1、ICS 35.020 V 07 MH 中华人民共和国民用航空行业标准 MH/T 00682018 民用航空移动应用程序安全测评指南 Security testing guide for mobile application program of civil aviation 2018 - 12 - 14 发布 2019 - 04 - 01 实施 中国民用航空局 发布 MH/T 00682018 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位:中国民航大学、广东机场白云信息科技发展有限
2、公司、南开大学、北京梆梆安全 科技有限公司、北京智游网安科技有限公司。 本标准主要起草人:马勇、张轶、顾兆军、夏侯康、刘哲理、刘春波、周景贤、王双、张礼哲、吕 宗平、阚志刚、魏超。 M H MH/T 00682018 1 民用航空移动应用程序安全测评指南 1 范围 本标准规定了针对民用航空移动应用程序测评的基本原则、工作方式。 本标准适用于指导对民用航空移动应用程序进行安全测评。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 20984 信息安全技术
3、信息安全风险评估规范 GB/T 25058 信息安全技术 信息系统安全等级保护实施指南 GB/T 28448 信息安全技术 信息系统安全等级保护测评要求 GB/T 31509 信息安全技术 信息安全风险评估实施指南 3 术语和定义 下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 接入公终移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 GB/T 34975-2017,定义3.1 3.2 移动智能终端应用软件 application software of smart mobile terminal 针对移动智能终端开
4、发的应用软件,包括移动智能终端预置的第三方应用软件,以及互联网服务提 供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的应用程序。 GB/T 34975-2017,定义3.3 3.3 民用航空移动应用程序 civil aviation application program of smart mobile terminal 为服务民航旅客,以及为开展民航自身业务所使用的各类移动应用程序。 4 民用航空移动应用程序网络安全基本要求 4.1 身份鉴别 身份鉴别要求如下: M H MH/T 00682018 2 a) 使用口令登录时,应对用户的鉴别信息进行复杂度检查; b) 用户身
5、份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全; c) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求; d) 民用航空移动应用程序应提供并启用登录失败处理功能, 多次登录失败后应采取必要的保护措 施; e) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; f) 当用户更换移动设备时,应重新验证用户身份的合法性。 4.2 访问控制 访问控制要求如下: a) 应采取必要措施对账号登录进行限制保护; a) 应只申请必要的系统权限,防止扣费风险、隐私泄露风险等; b) 应满足最小授权原则,不同用户类型(普通用户、管理员、操作员、审核
6、员)等不同的角色所 拥有的权限是其操作的必要最小权限; c) 民用航空移动应用程序应不能只通过界面限定用户的权限, 应防止攻击者绕过界面的限制直接 提交请求; d) 用户和管理员提交的所有请求应首先进行身份鉴别、验证权限,防止出现越权访问。 4.3 安全审计 安全审计要求如下: a) 应启用安全审计功能, 审计覆盖到每个移动终端, 对重要的终端行为和重要安全事件进行审计; b) 应能对用户行为等单独进行行为审计和数据分析; c) 日志保存期不少于 6 个月。 4.4 敏感信息保护 敏感信息保护要求如下: a) 应查看移动应用程序用户数据的使用说明,判定数据采集和使用的必要性; b) 应采用密码
7、技术保证通信过程中数据的完整性; c) 应采用校验技术或密码技术保证重要数据存储时的完整性, 并在测评到完整性错误时采取必要 的恢复措施; d) 应采用校验技术保证代码的完整性; e) 应采用密码技术保证重要数据在本地存储时的保密性; f) 移动应用程序之间的重要数据应不能被未授权互操作; g) 民用航空移动应用程序数据文件所在的存储空间,被释放或重新分配前应得到完全清除; h) 应对通信过程中的敏感信息字段或整个报文进行加密; i) 存储和传输数据采用的相关密码算法应符合国家相关要求。 4.5 通信的安全性 通信的安全性要求如下: a) 应采用密码技术保证无线通信过程中数据的完整性; b)
8、应保证无线通信过程中敏感信息字段或整个报文的保密性; c) 无线通信过程中采用的相关密码算法应符合国家相关要求; MH/T 00682018 3 4.6 软件容错 民用航空移动应用程序应具有容错性。 4.7 软件保护 应对民用航空移动应用程序程序进行保护,防止他人轻易获取民用航空移动应用程序源代码。 4.8 数据的备份恢复 应提供移动终端重要数据备份与恢复功能。 应将重要数据定时批量传送至备用位置。 5 民用航空移动应用程序安全测评概述 5.1 测评的基本原则 5.1.1 标准性原则 民用航空移动应用程序安全测评应符合GB/T 20984、GB/T 25058、 GB/T 28448和GB/T
