标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DL/T 2398-2021 电力移动应用APP安全防护标准.pdf本项要求包括: a)移动App应能够对所有登录用户进行身份鉴别,并应具备鉴别失败处理功能,当用户鉴别失 败时,应提供通用的错误提示信息。 b)移动App应在用户登录失败达到指定失败次数后,对用户账号进行锁定,锁定时间由授权的 管理员进行配置或解锁。 c)移动App应满足规定的鉴别机制强度要求,采用口令、解锁图案或其他具有相应安全强度的 机制进行用户身份鉴别;对关键业务的操作,包括但不限于用户登录、认证、付款等,应采用 多因子认证机制,包括但不限于使用静态密码、动态密码、人脸识别、指纹识别等两种或两种 以上组合的技术。 d)移动App应对口令最小长度和复杂度进行限制,用户名与口令不应相同,支付口令不应与登 录口令相同,用户需登录后才可使用支付口令。 e)移动微应用可由移动应用门户统一进行登录,宜对敏感的移动微应用进行二次验证。
本项要求包括: a) 移动独立应用宜具备会话闲置超时机制,超时后重新进行身份鉴别。 b)移动独立应用在退出登录后,不应通过原会话向服务器发起会话连接。
本项要求包括: a)移动App应对通过人机接口输入的数据进行有效性和合法性验证,保证数据的类型、长度、 数值范围符合要求。 b)在故障发生时,移动独立应用宜继续提供一部分功能,确保能够实施必要的措施,并进行异常 信息告警。
本项要求包括: a) 基于安卓操作系统开发的移动独立应用应对组件权限进行限制,避免第三方移动应用随 组件内容。 b)基于安卓操作系统开发的移动独立应用应对组件进行安全配置,避免发生劫持组件的安全问是
DL/T2398—2021
本项要求包括: a) M 移动独立应用应遵循用户权限最小化原则,删除多余的用户权限配置。 b) 2 移动独立应用应对权限申请模块进行完整性校验, c) 宜实现访问控制,并依据安全策略控制用户对具体移动微应用的访间权限。
本项要求包括: 移动独立应用应对第三方库进行完整性校验。 b) 不调用存在已知漏洞的第三方库,确保在进行调用过程中,不存在可被恶意利用的漏洞 C) 调用第三方API时,应对应用程序的调用接口进行保护,不应被随意访间,防止非授权调用。
本项要求包括: a)移动微应用宜通过移动应用门户进行升级。 b)应通过行业内部统一应用商店、行业外部可信应用商店包括但不限于手机厂商、电信运营商 手机系统商、第三方的应用商店或移动独立应用自身提示进行升级。 c)在移动独立应用升级过程中,应对升级包进行完整性校验。
本项要求包括: a)移动App应不存在违反国家法律法规要求的内容。 b)移动App宜使用电力企业官方证书签名后才可发布,不能发布测试版本或含有调试代码的版本。 c)移动App不得包含病毒、木马等有害文件。 d)移动App宜在安全测评后发布,以保证所发布的移动App不存在安全漏洞,包括但不限于越 权访问、SQL注入攻击、跨站脚本攻击、会话重放攻击、明文传输、敏感信息泄露、文件上 传漏洞等。 e)移动微应用宜在移动应用门户上架。
本项要求包括: a) 移动App应对运行环境进行安全检测,防止其在不安全环境下使用,包括但不限于普通用户 获取系统最高权限(ROOT)、模拟器等。 b)移动App应具有系统版本检测机制,在系统版本过低时,提示系统版本进行更新。
本项要求包括: a)移动App可被安全监测,在移动终端运行时所受到的攻击和安全威胁能够实时被感知 和防护,包括但不限于对移动独立应用的攻击行为、敏感行为的监测。 b)宜对在上线运行状态下的移动独立应用进行安全加固标识监测。
C)) 宜对发布后的移动独立应用进行持续地安全运行监测。 1) )移动应用门户宜提供移动微应用安全监测功能大理石、花岗石地面施工技术交底,
为您提供最及时、最准确、最权威的电力标准信息