JR∕T 0192—2020 证券期货业移动互联网应用程序安全规范(金融)

ID

28DC2317ABED4670AF37FC8FF9791D07

文件大小(MB)

0.31

页数:

12

文件格式:

pdf

日期:

2021-12-25

购买:

购买或下载

文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):

ICS 03.060,A 11 JR,中华人民共和国金融行业标准,JR/T 0192—2020,证券期货业移动互联网应用程序,安全规范,Security specification for mobile internet application of securities and futures,industry,2020 - 07 - 10 发布2020 - 07 - 10 实施,中国证券监督管理委员会发布,JR/T 0192—2020,I,目 次,前言. II,引言.. III,1 范围.. 1,2 规范性引用文件 1,3 术语和定义.. 1,4 移动终端安全. 2,4.1 移动互联网应用程序..2,4.2 移动终端环境.. 2,4.3 安装与卸载 2,4.4 升级与更新 2,5 身份鉴别 2,5.1 鉴别方式. 2,5.2 鉴别数据保护.. 3,5.3 密码安全. 3,6 网络通信安全. 3,6.1 通讯协议. 3,6.2 会话管理. 3,6.3 第三方网络通信. 3,7 数据安全 4,7.1 数据录入. 4,7.2 数据存储. 4,8 开发安全 4,8.1 安全需求. 4,8.2 安全开发. 4,8.3 安全测试. 4,8.4 安全发布. 4,9 安全审计 4,9.1 日志生成. 5,9.2 日志管理.,JR/T 0192—2020,II,前 言,本标准按照GB/T 1.1—2009给出的规则起草,本标准由全国金融标准化技术委员会证券分技术委员会(SAC/TC 180/SC4)提出,本标准由全国金融标准化技术委员会(SAC/TC 180)归口,本标准起草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、中证信,息技术服务有限责任公司、上海期货交易所、大连商品交易所、中国金融期货交易所、中国证券登记结,算有限责任公司、中国期货市场监控中心有限责任公司、中国期货业协会、兴业证券股份有限公司、国,泰君安证券股份有限公司、东吴证券股份有限公司、光大证券股份有限公司、华泰证券股份有限公司、,海通期货股份有限公司、兴业基金管理有限公司、公安部第三研究所、上海市信息安全测评认证中心,本标准主要起草人:姚前、刘铁斌、周云晖、叶婧、朱立、马卿平、甘张生、陈磊、居红伟、卫飞、,丁新杰、冯小根、焦东亮、周桉、崔慧阳、艾青、王玥、陈凯晖、梅克波、华仁杰、刘嵩、张嵩、王勇,斌、徐正伟、张艳、李宏达,JR/T 0192—2020,III,引 言,随着移动互联网新兴技术的蓬勃兴起,层出不穷的创新业务,在商业模式应用、技术风险控制等方,面对金融业构成了新的挑战。在当前的互联网金融浪潮中,信息系统建设与安全运行的压力越来越大,所面临的信息安全形势日趋复杂。金融行业的移动互联网应用程序(APP)安全问题尤其严峻,国家为加强对移动互联网应用程序信息服务的规范管理,鼓励有关行业协会等依法制定自律性管理,制度,加强用户权益保护,行业移动终端应用安全规范,对市场主流移动终端应用开展安全检测与风险评估,完善监测渠道与,预警机制,建立移动终端应用安全风险提示系统,及时发现并通报移动终端应用的设计缺陷与安全漏洞,以及假冒、篡改的移动终端应用。督促经营机构加强对移动终端应用的安全管理,切实提高投资者风险,防范意识,JR/T 0192—2020,1,证券期货业移动互联网应用程序安全规范,1 范围,本标准规定了证券期货业移动互联网应用程序的移动终端安全、身份鉴别、网络通信安全、数据安,全、开发安全和安全审计,本标准适用于证券期货业机构开发和发布移动互联网应用程序,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文,件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求,GB/T 25069—2010 信息安全技术术语,JR/T 0060—2010 证券期货业信息系统安全等级保护基础要求,3 术语和定义,GB/T 25069—2010、GB/T 22239—2008和JR/T 0060—2010界定的以及下列术语和定义适用于本文,件,3.1,移动终端mobile terminal,以手机、平板电脑等智能设备为代表,能够安装并使用证券期货移动互联网应用程序,可以在移动,中使用的计算机设备,3.2,移动互联网应用程序mobile internet application;app,安装在移动终端上,用于证券期货查询、交易、业务办理等业务相关的原生应用程序,注:移动互联网应用程序包含并不限于涉及业务办理类、证券期货交易类的移动互联网应用程序,办公类、信息披,露类的移动互联网应用程序,证券期货业其他参与机构(服务机构)发布的移动互联网应用程序,3.3,客户信息customer information,移动互联网应用程序所处理,与特定自然人、法人相关,能够单独或通过与其他信息结合识别该特,定自然人的计算机数据,注:计算机数据是与自然人身份属性、财产属性相关的一组数据,3.4,敏感信息sensitive information,一旦泄漏、非法提供或者滥用可能危害人身和财产安全,极易导致个人或企业名誉财产受到损害等,的个人及企业信息,JR/T 0192—2020,2,4 移动终端安全,4.1 移动互联网应用程序,移动互联网应用程序以独立的程序形式存在移动终端上,其自身应满足安全性要求:,a) 采取防动态调试、代码混淆、防逆向等技术对关键代码、核心逻辑进行保护;,b) 不应设计……

……