也会处理其他重要信息,下图展示了一个
36、应用内部信息的典型视图,被分为程序部分和数据部分。程序部分主要由应用开发者信息组成,数据部分则大部分是用户信息。由于应用的开发信息不想被用户访问,提供保护措施禁止用户访问或更改这类信息是非常重要的。图 B.1 应用内部信息的典型视图当创建一个 Android 应用时,非常重要的一件事是给图 B.1 中应用自身管理的信息采取合适的保护措施。然而,同等重要的是恰当地采取强健的安全策略保护 Android 智能手机自身包含的信息,同时也要保护被其他应用获取的信息,例如在表 B.1,表 B.2,表 B.3 中展示的信息。B.1.1.1.2Android 智能机的功能资产表 B.4 展示了 Androi
37、d OS 提供给应用的功能特性样例,当这些特性被恶意软件利用,意外的费用或隐私泄漏等损害将给用户带来严重损失。因此,恰当的保护措施应该作为信息资产的一个扩充被合理部布置。表 B.4 Android OS 提供给应用的特性样例Function 功能功能功能功能发送和接收短信相机拔打电话音量网络通信获取联系人列表和手机状态GPSSD 卡蓝牙通信变更系统配置T/ZSA 9-202017威胁(攻击)威胁(攻击)脆弱性资产资产影响威胁来源应用NFC 通信读取日志数据网络电话(SIP)获取运行中的应用信息.除了 Android OS 提供给应用的功能之外,Android 应用的应用间通信组件也是功能资产的
38、一部分。Android 应用可以允许其他应用通过访问他们内部组件来使用特性,我们称之为应用间通信。这是一个很方便的特性,然而,已经有很多例子,正是那些缺乏安全开发知识的开发人员,本应该只能被内部特定的应用使用的功能却错误地授权给其他应用访问。在设备本地还存在一些可能被恶意软件利用的应用功能,因此,非常有必要采取恰当的保护措施只允许合法应用访问这些功能。B.1.1.2威胁-危害资产的各类攻击在前面章节,我们谈论了关于 Android 智能机的资产,本章节,我们将讲解关于会对资产造成威胁的攻击。简而言之,对资产造成的威胁是指本应该没有权限的第三方可以访问、变更、删除或创建信息资产,或非法使用功能资
39、产。这种直接地或间接地攻击那些资产的行为就叫做“威胁”。而且,犯做这些行为的恶意人员或应用被称之为威胁来源。恶意的攻击者和恶意软件是威胁源头,但并非威胁本身。我们定义的资产、威胁、威胁来源、脆弱性以及危害之间的关系如下图 B.2 所示:图 B.2 资产、威胁、威胁来源、脆弱性以及危害之间的关系下图 B.3 展示的是 Android 应用行为的一个典型环境。从现在开始,为了使用这张图来拓宽说明一个 Android 应用所面对的威胁类型,首先我们将学习如何看懂这张图。T/ZSA 9-2020图 B.3 Android 应用行为的典型环境图 B.3 中,智能手机在左侧而服务器在右侧,它们之间通过 3
40、G/4G/Wi-Fi 通信,虽然一个智能手机里面存在多个应用,但我们在图中只显示单个应用以便更清晰的解释威胁。基于智能手机的应用主要处理用户信息,而基于服务器的 WEB 服务则集中管理所有用户信息。所以,和以往一样,这不会改变服务器安全的重要性,这里我们将不会涉及服务器安全相关话题,避免超出本手册范围。B.1.1.2.1威胁来自网络上的第三方图 B.4 网络第三方攻击应用示意图通常而言,一个智能手机应用是在某个服务器上管理用户信息,所以信息资产将在连接他们的网络上传输。如上图 B.4 所示,一个恶意的网络第三方可能访问(嗅探)通信之间的任何信息,或者试图修改信息(数据操作)。在中间的恶意攻击人
41、员(也被称作“中间人攻击”)可以冒充真实的服务器来欺骗应用。不用说,基于网络的恶意第三方通常也会尝试攻击服务器。B.1.1.2.2威胁来自用户安装的恶意软件T/ZSA 9-202019图 B.5 被用户安装的恶意软件攻击应用示意图智能手机最大的卖点是可以从应用市场安装许多应用以扩大它的特性。给用户免费下载安装应用的站点有时也会错误地安装恶意软件。如上图 B.5 所示,恶意软件有可能会利用程序间通信功能或程序内部的漏洞,来达到访问信息或功能资产。B.1.1.2.3威胁来自能够利用应用漏洞的恶意文件图 B.6 来自利用程序内部漏洞的恶意文件的攻击示意图很多种文件,例如音乐、图像、视频和文件广泛存在
42、互联网上,并且用户会下载很多文件到他们的SD 卡以便在他们的智能手机上使用。此外,也很经常下载通过邮件发送的附件,这类文件后续会通过应用进行查看或编辑。如果处理这些文件的应用存在功能上的一些漏洞,攻击者可以使用恶意文件来利用它并访问应用的信息或功能资产。特别是漏洞经常出现在处理一个具有复杂数据结构的文件格式上,当通过这种方法攻破一个应用,攻击者可以实现多种不同目的。如上图 B.6 所示,攻击文件处理休眠直接被某个存在漏洞的应用打开。一旦被打开,它将利用应用的漏洞产生严重破坏,我们将这种攻击方法叫做“被动攻击”。B.1.1.2.4威胁来自恶意手机用户图 B.7 来自恶意手机用户的攻击示意图T/Z