9、 31509中的相 关要求。 5.1.2 可控性原则 在安全测评项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制, 以保证测评实施过程的可控和安全,具体措施如下: a) 人员与信息可控性:参与测评的人员应该签署保密协议,以保证测评项目信息的安全;对测试 过程中产生的数据应严格管理,防止数据泄露; b) 过程可控性:应按照项目管理要求,成立项目实施团队,项目组长负责制,以便使项目过程可 控; c) 工具可控性:测评过程中应使用经过国家或民航部门检测认可的相关工具。 5.2 测评的工作方式 5.2.1 人工访谈 专业的信息安全人员应与民航移动应用系统管理、运维和使用人员
10、进行沟通、交流,全面地掌握移 动应用程序的业务流程、数据流程、网络架构、主机系统、运维情况、管理机构以及管理制度等各个方 面的信息,对移动应用程序的安全现状进行全面的了解。 5.2.2 人工检查 应利用专业人员的技术和经验对民航移动应用系统进行安全测试。 5.2.3 工具测试 应采用自动化测评工具对测评目标进行安全测试,可以充分了解民航移动应用系统当前的安全现状、 具有的脆弱性、面临的潜在威胁、可能的影响和风险等信息。 5.2.4 渗透测试 应模拟黑客的攻击手段对民航移动应用系统进行安全测试。 M H MH/T 00682018 4 6 民用航空移动应用程序安全测评阶段性工作 6.1 测评流程
11、 民用航空移动应用程序安全测评一般分为四个阶段:测评准备阶段、测评方案编制阶段、测评具体 实施阶段和测评报告编写阶段。 6.2 测评准备阶段 6.2.1 测评准备阶段主要工作 测评准备阶段的主要任务是确定测评的目标、范围,成立测评团队以及掌握被测评的民用航空移动 应用程序的相关信息。 6.2.2 确定测评目的 对民航Web应用系统测评的目标是了解Web应用系统存在的安全风险, 并对发现的安全风险提出相应 的安全加固建议。 6.2.3 确定测评对象 对民用航空移动应用程序进行测评, 首先明确测评对象, 测评对象参照GBT 22240中定级为第二级、 第三级的民用航空移动应用程序。 6.2.4 组
12、建测评团队 针对测评项目组建测评团队,项目组由测评方和被测评方共同组成,明确项目组成员的职责。 6.2.5 系统调研 对要测评的民用航空移动应用程序进行调研,掌握被测评目标的基本信息。 6.2.6 确定测评工具原则 测评工具的选择和使用应遵循以下原则: a) 测评工具应具备比较全面的漏洞测评能力; b) 测评工具使用的测评策略和测评方式不应对民用航空移动应用程序造成不正常的影响; c) 应对工具测评的结果进行人工验证,尽可能少的出现误报现象; d) 测评工具的选择和使用应符合国家有关规定。 6.3 测评方案编制阶段 应根据测评准备阶段获取的信息,制订测评方案。主要内容包括: a) 测评的目标、
13、评估范围和评估依据; b) 测评团队成员及职责; c) 测评工作计划:项目实施进度安排以及各阶段的工作内容、形式和工作成果; d) 风险规避措施:包括保密协议、评估工作环境要求、评估方法、工具选择以及应急预案等; e) 项目验收方式:包括验收方式、依据和结论定义。 6.4 测评具体实施阶段 MH/T 00682018 5 测评具体实施阶段的主要任务是按照测评方案对被测评目标进行测评,应按照民用航空移动应用程 序网络安全基本要求中的内容进行检测,并详细记录测评过程数据。 6.4.1 测评实施 6.4.1.1 身份鉴别 6.4.1.1.1 测评单元 01 测评实施内容如下: a) 测评对象:民用航
14、空移动应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序,查看是否提供身份标识和鉴别功能; 2) 应核查民用航空移动应用程序,查看是否采用了措施保证身份标识具有唯一性,是否强制 用户首次登录时修改初始口令,是否对登录用户的口令最小长度、复杂度和更换周期等进 行了要求和限制,保证身份鉴别信息不易被冒用; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.1.2 测评单元 02 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应测试民用航空移动应用程序,可通过重置鉴别信息,查看是否成功
15、,验证鉴别信 息重置是否有效; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.1.3 测评单元 03 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施: 1) 应测试民用航空移动应用程序,可通过试图以合法和非法用户分别登录系统,验证身份标 识和鉴别功能是否有效; 2) 应渗透测试民用航空移动应用程序,如多次猜测用户口令,验证应用系统身份标识和鉴别 功能是否不存在明显的弱点; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.
