個人電腦軟件安全規(guī)范

1個人電腦軟件安全規(guī)范本標準規(guī)定了個人電腦軟件分發(fā)平臺的業(yè)務架構、功能要求、接入規(guī)范、管理規(guī)范以及安全要求。本文件適用于通用電腦終端，個別條款不適用于特殊行業(yè)、專業(yè)應用，其他終端也可參考使用。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術術語3術語和定義下列術語和定義適用于本文件。3.1個人電腦Personalcomputer能夠接入通信網(wǎng)，具有能夠提供應用程序開發(fā)接口的電腦系統(tǒng)，具有安裝、加載和運行應用軟件能力的終端。3.2個人電腦軟件PersonalComputersoftware可安裝在個人電腦內，能夠利用個人電腦終端操作系統(tǒng)提供的公開開發(fā)接口，實現(xiàn)某項或某幾項特定任務的計算機軟件，包含個人電腦預置應用軟件，小程序以及互聯(lián)網(wǎng)信息服務提供者提供的可以通過網(wǎng)站、應用商店等應用分發(fā)平臺下載、安裝、升級的應用軟件。3.3個人電腦軟件開發(fā)者PersonalComputersoftwaredeveloper實際組織開發(fā)、直接進行開發(fā)，并對開發(fā)完成的個人電腦軟件承擔責任的法人或者其他組織，個人電腦軟件的所有者、管理者和提供者。3.4個人電腦軟件分發(fā)源DistributingsourceofPersonalComputersoftware面向消費者用以展示、下載、安裝、升級等個人電腦適用的應用軟件分發(fā)服務的各類平臺，包括但不限于軟件商店、分發(fā)網(wǎng)站、具有分發(fā)能力的應用軟件等分發(fā)平臺。3.5PC軟件庫SoftwareLibraryofPersonalComputer由經(jīng)過嚴格測試，不含病毒、捆綁插件等惡意程序的PC軟件構筑形成的安全軟件分享平臺，同時將軟件合理分類并加入軟件索引，便于個人電腦軟件分發(fā)源對接、查詢和獲取。24縮略語下列縮略語適用于本文件。PC個人電腦（PersonalComputer）API應用程序接口（ApplicationProgrammingInterface）5個人電腦軟件分發(fā)體系業(yè)務架構個人電腦軟件分發(fā)源1個人電腦軟件開發(fā)者2PC軟件庫智能手機所事先形成的使用習慣和個人電腦多年來形成的行業(yè)格局，需要構建更為順應產(chǎn)業(yè)發(fā)展潮流的個人電腦軟件分發(fā)體系業(yè)務架構來協(xié)調與規(guī)范，下圖1為個人電腦軟件分發(fā)體系業(yè)務架構圖。個人電腦軟件分發(fā)源1個人電腦軟件開發(fā)者2PC軟件庫個人電腦軟件開發(fā)者1個人電腦軟件分發(fā)源2個人電腦軟件分發(fā)源個人電腦軟件分發(fā)源n個人電腦軟件開發(fā)者n圖1個人電腦軟件分發(fā)體系業(yè)務架構圖6個人電腦軟件分發(fā)體系功能要求6.1PC軟件庫概述PC軟件庫是指在電腦軟件檢測合格后進行收錄，既能提供給電腦軟件分發(fā)源使用，又能滿足用戶下載軟件需求的產(chǎn)品；在個人電腦軟件分發(fā)源推廣電腦軟件過程中，若發(fā)現(xiàn)非PC軟件庫收錄的軟件，應給予用戶警示并引導至經(jīng)認證的個人電腦軟件分發(fā)源進行下載。6.2PC軟件庫功能設計PC軟件庫是防止不良軟件流入市場的重要屏障，在運營過程中應嚴把入口關，其主要功能包括：a)電腦軟件檢測合格后，方可錄入PC軟件庫；b)電腦軟件升級版本，應待新版本檢測合格后，方可錄入PC軟件庫；c)電腦軟件被國家有關部門通報或者用戶舉報經(jīng)查實者，應對違規(guī)行為進行限期整改，復檢合格后方可保持在PC軟件庫，否則進行下架處理；d)PC軟件庫定期進行軟件巡檢，發(fā)現(xiàn)軟件存在違規(guī)行為，應進行限定期限內完成整改并復檢合格后，方可保持在PC軟件庫，否則進行下架處理。