移动应用安全开发规范(移动应用安全测试)

网友投稿 1200 2023-02-23

本篇文章给大家谈谈移动应用安全开发规范,以及移动应用安全测试对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。 今天给各位分享移动应用安全开发规范的知识,其中也会对移动应用安全测试进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!

本文目录一览:

汽车软件客户端的安全防护措施有哪些?

移动应用安全开发规范我认为,汽车软件客户端移动应用安全开发规范的安全防护措施主要有以下几点:

1.客户端安全防护

移动应用往往基于通用架构进行开发设计,安全逆向技术成熟,常成为攻击者进行协议分析和发起网络攻击移动应用安全开发规范的突破口。在应用正式发布之前,对主配文件Android Manifest.xml进行合理地配置,关闭Debuggable、allowBackup属性,同时关闭不需要与外界进行数据交互组件的exported属性,防止因为不合理地配置,造成移动应用安全风险。

同时,与国内外专业安全公司开展合作,通过代码混淆、字符串加密、变量名数字化、反调试等方式对车联网移动APP进行安全加固,防止移动应用被恶意破解、二次打包、逆向分析等。此外,在应用发布之前,邀请安全团队对车联网移动APP开展安全渗透测试,寻找漏洞并进行修复,借助安全厂商的力量提升车联网移动APP的安全。

2.通信安全防护

车联网环境中的车辆不再是一个独立的机械个体,而是借助各种通信手段和对外接口实现与外部终端进行数据交互。因此保证车联网移动APP自身安全以及提供安全可靠的对外通信策略对车辆与外部终端的连接和通信安全至关重要。

在车联网移动APP与TSP服务平台通信的过程中,使用HTTPS的安全通信协议,增加攻击者窃听破解的难度,同时使用基于公钥架构(Public Key Infrastructure,PKI)[5]的身份认证机制在每次通信时对车联网移动APP与TSP服务平台进行双向认证,保证通信双方的合法性。此外,在通信的过程中对关键数据流量进行加密处理,防止中间人攻击和重放攻击。

3. 数据安全防护

车联网移动APP在使用的过程中,会在本地手机端存储部分用户敏感信息,例如手机号、登录密码、车辆Vin码等。采用加密的方式对移动端的文件、数据库等多种格式数据内容进行安全存储,以免数据在移动终端存储不当造成数据泄露。同时,防止密钥被泄露,避免将密钥硬编码到代码中,采用密钥分散技术和白盒密钥加密技术,提高密钥的安全性。

4.业务安全防护

开发者应遵循移动应用的安全开发流程以及安全开发规范,将安全意识融入到软件开发生命周期的每个阶段。同时,开发人员应积极参加软件安全开发生命周期(S-SDLC)[6-7]培训,强化开发者的安全开发意识,严格按照安全开发规范进行开发。

移动应用商店怎么规范?

 《规定》提出,移动互联网应用程序提供者应当严格落实信息安全管理责任,依法履行“六项义务”:

一是按照“后台实名、前台自愿”的原则,对注册用户进行真实身份信息认证;

二是建立健全用户信息安全保护机制;

三是建立健全信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施;

四是依法保障用户知情权和选择权;

五是尊重和保护知识产权,不得制作、发布侵犯他人知识产权的应用程序;

六是记录用户日志信息,并保存六十日。

《规定》针对用户个人信息及合法权益保护明确要求,移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。

依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。

互联网应用商店服务提供者应当对应用程序提供者履行以下管理责任:

(一)对应用程序提供者进行真实性、安全性、合法性等审核,建立信用管理制度,并向所在地省、自治区、直辖市互联网信息办公室分类备案。

(二)督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现。

(三)督促应用程序提供者发布合法信息内容,建立健全安全审核机制,配备与服务规模相适应的专业人员。

(四)督促应用程序提供者发布合法应用程序,尊重和保护应用程序提供者的知识产权。

对违反前款规定的应用程序提供者,视情采取警示、暂停发布、下架应用程序等措施,保存记录并向有关主管部门报告。

移动互联网应用程序信息服务管理规定

第一条为加强对移动互联网应用程序(APP)信息服务的管理,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

