资源描述
附件1 :移动App安全自查
1. APP应用的基本情况
APP应用情况
APP名称:
运行环境:☐Android ☐iOS
APP下载地址:
APP后台Web Server网站地址:
现有用户量:
与现有收费系统连接方式:
☐独立网络 ☐直接接入 其他__________________________
APP开发单位:
APP责任单位负责人及职务:
联系电话:
APP运行安全责任人及职务:
联系电话:
APP责任单位地址:
APP的消费场景有哪些:☐圈存 ☐消费 ☐其他(其他请说明场景)
APP消费场景中使用的技术是什么:☐NFC ☐HCE(有SE安全芯片) ☐HCE(无SE安全芯片) ☐其他
APP与哪些第三方平台交互?如何传输?
APP与第三方平台交互的数据是什么?
APP客户端存储哪些数据?
APP中是否使用交通部密钥,密钥在APP客户端如何存储,如何调用?
APP是否发生过安全事件?是什么?如何处置?
APP开发遵守何种开发规范?
现有安全防护措施有哪些?
2:APP安全管理和保护情况
APP安全保护情况
1
APP安全责任部门和安全责任人落实情况
是否落实了APP安全责任部门
☐是
☐否
是否落实了APP安全负责人
☐是
☐否
是否将APP安全的执行情况落实到年度考核中
☐是
☐否
2
主要领导对APP安全的重视情况
APP安全是否设置了独立的预算
☐是
☐否
3
单位网络安全责任落实情况
是否有明确的APP安全追责机制
☐是
☐否
4
关键岗位人员配备情况
是否有APP安全管理员,并签订保密措施
☐是
☐否
5
APP应急预案的制定,演练和完善情况
是否针对APP制定发生安全事件后的应急预案
☐是
☐否
是否对应急预案有演练
☐是
☐否
是否对应急预案有定期检验更新
☐是
☐否
6
APP安全测评情况
是否有APP安全测评措施(如自建测评系统或引人第三方渗透测试服务)
☐是
☐否
是否对APP进行定期测评,并有详细记录
☐是
☐否
是否对APP进行外部渗透测试,并有详细记录
☐是
☐否
是否根据测评结果对APP进行修复
☐是
☐否
7
APP代码审计
是否对APP进行代码审计
☐是
☐否
是否对APP进行定期代码审计,并有详细记录
☐是
☐否
是否根据审计结果对APP进行修复
☐是
☐否
8
APP安全事件报告处置
是否制定APP安全事件报告制度
☐是
☐否
发生APP安全事件是否向公安机关报告
☐是
☐否
是否有完整的处置记录
☐是
☐否
9
APP安全运营流程
对安卓和IOS系统环境下的应用开发,是否有相关的软件安全开发规范
☐是
☐否
是否建設了完备的开发、测评、发布、运营、应急相关流程
☐是
☐否
相关流程是否配套了工具或人去执行
☐是
☐否
10
程序安全
【APP用户身份认证保护措施】在支付、修改敏感信息等环节是否应用了二次认证保护方案
☐是
☐否
【输入界面信息防护措施】是否应用安全软键盘等技术对输入界面信息进行保护
☐是
☐否
【输入界面信息防护措施】是否存在不经用户允许访问用户终端数据的功能
☐是
☐否
【输入界面信息防护措施】是否存在不经用户允许修改用户终端数据的功能
☐是
☐否
【输入界面信息防护措施】是否在用户终端操作的敏感行为以明显的、足够引起用户的注意的方式提示用户,包括但不限于图标提示、文字提示、声音提示等方式
☐是
☐否
【访问控制措施】是否了解APP在移动终端申请了哪些系统权限
☐是
☐否
【访问控制措施】APP在移动终端申请使用的权限是否都是必须的
☐是
☐否
【恶意行为控制措施】是否存在损害用户利益和危害网络安全的恶意行为,例如:流量耗费、费用损失、隐私泄露、开放不必要的读写权限等。
☐是
☐否
【代码安全措施】是否采取代码混淆等防逆向、防动态调试安全加固措施,防止被反编译或逆向分析,确保敏感程序逻辑的机密性。
☐是
☐否
【运行安全措施】是否应用相关安全SDK,保障应用在启动及运行过程中,防止非法程序获取该进程的访问权限或替换程序运行页面;
