1、附件1 :移动App安全自查1. APP应用的基本情况APP应用情况APP名称:运行环境:Android iOSAPP下载地址:APP后台Web Server网站地址:现有用户量:与现有收费系统连接方式:独立网络 直接接入 其他_APP开发单位:APP责任单位负责人及职务:联系电话:APP运行安全责任人及职务:联系电话:APP责任单位地址:APP的消费场景有哪些:圈存 消费 其他(其他请说明场景) APP消费场景中使用的技术是什么:NFC HCE(有SE安全芯片) HCE(无SE安全芯片) 其他 APP与哪些第三方平台交互?如何传输?APP与第三方平台交互的数据是什么?APP客户端存储哪些数据
2、?APP中是否使用交通部密钥,密钥在APP客户端如何存储,如何调用?APP是否发生过安全事件?是什么?如何处置?APP开发遵守何种开发规范?现有安全防护措施有哪些?2:APP安全管理和保护情况APP安全保护情况1APP安全责任部门和安全责任人落实情况是否落实了APP安全责任部门是否是否落实了APP安全负责人是否是否将APP安全的执行情况落实到年度考核中是否2主要领导对APP安全的重视情况APP安全是否设置了独立的预算是否3单位网络安全责任落实情况是否有明确的APP安全追责机制是否4关键岗位人员配备情况是否有APP安全管理员,并签订保密措施是否5APP应急预案的制定,演练和完善情况是否针对APP
3、制定发生安全事件后的应急预案是否是否对应急预案有演练是否是否对应急预案有定期检验更新是否6APP安全测评情况是否有APP安全测评措施(如自建测评系统或引人第三方渗透测试服务)是否是否对APP进行定期测评,并有详细记录是否是否对APP进行外部渗透测试,并有详细记录是否是否根据测评结果对APP进行修复是否7APP代码审计是否对APP进行代码审计是否是否对APP进行定期代码审计,并有详细记录是否是否根据审计结果对APP进行修复是否8APP安全事件报告处置是否制定APP安全事件报告制度是否发生APP安全事件是否向公安机关报告是否是否有完整的处置记录是否9APP安全运营流程对安卓和IOS系统环境下的应用
4、开发,是否有相关的软件安全开发规范是否是否建設了完备的开发、测评、发布、运营、应急相关流程是否相关流程是否配套了工具或人去执行是否10程序安全【APP用户身份认证保护措施】在支付、修改敏感信息等环节是否应用了二次认证保护方案是否【输入界面信息防护措施】是否应用安全软键盘等技术对输入界面信息进行保护是否【输入界面信息防护措施】是否存在不经用户允许访问用户终端数据的功能是否【输入界面信息防护措施】是否存在不经用户允许修改用户终端数据的功能是否【输入界面信息防护措施】是否在用户终端操作的敏感行为以明显的、足够引起用户的注意的方式提示用户,包括但不限于图标提示、文字提示、声音提示等方式是否【访问控制措
5、施】是否了解APP在移动终端申请了哪些系统权限是否【访问控制措施】APP在移动终端申请使用的权限是否都是必须的是否【恶意行为控制措施】是否存在损害用户利益和危害网络安全的恶意行为,例如:流量耗费、费用损失、隐私泄露、开放不必要的读写权限等。是否【代码安全措施】是否采取代码混淆等防逆向、防动态调试安全加固措施,防止被反编译或逆向分析,确保敏感程序逻辑的机密性。是否【运行安全措施】是否应用相关安全SDK,保障应用在启动及运行过程中,防止非法程序获取该进程的访问权限或替换程序运行页面;是否 【运行安全措施】是否采用敏感信息保护、完整性保护功能,例如防键盘监听,密码保护等,保障敏感信息安全性是否【程序
6、可信措施】是否通过签名标识移动终端应用程序的来源和发布者,保证用户所下载的移动终端应用程序来源于所信任的机构。是否【程序稳定性措施】是否经过系统测试,保障应用在主要机型和操作系统版本的可靠性是否【安全审计措施】是否对用户登录、访问、业务操作等行为进行记录,并留存相关日志是否【通信安全措施】是否在APP和服务器通信过程中使用强壮的加密算法和安全协议,保护移动终端应用软件与服务器之间所有连接、保证传输安全、报文完整性验证、数据加密传输、安全协议和算法以及不可抵赖性等。是否【软件升级措施】是否配套相关机制保障应用在更新时应进行真实性和完整性校验,防范移动终端应用程序被篡改或替换;是否【三方SDK管控
7、措施】是否有相关的检测机制,保障三方SDK使用的必要性和安全性是否11三方开发商安全要求APP是否由第三方开发商开发是否是否有对三方开发商的应用安全开发要求是否对三方开发商交付的应用,是否有严格的安全检测和渗透测试是否是否和三方开发商签订保密协议,防止相关代码和敏感信息外泄是否附件2 :智能设备安全自查1. 智能设备的基本情况智能设备名称系统平台(Android/IOS/Linux/Windows/其他)功能描述(充值/圈存/支付等)与现有收费系统连接方式(独立网络/直接接入)现有用户量企业担心的业务安全风险点建设单位责任人及联系方式开发单位责任人及联系方式2. 智能设备的安全管理情况 智能设
8、备的安全管理情况1智能设备安全责任部门和安全责任人落实情况是否落实了智能设备的安全责任部门是否是否落实了智能设备的安全负责人是否是否将智能设备安全的执行情况落实到年度考核中是否2主要领导对智能设备的安全的重视情况智能设备的安全是否设置了独立的预算是否3单位网络安全责任落实情况是否有明确的智能设备安全追责机制是否4关键岗位人员配备情况是否有智能设备安全管理员,并签订保密措施是否5智能设备应急预案的制定,演练和完善情况是否针对智能设备制定发生安全事件后的应急预案是否是否对应急预案有演练是否是否对应急预案有定期检验更新是否6智能设备安全测评情况是否有智能设备安全测评措施(如自建测评系统或引人第三方渗
9、透测试服务)是否是否对智能设备进行定期测评,并有详细记录是否是否对智能设备进行外部渗透测试,并有详细记录是否是否根据测评结果对智能设备进行修复是否是否有对三方开发商的应用安全开发要求是否对三方开发商交付的应用,是否有严格的安全检测和渗透测试是否是否和三方开发商签订保密协议,防止相关代码和敏感信息外泄是否3. 智能设备的安全保护情况(每个型号设备填写一个表格)智能设备信息设备名称:设备型号:建设单位:开发单位:与现有收费系统连接方式:网口/串口;独立网络/直接接入;其他智能设备操作系统(Android/IOS/Linux/Widows/其他)智能设备中运行哪些应用?对外通信接口是哪些,哪些是用户使用,哪些是调试使用?内部有无eSE,如果有,如何调用?厂家有无预留固件/系统应用升级的API接口,如果有,如何使用?能够读取到智能设备的信息是哪些?(例如S/N、软硬件版本号、固件版本号等等)智能设备的硬件配置是什么?主要是CPU、内存和ROM。大概资源使用率情况如何?智能设备产品开发遵守何种开发规范?安全防护措施有哪些?
浙ICP备2021020529号-1 | 浙B2-20240490 
