T/CIITA 403-2022 移动互联网应用程序安全监测指标及评价方法

CIITA

ICS35.240.01

CCSL70

团体标准

T/CIITA403-2022

移动互联网应用程序安全监测指标及评价方法

Evaluationmethodofmonitoringinmobileinternetapplications

forsecurity

（）

2022-12-28发布2022-1-1实施

中国信息产业商会发布

目次

前言..........................................................................................................................................................................I

1范围..........................................................................................................................................................................1

2规范性引用文件.....................................................................................................................................................1

3术语和定义.............................................................................................................................................................1

4缩略语.....................................................................................................................................................................2

5监测指标框架.........................................................................................................................................................2

6指标项.....................................................................................................................................................................3

7评价方法.................................................................................................................................................................9

附录A（资料性）指标计算及安全评价示例.......................................................................................10

附录B（资料性）数据采集方法............................................................................................................15

参考文献.......................................................................................................................................................16

I

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国信息产业商会团体标准委员会提出并归口。

本文件起草单位：中国软件评测中心（工业和信息化部软件与集成电路促进中心）、北京智游网

安科技有限公司、北京知道创宇信息技术股份有限公司、腾讯云计算(北京)有限责任公司、国家信息

技术安全研究中心、北京医慧科技有限公司、中电科（北京）信息测评认证有限公司、北京尊冠科技

有限公司武汉分公司。

本文件主要起草人：赵亮、桑戟南、徐鹏、孟晓、赵刚、陈勇和、赵威、张春芳、田伟、王雷雷、

江海、杨令宜、何淑伟、黄江平、张建祥、马超、郑良。

II

T/CIITA403—2022

移动互联网应用程序安全监测指标及评价方法

1范围

本文件规定了移动终端应用软件、小程序、各类服务号等移动互联网应用程序安全监测指标、指标

说明以及评价准则。

本文件适用于移动互联网应用程序的设计、开发和维护，也适用于监管部门对移动互联网应用程序

的监督、管理和第三方评估活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273信息安全技术个人信息安全规范

GB/T41391信息安全技术移动互联网应用程序（APP）收集个人信息基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

移动终端应用软件mobileterminalapplicationsoftware

在移动终端预置、下载安装的应用软件。

注：简称APP。

3.2

小程序miniprogram

基于应用程序开放接口实现的，用户无需安装即可使用的移动互联网应用程序。

[来源：GB/T41391-2022,3.3]

3.3

服务号serviceaccount

基于第三方信息服务平台开放接口，在客户端内独立为企业实现业务服务和用户管理功能，无需安

装即可使用的移动互联网应用程序。

3.4

移动互联网应用程序mobileinternetapplication

在移动智能终端或互联网上提供服务的移动终端应用软件、小程序、各类服务号等应用程序。

[来源：GB/T41391-2022,3.1,有修改]

