JRT 0240-2021 证券期货业移动互联网应用程序安全检测规范.docxVIP

ICS03.060

CCSA11

中华

JR

人民共和国金融行业标准

JR/T0240—2021

证券期货业移动互联网应用程序安全检测规范

Securitytestingspecificationsformobileinternetapplicationsofsecuritiesandfuturesindustry

2021-12-29发布

2021-12-29实施

中国证券监督管理委员会发布

I

JR/T0240—2021

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4检测总体要求 2

4.1程序类型与检测范围 2

4.2检测框架 2

4.3检测过程 3

4.4检测方法 3

4.5A类检测项和B类检测项 3

5检测要求及检测方式 4

5.1移动终端安全 4

5.2身份鉴别 9

5.3网络通信安全 13

5.4数据安全 17

5.5开发安全 18

5.6安全审计 21

5.7个人信息保护 24

附录A(规范性)A类检测项和B类检测项统计 25

参考文献 27

II

JR/T0240—2021

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规范》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国金融标准化技术委员会证券分技术委员会(SACTC180)提出。

本文件由全国金融标准化技术委员会(SACTC180/SC4)归口管理。

本文件起草单位：中国证券监督管理委员会、中证信息技术服务有限责任公司、大商所飞泰测试技术有限公司、上海市信息安全测评认证中心、上海证券交易所、国泰君安证券股份有限公司、光大证券股份有限公司、华福证券股份有限公司、国泰君安期货有限公司、信息产业信息安全测评中心。

本文件主要起草人：姚前、蒋东兴、周云晖、陆骋、周思宇、王晓、王恺、周嘉杰、周桉、路一、罗璇、贾石、任亚男、孙瑞超、肖昱、孙川、李宏达、倪惠康、俞枫、陈凯晖、沙明、刘嵩、甘张生、万晓鹰、董晶晶、冀乃杰。

1

JR/T0240—2021

证券期货业移动互联网应用程序安全检测规范

1范围

本文件规定了证券期货业移动互联网应用程序安全检测的总体要求、检测要求及检测方法。

本文件适用于信息安全检测服务机构、运营使用单位对证券期货业发布的移动互联网应用程序进行的安全测试评估，自动化安全检测工具开发商进行设计与开发工作等。

注1：本文件中涉及到的密码应用，依据国家密码管理局规定实施。

注2：本文件仅给出了证券期货业移动互联网应用程序安全技术要求及检测法，对具体技术实现方式、方法等不作规定。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

GB/T25069信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

JR/T0192—2020证券期货业移动互联网应用程序安全规范

3术语和定义

GB/T25069、GB/T35273—2020、JR/T0192—2020界定的以及下列术语和定义适用于本文件。3.1

移动终端mobileterminal

以手机、平板电脑等智能设备为代表，能够安装并使用证券期货移动互联网应用程序，可以在移动中使用的计算机设备。

[来源：JR/T0192—2020，3.1]

3.2

移动互联网应用程序mobileinternetapplication

由证券期货行业机构(核心机构或经营机构)或其它参与机构(信息技术服务机构)发布的，安装在移动终端上，通过互联网方式访问，用于证券期货查询、交易、业务办理等相关业务，或办公、信息披露等的应用程序。

注：包括但不限于可执行文件、组件等。

[来源：JR/T0192—2020，3.2，有修改]

3.3

移动终端环境mobileterminalenvironment

2

JR/T0240—2021

支撑移动互联网应用程序运行的硬件(包括智能手机、平板电脑等终端)及依托该硬件运行的操作系统和其它程序等软件所组成的整体运行环境。

3.4

个人信息personal