第二条在中华人民共和国境内通过移动互联网应用程序提供信息服务,从事互联网应用商店服务,应当遵守本规定。

本规定所称移动互联网应用程序,是指通过预装、-等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。

本规定所称移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或运营者。

本规定所称互联网应用商店,是指通过互联网提供应用软件浏览、搜索、-或开发工具和产品发布服务的平台。

第三条国家互联网信息办公室负责全国移动互联网应用程序信息内容的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的移动互联网应用程序信息内容的监督管理执法工作。

第四条鼓励各级党政机关、企事业单位和各人民团体积极运用移动互联网应用程序,推进政务公开,提供公共服务,促进经济社会发展。

第五条通过移动互联网应用程序提供信息服务,应当依法取得法律法规规定的相关资质。从事互联网应用商店服务,还应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。

第六条移动互联网应用程序提供者和互联网应用商店服务提供者不得利用移动互联网应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得利用移动互联网应用程序制作、复制、发布、传播法律法规禁止的信息内容。

第七条移动互联网应用程序提供者应当严格落实信息安全管理责任,依法履行以下义务:

(一)按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。

(二)建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。

(三)建立健全信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告。

(四)依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。

(五)尊重和保护知识产权,不得制作、发布侵犯他人知识产权的应用程序。

(六)记录用户日志信息,并保存六十日。

第八条互联网应用商店服务提供者应当对应用程序提供者履行以下管理责任:

(一)对应用程序提供者进行真实性、安全性、合法性等审核,建立信用管理制度,并向所在地省、自治区、直辖市互联网信息办公室分类备案。

(二)督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现。

(三)督促应用程序提供者发布合法信息内容,建立健全安全审核机制,配备与服务规模相适应的专业人员。

(四)督促应用程序提供者发布合法应用程序,尊重和保护应用程序提供者的知识产权。

对违反前款规定的应用程序提供者,视情采取警示、暂停发布、下架应用程序等措施,保存记录并向有关主管部门报告。

第九条互联网应用商店服务提供者和移动互联网应用程序提供者应当签订服务协议,明确双方权利义务,共同遵守法律法规和平台公约。

第十条移动互联网应用程序提供者和互联网应用商店服务提供者应当配合有关部门依法进行的监督检查,自觉接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。