16、1.4 测评单元 04 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序,查看是否提供登录失败处理功能,是否根据安全策略设置 了登录失败次数等参数; M H MH/T 00682018 6 2) 应测试民用航空移动应用程序,可通过多次输入错误的密码,验证登录失败处理功能是否 有效; c) 单元判定:如果 1)-2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合本 测评单元指标要求。 6.4.1.1.5 测评单元 05 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,
17、查看是否采用了两种或两种以上组合的身份鉴别技 术来进行身份鉴别; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.1.6 测评单元 06 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,查看在更换设备时是否在更换后的设备上重新验证 用户的身份; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.2 访问控制 6.4.1.2.1 测评单元 01 测评实施内容如下: a) 测评对象:民用航空移动应用程序;
18、b) 测评实施:应核查民用航空移动应用程序,查看是否限制了同一个账户同时在不同的设备上进 行登录; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.2.2 测评单元 02 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,查看民用航空移动应用程序是否申请了以下的权限 却未使用,具体要求如下: 1) 限制/允许使用手机功能接入互联网; 2) 限制/允许使用手机发送接受信息功能; 3) 限制/允许应用程序来注册自动启动应用程序; 4) 限制/允许使用手机拍照或录音; 5) 限
19、制/允许使用手机读取用户数据; 6) 限制/允许使用手机写入用户数据; 7) 其他。 MH/T 00682018 7 c) 单元判定:如果以上测评实施内容为肯定,则不符合本测评单元指标要求,否则,符合本测评 单元指标要求。 6.4.1.2.3 测评单元 03 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,查看民用航空移动应用程序中不同用户类型(普通 用户、管理员、操作员、审核员)所对软件的操作权限是其用户组所能访问功能的最小权限; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。
20、6.4.1.2.4 测评单元 04 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,是否通过代码程序来限制用户对不同界面的访问权 限而不仅仅只是通过界面限定的方式; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.2.5 测评单元 05 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,是否存在能通过普通用户查看管理员用户才能访问 的数据、界面; c) 单元判定:如果以上测评实施内容为肯定,则不符合本测评单元指标要求
21、,否则,符合本测评 单元指标要求。 6.4.1.3 安全审计 6.4.1.3.1 测评单元 01 测评实施内容如下: a) 测评对象:安全审计设备; b) 测评实施: 1) 应核查相关设备是否开启安全审计功能,查看审计策略是否包括设备运行状况、网络流量、 管理账户的登录及重要操作等; 2) 应核查网络中是否部署了审计措施,对每个移动终端的重要行为和重要安全事件进行审计。 c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.3.2 测评单元 02 测评实施内容如下: a) 测评对象:安全审计设备; b) 测评实施:应核查审计
22、措施是否能够对移动终端的用户行为进行审计和数据分析。 M H MH/T 00682018 8 c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.3.3 测评单元 03 测评实施内容如下: a) 测评对象:安全审计设备; b) 测评实施:应核查审计设备是否能够满足保存 6 个月日志信息的要求。 c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.4 敏感信息保护 6.4.1.4.1 测评单元 01 测评实施内容如下: a) 测评对象:移动应用设计文档和民用航空移动
23、应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序设计文档,查看是否有用户数据类型描述,以及采集和使用 数据类型的必要性描述; 2) 应测试民用航空移动应用程序通信数据完整性,可通过获取通信双方的数据包,查看通信 报文中是否采用密码技术保证通信过程中数据的完整性; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.4.2 测评单元 02 测评实施内容如下: a) 测评对象:移动应用设计文档和民用航空移动应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序设计文档, 查看是否有采用密码技术保证通信过程
24、中数据的 完整性的描述; 2) 应测试民用航空移动应用程序通信数据完整性,可通过获取通信双方的数据包,查看通信 报文中是否采用密码技术保证通信过程中数据的完整性; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.4.3 测评单元 03 测评实施内容如下: a) 测评对象:移动应用设计文档和民用航空移动应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序设计文档, 查看是否有采用校验技术或密码技术保证重要数 据存储的完整性的描述; 2) 应测试在存储过程中对重要数据进行修改, 民用航空移动应用程序是否能够测评到
25、数据的 完整性受到破坏,并在遭到破坏后进行恢复; MH/T 00682018 9 c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.4.4 测评单元 04 测评实施内容如下: a) 测评对象:移动应用设计文档和民用航空移动应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序设计文档,查看是否有采用校验技术保证代码的完整性的描 述; 2) 应测试对代码进行修改,民用航空移动应用程序是否能够测评到代码的完整性受到破坏; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评
