移动互联安全扩展要求-(四)安全建设管理

移动互联安全扩展要求

控制点

4.

安全建设管理

一、 移动应用软件采购

为降低移动应用软件采购、下载及使用中的安全风险,应对移动应用软件的来源和开发者进行检查。

a)

安全要求:应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。

要求解读:移动终端安装、运行的应用软件应采用证书签名来保证完整性,或者使用可靠的移动应用软件分发渠道,降低安装移动应用软件带来的风险。

检查方法

核查移动应用软件是否来自可靠的分发渠道或使用可靠的证书签名。

期望结果

移动应用软件是从官方网站或内部应用商店等可靠渠道下载的。

b)

安全要求:应保证移动终端安装、运行的应用软件由指定的开发者开发。

要求解读:为保证移动终端上安装的移动应用软件的安全性,应安装由制定的开发者开发的移动应用软件。例如,移动终端安装、运行的移动终端管理软件应明确开发单位、开发者等。

检查方法

核查已安装的移动应用软件是否是由指定的开发者开发的。

期望结果

1.已安装的移动应用软件是由指定的开发者开发的。

2.有移动应用软件开发者单位、开发者的相关信息。

 

二、移动应用软件开发

为降低移动应用软件开发中带来的安全风险,应对开发者的资格及证书签名的合法性等进行检查。

a)

安全要求:应对移动业务应用软件开发者进行资格审查。

要求解读:为保证移动业务应用软件的安全性,应对开发者进行资格审查,包括工作经历、技术能力、资格证书、项目实施情况等。

检查方法

访谈系统建设负责人,了解是否对开发者进行了资格审查。

期望结果

1.移动应用开发者的资格符合要求。

2.有移动应用开发者的资格审查记录或相关资质材料。

b)

安全要求:应保证开发移动业务应用软件的签名证书合法性。

要求解读:开发移动业务应用软件的签名证书应具有合法性。

检查方法

核查开发移动业务应用软件的签名证书是否具有合法性。

期望结果

开发移动业务应用软件的签名证书具有合法性。

posted @ 2022-06-14 12:45  武装小灰灰  阅读(267)  评论(0编辑  收藏  举报