第十一条本规定自8月1日起施行。

移动应用的移动应用安全

移动应用开发给企业带来了全新的问题,特别是在软件安全领域。通常应用商店的开发人员可能会担心代码被盗,然后被反向编译。这对于花费大量时间和资源创建出应用的个人开发人员或者小型团队而言无疑是灭顶之灾。但是最终分析表明,通常应用本身只能带来数千美元的利润,即使有什么问题带来的损失也不是很大。相比较而言,不安全的应用对于企业级公司而言,可能会造成的敏感信息丢失,资产的被盗或者客户个人和财务数据信息的泄露,这些所导致的损失则会达到百万甚至数十亿美元。不幸的是,很多企业刚刚第一次尝试构建移动应用——他们可能还没有意识到这么小的应用程序上的错误可能会导致的严重后果。
预计到2017年,75%的移动安全漏洞将是移动应用程序错误配置的结果。与此同时,端点数据泄漏事故的重点将转移到平板电脑和智能手机,出售给消费者的移动设备数量仍然在持续上升,在2014年有近22亿台平板电脑和智能手机出售给用户。
应用程序水平的错误配置和滥用是移动设备安全泄漏事故的主要原因,而不是因为对移动设备的技术攻击,错误配置的典型例子是通过智能手机和平板电脑上的应用程序滥用个人云服务。当用来传输企业数据时,这些应用程序会导致数据泄漏。 不要在应用程序上存储密码。从一开始,就应该将其设计为不能存储密码的应用程序。当使用桌面应用程序时,用户可以存储密码,来提高今后登陆的速度。但是对于移动应用程序来说,这种做法是不合理的。
在传输中加密数据。匆匆交付移动应用程序后,开发人员发现他们犯了与早期Web应用程序开发过程中相同的错误。
进行源代码评审。如果将应用程序安全性测试外包给其他公司,那么外包公司必须要提供源代码,因此,该外部公司才能解决应用程序安全性这一特定问题。如果你没有那样做,当然安全测试可以照旧进行,但是它包含逆向工程和黑盒测试,也就是所谓的动态测试
监听移动应用程序和Web服务器之间的流量。允许查看网络流量的工具对移动应用程序安全性才有价值。手动分析流量,并且寻找可以被操纵的方法调用。
在移动设备上尽量少存储数据。
包含敏感的企业数据。将敏感的企业数据-到移动应用独立的存储空间中有助于确保移动应用程序的安全性。应用程序中企业数据要比其他数据更具敏感性。 1. 对目标移动平台最好能了若指掌
就移动应用而言,在其目标平台上拥有安全功能非常重要,iOS、Android、BlackBerry、WP等各个平台均拥有其独特的API和安全特性,也正因如此,开发者首先必须对目标平台的安全特性进行了解,是否需要兼容安全架构,平台之间是否存在冲突,是否需要采取额外的功能措施等等。
2. 购买安全/验证码
为应用购买安全码不仅能节省大量的开发时间,还能为自己的应用提供最好的安全保证。当然,这并不能说就是固若金汤,购买源码也有许多需要注意的地方。在互联网中,源码交易市场众多,开发者必须从中挑选出值得信赖的源码平台,并对其安全性进行彻底的检查,是否经过许可和验证。另外,交叉检验也同样重要,安全码能够让你事半功倍,但稍有不慎,便会得不偿失。
3.数据安全和存储
智能手机及移动应用正在被广泛用于存储用户敏感数据和信息,是以,数据存储及其安全性也成为了开发工作的重中之重,此外,终端用户能否访问结构数据注册表,以及数据库所托管的服务器是否安全也非常重要。数据安全缺乏保障会为用户带来巨大的损失甚至伤害,而开发者也势必会遭到口诛笔伐,应用需要确保用户不想被别人知道的数据能够不泄露或立即被删除,并且还能拥有足够的空间来实现更快的处理和进一步存储。
4. 加密
现代数据库都具备限制公共访问权限的功能,加密可以极大地提高数据库的保密系数,并降低数据泄露的风险。大多数企业都会优先选择加密数据库来存储他们的信息,虽然移动平台越来越广泛地被运用到购物、网银等日常事务中,但加密服务在一定程度上能够让黑客无计可施,在这个世界上,数据泄露与否并不是一道选择题,用户拥有隐私权,而开发者则需要确保他们的应用支持加密存储。
5. 定期的安全更新
经常地为应用添加一些新的安全功能也是保护应用安全的一大举措,大部分应用都会进行定期的安全更新和Bug修复,而在应用发布之后,便对其安全功能进行更新,则能够很好地帮助开发者提高应用的安全性。

交通运输部国 家综合交通运输信息平台在移动应用建设方面有什么规范指南和最佳实践?

一、背景与定位:
为加强技术统筹,规范移动应用平台建设,避免出现移动应用孤岛,交通运输部在国家综合交通运输信息平台建设过程中,统一规划、制定了面向移动应用平台的行业规范《国 家综合交通运输信息平台移动应用平台技术要求》(NTIP/T 0101-2019),整体规划移动应用统一支撑平台和安全基座,已经成为交通行业移动应用建设方面的行业规范。
《国 家综合交通运输信息平台移动应用平台技术要求》一方面规范并指导了国家综合交通运输信息平台移动平台的建设,并且得到了用户高度认可;另外一方面,随着数字交通“十四五”规划落地推进,《国 家综合交通运输信息平台移动应用平台技术要求》也可以为各地方交通运输单位在移动应用平台建设方面提供参考和指导,通过与部级移动应用平台在技术架构和数据接口标准层面保持一致,达到统筹建设的目的。
二、、技术框架:《国 家综合交通运输信息平台移动应用平台技术要求》规范的总体技术框架由 “六个层面、两个体系”共同组成。其中,“六个层面”分别是:基础条件层、信息资源层、支撑系统层、应用服务层、平台入口层、移动终端层。“两个体系”分别是:接入服务体系、移动应用安全体系。在部署方式上,应按照国家综合交通运输信息平台已构建的虚拟化架构的各项要求统筹建设,支持私有化部署。部级移动应用平台应在国家综合交通运输信息平台总体框架指导下,在技术架构上应形成“六个统一”总体框架,即:统一平台入口、统一支撑系统、统一信息资源、统一基础条件、统一安全防控、统一接入服务。
三、最佳案例:交通运输部国家综合交通运输信息平台的移动应用建设,蓝信为交通运输部量身定制的,包含了 “移动应急指挥调度平台”和“电子政务移动办公平台”,覆盖了交通运输部的两大主要应用场景。为部级综合交通运输运行管理、预测预警、应急指挥等能力建设提供更高效地支撑,帮助交通运输行业提升跨部门、跨层级、跨区域、跨交通方式的信息沟通与协同管理能力,以数据融合应用的方式驱动交通行业业务重塑,实现数智化转型。中国民用航空局、新疆交通运输厅、北京铁路局、太原铁路局、济南铁路局等下级单位也参考了交通运输部的移动应用建设使用了蓝信。

