移动互联安全扩展要求-（四）安全建设管理

移动互联安全扩展要求

控制点

4.

安全建设管理

一、 移动应用软件采购

为降低移动应用软件采购、下载及使用中的安全风险，应对移动应用软件的来源和开发者进行检查。

a)

安全要求：应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。

要求解读：移动终端安装、运行的应用软件应采用证书签名来保证完整性，或者使用可靠的移动应用软件分发渠道，降低安装移动应用软件带来的风险。

检查方法

核查移动应用软件是否来自可靠的分发渠道或使用可靠的证书签名。

期望结果

移动应用软件是从官方网站或内部应用商店等可靠渠道下载的。

b)

安全要求：应保证移动终端安装、运行的应用软件由指定的开发者开发。

要求解读：为保证移动终端上安装的移动应用软件的安全性，应安装由制定的开发者开发的移动应用软件。例如，移动终端安装、运行的移动终端管理软件应明确开发单位、开发者等。

检查方法

核查已安装的移动应用软件是否是由指定的开发者开发的。

期望结果

1.已安装的移动应用软件是由指定的开发者开发的。

2.有移动应用软件开发者单位、开发者的相关信息。

 

二、移动应用软件开发

为降低移动应用软件开发中带来的安全风险，应对开发者的资格及证书签名的合法性等进行检查。

a)

安全要求：应对移动业务应用软件开发者进行资格审查。

要求解读：为保证移动业务应用软件的安全性，应对开发者进行资格审查，包括工作经历、技术能力、资格证书、项目实施情况等。

检查方法

访谈系统建设负责人，了解是否对开发者进行了资格审查。

期望结果

1.移动应用开发者的资格符合要求。

2.有移动应用开发者的资格审查记录或相关资质材料。

b)

安全要求：应保证开发移动业务应用软件的签名证书合法性。

要求解读：开发移动业务应用软件的签名证书应具有合法性。

检查方法

核查开发移动业务应用软件的签名证书是否具有合法性。

期望结果

开发移动业务应用软件的签名证书具有合法性。

标签：互联,证书,应用软件,扩展,安全,开发,开发者,移动,签名
来源： https://www.cnblogs.com/quqibinggan/p/16374245.html