移动互联安全扩展要求
控制点
4.
安全建设管理一、 移动应用软件采购
为降低移动应用软件采购、下载及使用中的安全风险,应对移动应用软件的来源和开发者进行检查。
a)
安全要求:应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。
要求解读:移动终端安装、运行的应用软件应采用证书签名来保证完整性,或者使用可靠的移动应用软件分发渠道,降低安装移动应用软件带来的风险。
检查方法
核查移动应用软件是否来自可靠的分发渠道或使用可靠的证书签名。
期望结果
移动应用软件是从官方网站或内部应用商店等可靠渠道下载的。
b)
安全要求:应保证移动终端安装、运行的应用软件由指定的开发者开发。
要求解读:为保证移动终端上安装的移动应用软件的安全性,应安装由制定的开发者开发的移动应用软件。例如,移动终端安装、运行的移动终端管理软件应明确开发单位、开发者等。
检查方法
核查已安装的移动应用软件是否是由指定的开发者开发的。
期望结果
1.已安装的移动应用软件是由指定的开发者开发的。
2.有移动应用软件开发者单位、开发者的相关信息。
二、移动应用软件开发
为降低移动应用软件开发中带来的安全风险,应对开发者的资格及证书签名的合法性等进行检查。
a)
安全要求:应对移动业务应用软件开发者进行资格审查。
要求解读:为保证移动业务应用软件的安全性,应对开发者进行资格审查,包括工作经历、技术能力、资格证书、项目实施情况等。
检查方法
访谈系统建设负责人,了解是否对开发者进行了资格审查。
期望结果
1.移动应用开发者的资格符合要求。
2.有移动应用开发者的资格审查记录或相关资质材料。
b)
安全要求:应保证开发移动业务应用软件的签名证书合法性。
要求解读:开发移动业务应用软件的签名证书应具有合法性。
检查方法
核查开发移动业务应用软件的签名证书是否具有合法性。
期望结果
开发移动业务应用软件的签名证书具有合法性。