要怎样保证移动应用的安全?

保证移动应用安全要点移动应用安全开发规范

设置环境及生物传感器

在设备中(如视频/静态图像捕捉,地理定位,语音,移动,指纹或虹膜扫描,定向,室温,湿度等。)移动应用安全开发规范的配备应遵守相关部门数据采集规定,其使用应受移动设备选择性管理

设备访问管理

设置有效验证来保护对设备移动应用安全开发规范的物理访问安全,如密码策略,模式识别,生物识别扫描,声音或面部识别等。

内容管理/数据丢失防护

软件在设备数据储存中运用加密,剪切粘贴限制以及通过网页过滤进行网页访问管理等来限制恶意或疏忽导致的被保护内容泄露。

用户身份鉴别

确认用户身份与企业目录服务描述一致,才会准许访问被保护数据或软件。

基本移动应用安全生态系统移动应用安全开发规范

注意:现在市面上所有电子产品都将注意力集中在安卓平台,相反iOS系统到目前为止相对安全。

移动智能终端应用软件预置和分发管理暂行规定解读附全文

移动智能终端应用软件预置和分发管理暂行规定解读(附全文)

最近,工业和信息化部发布了《移动智能终端应用软件预置和分发管理暂行规定》的通知,这是为推动移动互联网健康有序发展,构建安全可信的信息通信网络环境,依法维护用户的知情权和选择权,促进大众创业、万众创新,规范移动互联网市场秩序。以下是该规定的全文及相关解读,欢迎阅览!

相关解读:

一、发布《移动智能终端应用软件预置和分发管理暂行规定》的目的和主要内容是什么?

答:移动互联网的迅速发展极大地促进了经济社会的发展和进步,在为人们的生产、生活带来便利的同时,一些损害用户个人信息和财产安全的问题也逐渐暴露。为保护广大用户合法权益,规范移动互联网市场秩序,维护网络安全,促进信息通信行业健康发展,我部依法制定《移动智能终端应用软件预置和分发管理暂行规定》(以下简称《规定》),重点对智能终端生产企业的移动智能终端应用软件(简称APP)预置行为,以及互联网信息服务提供者提供的移动智能终端应用软件分发服务进行规范。

《规定》要求生产企业和互联网信息服务提供者均明示所提供移动智能终端应用软件相关信息,确保除基本功能软件外的移动智能终端应用软件可卸载,明确了从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有的管理责任,还规定了通信主管部门的相应管理职责。

二、《规定》制订的过程是怎样的?

答:《规定》起草过程中,我们主要开展了以下工作:

一是组织调研,拟定工作思路。对移动智能终端应用软件预置及分发情况进行调研,拟定了重点针对移动智能终端生产企业和互联网信息服务提供者的应用软件预置和分发行为,加强行业管理、保障消费者合法权益的工作思路。

二是综合各方意见,起草《规定》。我部就《规定》制订问题广泛听取移动智能终端生产企业、互联网企业、基础电信运营商、地方通信管理局等的意见,拟定了《规定》(征求意见稿)。

三是公开征求意见,进一步修改完善。我部于2015年11月通过部门户网站、官方微博将《规定》的征求意见稿向社会公开征求意见,社会各界对《规定》的制定给予了积极评价,也提出了很多建设性意见。我部根据公开征求意见期间收到的反馈意见,对《规定》做了进一步的修改和完善。此外,我部还按照国际惯例,将《规定》向WTO/TBT进行通报。

四是在上述工作基础上,我部按照规定流程正式发布《规定》。

三、用户使用移动智能终端应用软件过程中,经常会遇到提示终端调用联系人、用户位置、建立数据连接等敏感行为,《规定》如何对这些行为进行规范?