☐是
☐否
【运行安全措施】是否采用敏感信息保护、完整性保护功能,例如防键盘监听,密码保护等,保障敏感信息安全性
☐是
☐否
【程序可信措施】是否通过签名标识移动终端应用程序的来源和发布者,保证用户所下载的移动终端应用程序来源于所信任的机构。
☐是
☐否
【程序稳定性措施】是否经过系统测试,保障应用在主要机型和操作系统版本的可靠性
☐是
☐否
【安全审计措施】是否对用户登录、访问、业务操作等行为进行记录,并留存相关日志
☐是
☐否
【通信安全措施】是否在APP和服务器通信过程中使用强壮的加密算法和安全协议,保护移动终端应用软件与服务器之间所有连接、保证传输安全、报文完整性验证、数据加密传输、安全协议和算法以及不可抵赖性等。
☐是
☐否
【软件升级措施】是否配套相关机制保障应用在更新时应进行真实性和完整性校验,防范移动终端应用程序被篡改或替换;
☐是
☐否
【三方SDK管控措施】是否有相关的检测机制,保障三方SDK使用的必要性和安全性
☐是
☐否
11
三方开发商安全要求
APP是否由第三方开发商开发
☐是
☐否
是否有对三方开发商的应用安全开发要求
☐是
☐否
对三方开发商交付的应用,是否有严格的安全检测和渗透测试
☐是
☐否
是否和三方开发商签订保密协议,防止相关代码和敏感信息外泄
☐是
☐否
附件2 :智能设备安全自查
1. 智能设备的基本情况
智能设备名称
系统平台
(Android/IOS/Linux/Windows/其他)
功能描述(充值/圈存/支付等)
与现有收费系统连接方式(独立网络/直接接入)
现有用户量
企业担心的业务安全风险点
建设单位责任人及联系方式
开发单位责任人及联系方式
2. 智能设备的安全管理情况
智能设备的安全管理情况
1
智能设备安全责任部门和安全责任人落实情况
是否落实了智能设备的安全责任部门
☐是
☐否
是否落实了智能设备的安全负责人
☐是
☐否
是否将智能设备安全的执行情况落实到年度考核中
☐是
☐否
2
主要领导对智能设备的安全的重视情况
智能设备的安全是否设置了独立的预算
☐是
☐否
3
单位网络安全责任落实情况
是否有明确的智能设备安全追责机制
☐是
☐否
4
关键岗位人员配备情况
是否有智能设备安全管理员,并签订保密措施
☐是
☐否
5
智能设备应急预案的制定,演练和完善情况
是否针对智能设备制定发生安全事件后的应急预案
☐是
☐否
是否对应急预案有演练
☐是
☐否
是否对应急预案有定期检验更新
☐是
☐否
6
智能设备安全测评情况
是否有智能设备安全测评措施(如自建测评系统或引人第三方渗透测试服务)
☐是
☐否
是否对智能设备进行定期测评,并有详细记录
☐是
☐否
是否对智能设备进行外部渗透测试,并有详细记录
☐是
☐否
是否根据测评结果对智能设备进行修复
☐是
☐否
是否有对三方开发商的应用安全开发要求
☐是
☐否
对三方开发商交付的应用,是否有严格的安全检测和渗透测试
☐是
☐否
是否和三方开发商签订保密协议,防止相关代码和敏感信息外泄
☐是
☐否
3. 智能设备的安全保护情况(每个型号设备填写一个表格)
智能设备信息
设备名称:
设备型号:
建设单位:
开发单位:
与现有收费系统连接方式:网口/串口;独立网络/直接接入;其他
智能设备操作系统(Android/IOS/Linux/Widows/其他)
智能设备中运行哪些应用?
对外通信接口是哪些,哪些是用户使用,哪些是调试使用?
内部有无eSE,如果有,如何调用?
厂家有无预留固件/系统应用升级的API接口,如果有,如何使用?
能够读取到智能设备的信息是哪些?(例如S/N、软硬件版本号、固件版本号等等)
智能设备的硬件配置是什么?主要是CPU、内存和ROM。大概资源使用率情况如何?
智能设备产品开发遵守何种开发规范?
安全防护措施有哪些?
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
