ICS 33.030 M21
YD 中华人民共和国通信行业标准 YD/T3367-2018
移动浏览器个人信息保护技术要求 Technical Requirement for Personal Information Protection Based onMobileBrowser
2018-12-21发布2019-04-01实施
中华人民共和国工业和信息化部发布
YD/T3367-2018
目次
前言... 引言. 1范围. 2术语、定义和缩略语. 2.1术语和定义. 2.2缩略语. 3个人信息类型,2 3.1通信消息数据,2 3.2个人账户数据.2 3.3历史记录数据. 3.4终端采集数据,.2 3.5终端固有数据... 4移动浏览器上个人信息安全威胁.3 4.1安全威胁..3 4.2内部威胁.3 4.3外部攻击..3 4.4安全目标.3 5移动浏览器上个人信息安全架构.. 6移动浏览器上个人信息安全技术要求 6.1隐私保护.4 6.2权限控制..5 6.3安全防御.5 6.4加密及认证.5 参考文献...6
YD/T3367-2018
前言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:中国信息通信研究院。
本标准起草人:赵阳光、王进嘉、贺倩、崔伟男、刘露。
YD/T3367-2018
引言
随着HTML5技术的日臻成熟,越来越多的用户选择移动浏览器作为上网的首要途径。
在用户体验 度大幅提升的同时,诸如钓鱼网站、跨站攻击、通信数据盗取、用户隐私信息泄露等移动浏览器安全性 问题却正日显突出。
移动浏览器作为用户与站点、应用程序服务平台、其他用户的沟通渠道,成为了用 户个人信息保护的关键环节。
可以说,基于移动浏览器的用户个人信息安全保护已成为了移动Web技 术进一步发展和推广函待解决的问题。
本标准主要对移动浏览器个人信息的安全保护提出技术要求。
通过确定个人信息类型,分析安全威 胁和防护目标完善个人信息保护体系,确保移动浏览器个人信息的机密性、隐私性和可控性。
Ⅲ
YD/T3367-2018
移动浏览器个人信息保护技术要求
1范围
本标准规范了移动浏览器个人信息的类型,分析了安全威胁,确定了相应的安全防护目标和技 术要求。
本标准适用于移动智能终端上的浏览器。
2术语、定义和缩略语
2.1术语和定义 下列术语和定义适用于本文件。
2.1.1移动浏览器mobilebrowser 为用于移动智能终端设计的网页浏览器,也叫无线互联网浏览器。
2.1.2个人信息personalinformation 与特定自然人相关,由其发生的行为产生的可被信息系统所处理的数据。
2.1.3历史记录historicalrecord 用户在使用浏览器上网时产生诸如的搜索词、浏览网页、页面缓存、cookies、表单等信息的统称。
2.1.4Web应用Web application 一种可以通过Web访问的应用程序。
其最大特点是用户通过浏览器即可访问应用程序,不需要再 安装应用客户端。
2.1.5推送消息push message 用户未发起请求的情况下,应用后台将消息发送至代理网关,再由代理网关发送到指定用户终端的 过程。
2.2缩略语 下列缩略语适用于本文件。
CSRF Cross-site Request Forgery跨站请求伪造 DNT Do Not Track禁止追踪 SIM Subscriber Identity Module用户身份识别卡、智能卡...
