DB32∕T 3374-2018 智能终端应用软件安全性测评技术要求

ICS35.080L77备案号：58110-2018DB32江苏省地方标准DB32/T3374—2018智能终端应用软件安全性测评技术要求Technicalrequirementsofsecurityforsmartterminalapplicationstesting2018-2-10发布2018-3-10实施江苏省质量技术监督局发布DB32/T3374—2018I目  次前  言.............................................................................................................................................................II1范围.................................................................................................................................................................12规范性引用文件.............................................................................................................................................13术语、定义、缩略语.....................................................................................................................................14测评目标.........................................................................................................................................................24.1总则.........................................................................................................................................................24.2测评目标.................................................................................................................................................25测评方法.........................................................................................................................................................35.1收集用户数据.........................................................................................................................................35.2修改用户数据.........................................................................................................................................35.3流量耗费.................................................................................................................................................45.4费用损失.................................................................................................................................................45.5信息泄露.................................................................................................................................................55.6安装与卸载.............................................................................................................................................55.7启动与退出.............................................................................................................................................65.8运行.........................................................................................................................................................65.9更新.........................................................................................................................................................75.10广告行为...............................................................................................................................................75.11其他通用测试方法.............................................................................................................................10附录A（资料性附录）测评报告..................................................................................................................11参考文献.............................................................................................................................................................13DB32/T3374—2018II前  言本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准由江苏省软件工程标准化技术委员会提出并归口。本标准起草单位：南京市产品质量监督检验院、国家软件产品质量监督检验中心（江苏）、江苏苏测软件检测技术有限公司、南京大学、国网电力科学研究院、南京慕测信息科技有限公司。本标准主要起草人：程秀才、刘晓波、刘艳、王蕊、丁利、陈银平、荣鼎慧、房春荣、张小飞、郑珞林、徐剑锋。DB32/T3374—20181智能终端应用软件安全性测评技术要求1范围本标准规定了智能终端应用软件安全性测评技术要求的术语定义、测评目标和测评方法。本标准适用于移动智能终端第三方应用软件的安全性测评，个别条款不适用于特殊行业、专业应用。其他智能终端参考使用。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2408-2013移动智能终端安全能力测试方法3术语、定义、缩略语3.1术语、定义YD/T2408-2013界定的以及下列术语和定义适用于本标准。为了便于使用，以下重复列出了YD/T2408-2013中的某些术语和定义。3.1.1智能终端smartTerminal能够接入通信网络，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方应用软件的智能终端。3.1.2智能终端应用软件applicationInSmartTerminal以应用逻辑封装文件包形式提供的、运行在智能终端开放式操作系统上的、供用户在应用发布平台下载的软件。3.1.3应用发布平台applicationIssuingPlatform通过商业方式为智能终端用户提供应用软件下载的平台。3.1.4数字签名digitalSignatureDB32/T3374—20182附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的来源和完整性，保护数据不被篡改、伪造，并保证数据的不可否认性。3.1.5恶意收费maliciousCharge在用户不知情或未授权的情况下由智能终端上应用软件造成的用户经济损失。3.1.6敏感信息sensitiveInformation不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。3.1.7用户数据userData智能终端上存储的用户个人信息，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。3.2缩略语下列缩略语适用于本标准。APP：智能终端应用软件(application)SQL：结构化查询语言（structuredQueryLanguage）URL：统一资源定位地址（uniform/universalresourcelacator）WLAN：无线局域网（wirelessLocalAreaNetwork）XSS：跨站脚本（crossSiteScripting）4测评目标4.1总则保证智能终端应用软件对敏感行为的可控性，确保无损害用户利益和危害网络安全的行为。示例：恶意吸费、未经授权的修改、删除、向外传送用户数据等行为，保证用户数据的安全存储，确保用户数据不被非法访问、不被非法获取、不被非法篡改。4.2测评目标测评智能终端应用软件是否符合国家相关法律、法规、标准和安全管理相关文件要求，为智能终端应用软件的安全规范提供技术和法律依据，主要包括：——智能终端应用软件在使用过程中向用户展示的互联网信息应符合国家和行业相关法律法规的规定，且不应危害社会公共安全；——智能终端应用软件的开发方应提供合法的身份信息，作为安全问题追溯的依据；——检测智能终端应用软件本身不