26、单元指标要求。 6.4.1.4.5 测评单元 05 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序,查看其鉴别信息和主要数据是否采用加密或其他有 效措施实现了存储保密性; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.4.6 测评单元 06 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应测试民用航空移动应用程序与其它移动应用程序之间的重要数据是否能被互操作; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不
27、符合本测评 单元指标要求。 6.4.1.4.7 测评单元 07 测评实施内容如下: a) 测评对象:系统设计文档和民用航空移动应用程序; b) 测评实施: 1) 应核查设计文档,查看其是否有关于系统在释放或再分配数据文件所在存储空间给其他用 户前如何将其进行完全清除的描述; 2) 应测试民用航空移动应用程序,用户登录系统并进行操作后,在该用户退出后用另一用户 登录,试图操作(读取、修改或删除等)其他用户产生的文件、目录和数据库记录等资源, 查看操作是否成功,验证系统提供的剩余信息保护功能是否正确(确保系统内的文件、目 录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除
28、); c) 单元判定:如果 1)-2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.4.8 测评单元 08 测评实施内容如下: M H MH/T 00682018 10 a) 测评对象:民用航空移动应用程序; b) 测评实施: 1) 应核查民用航空移动应用程序,查看其管理数据、鉴别信息和重要业务数据是否采用加密 或其他有效措施实现传输保密性; 2) 应测试民用航空移动应用程序,可通过用嗅探工具获取通信数据包,查看是否为密文; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1
29、.4.9 测评单元 09 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查数据存储和数据传输是否采用了加密技术,并核实采用的加密算法是否符合 国家相关要求; c) 单元判定:如果结果肯定,则符合本测评单元指标要求,否则,不符合或部分符合本测评单元 指标要求。通信安全性。 6.4.1.5 通信安全性 6.4.1.5.1 测评单元 01 测评实施内容如下: a) 测评对象:移动应用设计文档; b) 测评实施: 1) 应核查是否采用密码技术保证无线通信过程中数据的完整性; 2) 应核查设计、验收文档,查看是否有采用密码技术保护无线通信完整性的描述; c) 单元判定:
30、如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.5.2 测评单元 02 测评实施内容如下: a) 测评对象:移动应用设计文档、民用航空移动应用程序; b) 测评实施: 1) 应核查采用哪种技术保证无线网络通信过程中数据的保密性; 2) 应核查设计、验收文档,查看是否有采用加密技术保护无线通信保密性的描述; 3) 应测试无线通信过程中对敏感信息字段或整个报文是否进行了加密; c) 单元判定:如果 1)3)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.5.3 测评单元 03 测评实施内容如下
31、: a) 测评对象:移动应用设计文档、民用航空移动应用程序; b) 测评实施:应核查无线网络通信过程中是否采用了加密技术,并核实采用的加密算法是否符合 国家相关要求; MH/T 00682018 11 c) 单元判定:如果结果肯定,则符合本测评单元指标要求,否则,不符合或部分符合本测评单元 指标要求。 6.4.1.6 软件容错 6.4.1.6.1 测评单元 01 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序在出现无法连接网络、输入内容异常、业务逻辑异常 等异常情况时软件能给用户以异常提示; c) 单元判定:如果以上测评实施内容为肯定,则
32、符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.7 软件保护 6.4.1.7.1 测评单元 01 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序是否进行了源代码加固、 DEX 加固、 SO 加固、 反调试、 签名校验、资源文件防护、禁止在模拟器中运行等内容的防护; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.1.8 数据的备份和恢复 6.4.1.8.1 测评单元 01 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:
33、1) 应核查是否对民用航空移动应用程序的重要数据进行了备份; 2) 应核查备份方式(如是否为完全数据备份)、频率和介质存放方式是否达到相关标准的要 求,是否定期对备份数据进行恢复测试; c) 单元判定:如果 1)2)均为肯定,则符合本测评单元指标要求,否则,不符合或部分符合 本测评单元指标要求。 6.4.1.8.2 测评单元 02 测评实施内容如下: a) 测评对象:民用航空移动应用程序; b) 测评实施:应核查民用航空移动应用程序是否将重要信息定时批量传送至备用位置,以及备份 方式(如是否为完全数据备份)、频率和介质存放方式等; c) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则,不符合本测评 单元指标要求。 6.4.2 文档管理 M H MH/T 00682018 12 确保测评文档资料的完整性、准确性和安全性,应遵循以下原则: a) 应指派专人负责文档的整理和保存; b) 文档应注明项目相关信息:项目名称、文档名称、版本号、审批人、分发范围等; c) 未经允许不应将项目信息泄露给无关人员和组织。 6.5 测评报告编写阶段 应对测评过程和测评结果进行分析整理,并对被测评目标的安全状况进行评价,给出相应的安全加 固建议,形成最终报告。 _