答:《规定》第五条第(二)款要求生产企业和互联网信息服务提供者所提供移动智能终端应用软件,未经明示且经用户同意,不得实施收集使用用户个人信息等行为。其中的“用户个人信息”包括用户基本资料、身份证明、生理标识、联系人信息、位置信息等。具体可参考通信行业标准YD/T 2407《移动智能终端安全能力技术要求》、YD/T 2781-2014《电信和互联网服务用户个人信息保护定义及分类》、YD/T 2439-2012《移动互联网恶意程序描述格式》。

四、如何界定违法发送商业性电子信息行为?

答:《全国人大常委会关于加强网络信息保护的决定》第七条规定,“任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息”。

五、监督检查中要求企业配合提供“便捷的获取应用软件的条件”应如何理解?

答:便捷的获取应用软件的条件是指企业应配合提供应用的原始安装包、-链接、应用的相关信息或说明等监督检查所必备的条件,不包括提供源代码等企业内部信息。

六、哪些软件属于基本功能应用软件?

答:本《规定》中的基本功能软件是指保障移动智能终端硬件和操作系统正常运行的移动智能终端应用软件,主要包括四类:一是操作系统基本组件:如系统内核应用、虚拟机应用、网络浏览引擎等;二是保证智能终端硬件正常运行的应用:如蓝牙、GPS、指纹传感器应用等;三是基本通信应用:如短信、拨号、联系人等;四是应用软件-通道:如应用商店等。

七、移动应用软件分发平台应掌握应用软件提供者、运营者、开发者的哪些信息?

答:从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业应登记其平台内的应用软件提供者、运营者、开发者的真实信息,并区分企业开发者与个人开发者。应用软件运营者、开发者如果是境内企业,需记录工商局注册信息,包括营业执照、组织机构代码证、企业登记注册地址、联系方式(电话、Email)等;应用软件提供者、运营者、开发者如果是境内自然人,需记录有效证件信息,可包括身份证、护照、居住地地址、联系方式(电话、Email)等;境外应用软件提供者、运营者、开发者需提供所对应的真实的银行帐户信息、电子邮件信息等。

八、应用软件电子签名是强制要求吗?

答:为引导APP行业健康有序发展,避免APP被恶意篡改,加强对恶意APP的溯源,保障开发者和用户的合法权益,我部鼓励APP使用符合国家《电子签名法》等相关法律的认证机构所颁发的数字证书进行电子签名。

九、用户如何进行申投诉和举报?

答:对于当用户发现移动智能终端应用软件违反本《规定》相关要求,可向企业投诉举报,企业应在规定和公开承诺的时限内妥善处理;对处理结果不满的,用户可向电信用户申诉受理机构申诉(电话为:010-12300、省会城市区号-12300)。

用户发现移动终端应用软件含有法律法规规定的禁止性内容或违规发送商业性电子信息的,可向网络不良与垃圾信息举报中心举报(电话为:010-12321、省会城市区号-12321)。

十、此规定发布后有过渡期吗?