3.5

安全监测monitoringforsecurity

1

T/CIITA403-2022

通过对移动终端应用软件、小程序、服务号等移动互联网应用程序的软件包、通讯、使用状况等信

息，在运行过程中主动、持续采集，以指标分析等方式对监测对象进行风险识别、威胁发现、安全事件

告警及动态连续地数据分析展示。

3.6

监测指标monitoringindicator

对移动互联网应用程序采用自动化手段进行安全监测时得出的状态综合指数。

3.7

劫持攻击用户界面hijackingattacktouserinterface

恶意攻击者对移动互联网应用程序界面进行劫持，替换上仿冒的恶意界面的攻击行为。

3.8

联网环境runtimeenvironment

移动互联网应用程序运行时所使用的网络环境。

4缩略语

下列缩略语适用于本文件。

API：应用程序编程接口（ApplicationProgrammingInterface）

APP：应用软件（ApplicationSoftware）

SDK：软件开发工具包（SoftwareDevelopmentKit）

SSL：安全套接层（SecureSocketsLayer）

TLS：传输层安全协议（TransportLayerSecurity）

5监测指标框架

移动互联网应用程序安全监测指标应分为三个层级，一级指标和二级指标构成指标框架，三级指标

为底层指标。移动互联网应用程序安全监测指标见图1。

2

T/CIITA403—2022

图1移动互联网应用程序安全监测指标

一级指标根据移动互联网应用程序所面临的安全威胁确定，包括程序安全、数据安全、密码算法及

密钥管理、应用安全和通信安全。

二级指标按一级指标分析和分解所得。程序安全指标应包括基础安全、组件安全、代码安全、逻辑

安全、框架安全和内容安全指标；数据安全指标应包括数据存储安全、数据传输安全、数据残留风险、

数据篡改、抗抵赖指标；密码算法及密钥管理指标应包括密码算法、密钥安全指标；应用安全指标应包

括应用场景安全、抗攻击能力指标；通信安全指标应包括联网环境安全、传输通道、API指标。

6指标项

6.1程序安全指标

6.1.1基础安全

基础安全监测应对支撑移动互联网应用程序运行时具备的基础的安全情况进行监测，适用于小程

序、各类服务号。基础安全监测应包括操作系统高危漏洞、中间件漏洞、高危端口、用户输入、升级管

理、后台管理登录限制和应用基本信息。

——操作系统高危漏洞

监测操作系统高危漏洞，包括：远程命令执行、未授权访问、拒绝服务、提权漏洞等。

——中间件高危漏洞

监测中间件高危漏洞，包括：远程命令执行、目录遍历、文件解析、未授权访问、注入类漏洞、

配置信息泄露等。

——高危端口

a)监测操作系统是否开放高危端口，如：135、139、445、3389、Memcached缓存端口等；

b)监测数据库系统端口是否开放在互联网端，常见的端口如：3306、5000、5432、1433、1521

等。

——用户输入

3

T/CIITA403-2022

a)监测应用是否限制用户输入类型，是否存在跨站脚本、注入类等漏洞；

b)监测应用是否限制用户输入次数，是否具有会话令牌机制防止暴力破解；

c)监测应用是否限制用户输入长度，是否存在缓存区溢出等漏洞；

d)监测应用是否对用户输入的数据进行校验，是否存在跨站脚本、注入类等漏洞。

——升级管理

a)监测应用是否定期更新补丁；

b)监测APP版本检查信息，包括Android、iOS等相关文件中的版本字符串，摘取版本信息；

c)监测小程序、服务号更新推送时间，摘取应用版本变更信息。

——后台管理登录限制

a)监测是否限制后台管理登录网络地址，防范未授权访问、后台管理网络地址外泄等风险；

b)监测是否采用双因子认证，防范单因素身份验证引起的身份鉴别风险；

c)监测是否采用账户权限控制，防范越权、数据泄露等风险。

——应用基本信息

监测应用名称、包名、文件大小、版本、应用特征值、签名信息、加固厂商、SDK信息等，

主要防范盗版应用、钓鱼、相似应用风险。

6.1.2组件安全

组件安全监测应对移动互联网应用程序开发过程使用的组件进行监测。

——组件安全

监测应用组件，防范组件中存在的信息泄露、权限滥用风险，根据最新披露组件漏洞库信息，

监测是否存在组件漏洞攻击风险。

6.1.3代码安全

代码安全监测应对移动互联网应用程序源代码安全情况进行监测。代码安全监测包含统一错误回显

信息、恶意代码、代码安全性和程序漏洞。

——统一错误回显信息

监测应用错误页面，防范敏感数据泄露风险。

——恶意代码

a)监测应用是否存在恶意代码，防范木马、病毒、后门等风险；

b)监测应用是否存在恶意程序，防范非授权获取用户信息等风险。

——代码安全性

监测应用包体、小程序源码是否采取安全保护措施，包括加壳、混淆、程序签名校验、代码加

密等。

——程序漏洞

监测应用中是否存在文件下载漏洞、应用篡改漏洞、权限绕过漏洞、注入类漏洞、广播信息泄

漏漏洞、配置信息泄露漏洞、传输漏洞、接口漏洞等风险。

6.1.4逻辑安全

逻辑安全监测应对移动互联网应用程序在业务流程、账户权限以及数据调用等逻辑设计的安全逻辑

漏洞进行监测。逻辑安全监测包含业务逻辑漏洞、用户权限和业务逻辑权限风险。

——业务逻辑漏洞

监测应用是否对前端参数进行校验，是否对危险字符进行过滤，防范跨站漏洞、注入类漏洞等

4

T/CIITA403—2022

风险。

——用户权限

a)监测应用是否对用户权限参数进行加密和校验，防范越权漏洞风险、用户遍历漏洞风险；

b)监测应用是否遵循应用声明的权限，防范权限滥用风险。

——业务逻辑权限风险

监测应用是否遵循最小用户权限申请原则，防范过分收集个人隐私风险。

6.1.5框架安全

框架安全监测应对移动互联网应用程序开发过程所使用的开发框架的安全进行监测。

——开发框架安全

监测应用开发框架是否存在心脏滴血漏洞、WordPress漏洞、Spring框架漏洞等高危漏洞。

6.1.6内容安全

内容安全监测应对移动互联网应用程序页面展示时对敏感内容是否过滤进行监测。

——敏感内容

监测应用中是否包含敏感信息。

6.2数据安全指标

6.2.1数据存储安全

数据存储安全监测应对移动互联网应用程序数据在存储过程中的安全进行监测。数据存储安全监测

包括敏感数据存储安全、数据权限设置、日志数据安全和证书安全。

——敏感数据存储安全

监测应用中是否存在存储信息泄露风险。

——数据权限设置

监测应用是否存在数据使用权限滥用、越权等风险。

——日志数据安全

a)监测应用是否存在日志数据泄露，防范应用调试信息、运行日志信息等泄露风险；

b)监测应用是否具有权限访问控制。

——证书安全

监测应用是否存在客户端证书信息泄露，防范中间人攻击、解密用户传输数据等风险。

6.2.2数据