43、SA 9-2020至于 Android 智能手机的应用开发,它的环境和手机功能特性助于开发和分析应用一样,也是开放地提供给一般用户。在提供的功能特性当中,有用的 ADB 调试功能在没有注册或审查的情况下可以被任何人访问。这个特性允许一个手机用户轻易地执行系统或应用分析。如上图 B.7 所示,一个带有恶意目的的智能手机用户通过利用 ADB 调试功能可以分析应用,并获得应用信息或功能资产的访问权限。如果应用包含的实际资产属于那个用户,那没什么问题;但是,如果那些资产是属于其他用户,如应用开发人员,那么将是一个问题。因此,我们需要注意合法手机用户也可以恶意地攻击应用里的资产。B.1.1.2.5威胁来
44、自智能手机附近的第三方图 B.8 来自智能手机附近的恶意第三方攻击示意图由于大部分智能手机具有各种近场通信机制,如 NFC、蓝牙和无线,我们绝不能忽视那种会发生来自物理临近手机的恶意人员的攻击。通过窥探某个正在输入的用户,攻击者可以窃取密码。或者如上图 B.8 所示,攻击者可以实施更复杂的,从远距离攻击一个应用的蓝牙功能。还有的威胁是,恶意人员可以窃取智能手机造成数据泄露风险,或甚至毁坏手机导致重要信息丢失。开发人员应该在设计阶段尽早的将这些风险考虑进去。T/ZSA 9-202021B.1.1.2.6安全威胁总结图 B.9 智能手机应用各种攻击汇总上图汇总了前面章节描述的威胁的主要类型,智能手
45、机面临着多种多样的威胁,上面的图示 B.9 并未包括所有威胁。通过我们日常的信息收集,我们需要传播关于 Android 应用面临多种威胁的意识,以及在应用安全设计和开发过程中要注意它们。B.1.1.3资源等级分类和保护措施正如前面章节所探讨,Android 智能手机面临着各种各样的威胁,为抵御这些威胁要保护一个应用里的所有资产确实是非常困难,一是开发时间紧,二是技术受限制。因此,Android 应用开发人员应该测试资产保护措施的可行性和有效性,这可以根据开发人员判定的优先级来做,根据被查看到的资产的重要性以及可接受的损害水平,这是比较主观的一件事情。为了帮助选定各个资产的保护措施,我们将进行资
46、产分类并规定每个组的安全保护等级,可以通过检查法律依据,根据发生损害的影响以及开发人员(或组织机构)的社会责任来确定重要等级。当要选定如何处理这些资产以及实施的保护措施类型,这些将被证明是一种评判准则。因为这些将为应用开发人员和组织机构在决定如何处置资产和提供保护措施方面提供一种标准,所以有必要去明确与应用开发人员(或组织机构)境况一致的分类方法和相应的保护措施。适用于本手册的资产分类和保护措施等级如下所示,以供参考。资产资产分类分类资产资产等级等级保护保护等级等级高资产的损害程度对于组织机构或个体来说都是致命的、灾难性的。例如:当属于这个级别的资产受侵害时,组织机构将无法继续开展业务提 供
47、保 护 措 施 对 抗 可 以 攻 破Android OS 安全模型的复杂攻击并能阻止 root 权限修改APK 的 dex 文件。确保安全的优先级高于其他因素,T/ZSA 9-2020资产资产分类分类资产资产等级等级保护保护等级等级比如用户体验等中资产的损害程度会对组织机构或个体来造成严重影响。例如:当属于这个级别的资产受到侵害,组织的营收恶化,对业务造成不利影响利用 Android OS 安全模型。它提供的保护措施涵盖这个级别的范围确保安全的优先级高于其他因素,比如用户体验等低资产的损害程度会对组织机构或个体来造成一定程度的影响。例如:当属于这个级别的资产受到侵害,组织的营收受到影响,但可
48、以利用其他资源来弥补损失。利用 Android OS 安全模型。它提供的保护措施涵盖这个级别的范围安全保护措施与其他因素相比,如用户体验等,在这个级别,它的等级可能因为没有安全问题而优先于安全措施。本手册描述的资产分类和保护措施提出的前提是一个 root 权限没有被突破的安全 Android 设备,而且它的安全策略是基于 Android OS 安全模型。特别要说的是,假设我们通过 Android OS 安全模型来设计安全保护措施的前提,是通过运行 Android OS 安全机制用来保护低于或等于中级别的资产。另一方面,我们也相信有必要对高级别资产采取保护以抵御能够导致突破 Android OS
49、 安全模型的攻击,这类攻击包括突破 root 权限攻击,分析或修改 APK 二进制文件的攻击。为了保护这类资产对抗通过组合多种攻击方法的威胁,我们需要设计复杂的防御措施,如加密、混淆、硬件保护和服务器保护等。因为关于这类防御技术集锦都编入本手册是很难的,并且恰当的防御体系设计会根据不同的环境而有所区别,所以我们认为它们不在本手册的范围之内。如果你的设备需要保护措施来抵抗复杂攻击,包括突破 root权限攻击,分析或修改 APK 二进制文件的攻击,我们建议你去咨询一些精通 Android 防篡改设计的安全专家。B.1.1.4敏感信息从现在开始,“敏感信息”将取代“信息资产”这个词语,虽然它在前面章
50、节有被提到过,但我们必须确定应用程序所处理的每个信息资产的资产类别和保护措施等级。在本的册里,我们关注的是保护低于或等于中级别的资产。B.1.2 谨慎、安全地处理输入的数据检验输入数据是最简单且最有效的安全编码方法。从外部来源,不管是直接地还是间接地输入到应用的所有数据都应该正确地被检验,为了展示输入数据检验的最佳实践,下面是一个例子:某个程序里的一个 Activity 从 Intent 接收数据。Activity 很有可能会接收到已被攻击人员篡改的 Intent 数据。通过传输某种格式的数据或某个程序T/ZSA 9-202023员不期望的值,攻击人员可以在程序内部引发故障,那将导致一些类型的