答:本《规定》正式发布后将有半年的过渡期,从2017年7月1日起正式实施。

工业和信息化部关于印发《移动智能终端应用软件预置和分发管理暂行规定》的通知

工信部信管[2016]407号

各相关单位:

现将《移动智能终端应用软件预置和分发管理暂行规定》印发给你们,请遵照执行。

工业和信息化部

2016年12月16日

移动智能终端应用软件预置和分发管理暂行规定

为推动移动互联网健康有序发展,构建安全可信的信息通信网络环境,依法维护用户的知情权和选择权,促进大众创业、万众创新,规范移动互联网市场秩序,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国网络安全法》《中华人民共和国电信条例》和《互联网信息服务管理办法》等有关规定,制定本规定。

第一条工业和信息化部大力推动移动智能终端应用软件发展,鼓励移动智能终端生产企业、互联网信息服务提供者等相关企业积极开发移动智能终端应用软件产品,丰富信息消费内容,引导企业健全相关管理机制。鼓励有关行业协会等依法制定自律性管理制度,共同规范移动智能终端应用软件的预置和分发行为,维护网络安全,加强用户权益保护。

第二条本规定规范移动智能终端生产企业(以下简称生产企业)的移动智能终端应用软件预置行为,以及互联网信息服务提供者提供的移动智能终端应用软件分发服务。

第三条工业和信息化部依照本规定对全国范围内移动智能终端应用软件预置与分发服务实施监督管理。省、自治区、直辖市通信管理局(以下统称各地通信主管部门)在工业和信息化部领导下,按照本规定对本行政区域内的移动智能终端应用软件预置与分发服务实施监督管理。工业和信息化部和各地通信主管部门应进一步完善移动智能终端应用软件预置与分发服务监管制度,强化事中事后管理。

第四条生产企业和提供移动智能终端应用软件分发服务的互联网信息服务提供者(以下简称互联网信息服务提供者)不得提供或传播含有下列内容的移动智能终端应用软件:

(一)反对宪法所确定的基本原则的`;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(三)损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)破坏国家宗教政策,宣扬邪教和封建迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)含有法律、行政法规禁止的其他内容的。

第五条生产企业和互联网信息服务提供者应依法依规提供移动智能终端应用软件,采取有效措施,维护网络安全,切实保护用户合法权益。

(一)提供移动智能终端预置软件(以下简称预置软件)的生产企业和互联网信息服务提供者应自觉维护行业公平竞争,依法维护用户的知情权和选择权,不得实施破坏市场竞争秩序、侵犯用户合法权益的行为。

(二)生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能、违法发送商业性电子信息;未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。

(三)为移动智能终端应用软件提供代收费的企业,应当采取必要措施,加强对计费、收费行为的管理,杜绝不明扣费;收费企业应对用户确认信息和计费原始数据至少保存5个月,并为用户查询提供方便。

(四)生产企业应约束销售渠道,未经用户同意不得擅自在移动智能终端中安装应用软件,并提示用户终端在销售渠道等环节被装入应用软件的可能性、风险和应对措施。

第六条生产企业和互联网信息服务提供者均应明示所提供移动智能终端应用软件相关信息。

(一)生产企业和互联网信息服务提供者均应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。

(二)生产企业应在终端产品说明书中提供预置软件列表信息,并在终端产品说明书或外包装中标示预置软件详细信息的查询方法。生产企业在提交移动智能终端进网申请时,应提供相关产品符合前述要求的声明。

(三)涉及收费的移动智能终端应用软件应严格遵守明码标价等相关规定,明示收费标准、收费方式,明示内容真实准确、醒目规范,经用户确认后方可扣费。

第七条生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件可卸载。

(一)移动智能终端的基本功能软件是指保障移动智能终端硬件和操作系统正常运行的应用软件,主要包括操作系统基本组件、保证智能终端硬件正常运行的应用、基本通信应用、应用软件-通道等。终端中预置的实现同一功能的基本功能软件,至多有一个可设置为不可卸载。

(二)生产企业和互联网信息服务提供者应确保所提供的除基本功能软件之外的移动智能终端应用软件可由用户方便卸载,且在不影响移动智能终端安全使用的情况下,附属于该软件的资源文件、配置文件和用户数据文件等也应能够被方便卸载。

(三)生产企业应确保已被卸载的预置软件在移动智能终端操作系统升级时不被强行恢复;应保证移动智能终端获得进网许可证前后预置软件的一致性;移动智能终端新增预置软件或有重大功能变化的,应及时向工业和信息化部报告。

第八条从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有以下管理责任:

