MHT 0068-2018 民用航空移动应用程序安全测评指南.pdf

ICS 35.020 V 07 MH 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准 MH/T 0068—2018 民用航空移动应用程序安全测评指南 Security testing guide for mobile application program of civil aviation 2018 - 12 - 14 发布 2019 - 04 - 01 实施 中国民用航空局 发 布 MH/T 0068—2018 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位：中国民航大学、广东机场白云信息科技发展有限公司、南开大学、北京梆梆安全 科技有限公司、北京智游网安科技有限公司。 本标准主要起草人：马勇、张轶、顾兆军、夏侯康、刘哲理、刘春波、周景贤、王双、张礼哲、吕 宗平、阚志刚、魏超。 I MH/T 0068—2018 民用航空移动应用程序安全测评指南 1 范围 本标准规定了针对民用航空移动应用程序测评的基本原则、工作方式。 本标准适用于指导对民用航空移动应用程序进行安全测评。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 25058 信息安全技术 信息系统安全等级保护实施指南 GB/T 28448 信息安全技术 信息系统安全等级保护测评要求 GB/T 31509 信息安全技术 信息安全风险评估实施指南 3 术语和定义 下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 接入公终移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 [GB/T 34975-2017，定义3.1] 3.2 移动智能终端应用软件 application software of smart mobile terminal 针对移动智能终端开发的应用软件，包括移动智能终端预置的第三方应用软件，以及互联网服务提 供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的应用程序。 [GB/T 34975-2017，定义3.3] 3.3 民用航空移动应用程序 civil aviation application program of smart mobile terminal 为服务民航旅客，以及为开展民航自身业务所使用的各类移动应用程序。 4 民用航空移动应用程序网络安全基本要求 4.1 身份鉴别 身份鉴别要求如下： 1 MH/T 0068—2018 a) 使用口令登录时，应对用户的鉴别信息进行复杂度检查； b) 用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全； c) 应对登录的用户进行身份标识和鉴别，身份标识具