(一)应登记应用软件提供者、运营者、开发者的真实身份、联系方式等信息。

(二)应建立应用软件管理机制,对应用软件进行审核及安全、服务等相关检测,对审核和检测中发现的恶意应用软件等违法违规软件,不得向用户提供;对所提供应用软件进行跟踪监测,及时处理违法违规软件,建立完善用户举报投诉处置措施等。

(三)应要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途,并将上述信息向软件-用户明示。

(四)应留存所提供应用软件,以及该软件有关版本、上线时间、功能简介、用途、MD5(消息摘要算法5)等校验值、服务器接入等信息以备追溯检测,相关信息的留存时间不短于60日。

(五)对于违反本规定第四条要求的应用软件,以及在通信主管部门监督检查中发现的恶意应用软件,相关企业应予以及时下架。

(六)应加强网络安全防护以及对相关人员的教育培训,保障自身系统安全和用户个人信息安全。

第九条通信主管部门应对生产企业和互联网信息服务提供者落实本规定相关要求情况进行监督检查。

(一)通信主管部门应组织专业检测机构对生产企业预置的和互联网信息服务提供者提供的应用软件开展监督检测和恶意应用软件认定工作,相关企业应给予配合,并提供便捷的获取应用软件的条件。

(二)检测机构应及时将检测和认定报告提交通信主管部门。通信主管部门依据报告,要求并监督相关企业进行整改,通知并监督互联网信息服务提供者下架恶意应用软件。

(三)通信主管部门向社会通报监督检查和检测情况。

(四)对于紧急情况以及互联网信息服务提供者未按要求及时下架违法应用软件的,通信主管部门可依法依规要求有关单位采取处置措施。

第十条相关企业和社会组织应进一步完善服务保障措施,提高用户权益保护水平。

(一)生产企业和互联网信息服务提供者应建立移动智能终端应用软件投诉举报受理制度,为用户提供便捷的投诉举报方式,接受、验证和处理用户投诉举报。如用户发现移动智能终端应用软件违反本规定要求,可向相关企业投诉举报,企业应在规定和公开承诺的时限内妥善处理;对处理结果不满的,用户可向电信用户申诉受理机构申诉。用户发现恶意应用软件,以及含有法律法规规定的禁止性内容或违法发送商业性电子信息的移动终端应用软件,可向网络不良与垃圾信息举报中心举报。

(二)工业和信息化部鼓励移动智能终端应用软件采用依法设立的电子认证服务机构颁发的数字证书进行签名;指导相关企业对已签名的移动智能终端应用软件采用依法设立的电子认证服务机构颁发的数字证书,进行验证并显著标识。

(三)工业和信息化部支持相关社会组织通过行业自律形式,建立恶意应用软件黑名单,实现黑名单信息在相关企业、专业检测机构以及用户之间的共享。

第十一条违反本规定的,通信主管部门依据职权责令改正,依法进行处罚,并将生产企业、互联网信息服务提供者违反本规定受到行政处罚的情况记入信誉档案,向社会公布。对涉嫌违法犯罪的应用软件线索,各单位应及时报告公安机关。

第十二条本规定下列用语的含义是:

移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。

移动智能终端应用软件(英文简称APP)包括移动智能终端预置应用软件,以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台-、安装、升级的应用软件。

移动应用分发平台是指网站、应用商店等提供移动智能终端应用软件-、安装、升级的应用软件平台。

移动智能终端预置应用软件是指由生产企业自行或与互联网信息服务提供者合作在移动智能终端出厂前安装的应用软件。

恶意应用软件是指含有信息窃取、恶意扣费、诱骗欺诈、系统破坏等恶意行为及其他危害用户权益和网络安全的应用软件。

商业性电子信息是指利用电信网或互联网,向用户介绍、推销商品、服务或者商业投资机会的电子信息。

第十三条本规定解释权属于工业和信息化部。

第十四条本规定自2017年7月1日起实施。

; 关于移动应用安全开发规范和移动应用安全测试的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。 移动应用安全开发规范的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于移动应用安全测试、移动应用安全开发规范的信息别忘了在本站进行查找喔。

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:微信小程序获取api(微信小程序获取地理位置授权在哪里)
下一篇:音视频sdk(音视频sdk 送10000)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~