6.3個人電腦軟件分發(fā)源功能設計個人電腦軟件分發(fā)源在分發(fā)PC軟件庫的軟件過程中，若發(fā)現(xiàn)市場上有媒體在分發(fā)非PC軟件庫的軟件，應保證如下功能以保護消費者的合法權益：a)PC軟件庫是個人電腦獲取分發(fā)源軟件的唯一途徑，并以自然日為單位保持數(shù)據(jù)同步；b)用戶可以在任意一個軟件分發(fā)源產(chǎn)品的設置界面中，改變自己習慣的默認的分發(fā)源。只有默認的分發(fā)源才能進行場景引導行為（例如：引導用戶至合規(guī)軟件分發(fā)源獲取軟件此舉為了避3免出現(xiàn)用戶電腦存在多個分發(fā)源的情況下，各分發(fā)源在用戶發(fā)生特性行為后出現(xiàn)多種場景引導提示的干擾情況。c)經(jīng)認證的個人電腦軟件分發(fā)源產(chǎn)品在被用戶設置為默認分發(fā)源之后，可以監(jiān)測消費者電腦上的軟件下載行為，對未經(jīng)認證或允許的軟件分發(fā)行為應進行攔截并引導至合規(guī)的個人電腦軟件分發(fā)源產(chǎn)品獲取軟件。7PC軟件庫接入規(guī)范7.1個人電腦軟件個人開發(fā)者接入個人電腦軟件個人開發(fā)者在PC軟件庫后臺申請開發(fā)者賬號時，應提供開發(fā)者姓名、身份證信息、聯(lián)系方式等。7.2個人電腦軟件企業(yè)開發(fā)者接入個人電腦軟件企業(yè)開發(fā)者在PC軟件庫后臺申請開發(fā)者賬號時，應提供以下內容：——企業(yè)名稱、企業(yè)注冊地址、營業(yè)執(zhí)照號、營業(yè)執(zhí)照彩色掃描件等；——企業(yè)法人代表姓名、身份證信息等；——賬號管理員姓名、身份證信息、聯(lián)系方式等。7.3個人電腦軟件接入個人/企業(yè)開發(fā)者若需在PC軟件庫后上傳電腦軟件，應提供以下內容：——軟件名稱、類別、版本號、簡要描述；——軟件安裝包或下載地址；——軟件圖標、運行界面截圖；——軟件著作權證書、特殊軟件需資質證明（具體內容詳見附錄A——支持的操作系統(tǒng)、系統(tǒng)位數(shù)。——靜默安裝命令行參數(shù)、靜默卸載命令行參數(shù)以上內容需通過人工審核，在確保軟件本體可運行、基本功能可實現(xiàn)，無病毒與惡意程序，資質與其他信息無誤后方可上架并開放下載。7.4個人電腦軟件審核標準8審核標準概述審核標準適用于新軟件上傳、在架軟件更新、日常抽查核驗、用戶舉報核驗等，只有當個人電腦軟件未違反以下任何條款時，方可予以上架。若存在違反條款情況，酌情駁回上架申請或進行軟件下架處理，直至其完成整改，經(jīng)測試整改無誤后可重新上架。審核需包含7.4.2-7.4.8所述內容。9軟件信息審核軟件信息審核包括如下內容：a)軟件名稱、包名、版本、簡要描述中，不得出現(xiàn)任何違法違規(guī)內容；b)開發(fā)者提交的軟件名稱必須與安裝后的桌面名稱一致，若軟件存在多個程序，應填寫主程序名稱；c)軟件名稱不得出現(xiàn)不合理后綴，包括但不限于與軟件無關內容、惡意引流內容等；d)軟件圖標、運行界面截圖不得出現(xiàn)任何違法違規(guī)內容，且必須為與軟件實際內容相符；4e)軟件圖標、運行界面截圖需清晰度高，不得出現(xiàn)模糊不清、拉伸壓縮、黑邊白邊、明顯鋸齒等情況；f)開發(fā)者提交的軟件圖標必須與安裝后的桌面顯示圖標一致。10軟件安裝功能審核軟件安裝功能審核包括如下內容：a)軟件在簡要描述中說明支持的操作系統(tǒng)版本、系統(tǒng)位數(shù)測試環(huán)境下，能夠正常安裝；b)安裝界面若提供開機啟動選項，應顯示在醒目位置，且默認為不勾選。嚴禁安裝過程中通過誤導、強制等手段添加開機啟動項；c)安裝界面若提供創(chuàng)建快捷方式選項，請顯示在醒目位置，且默認為勾選。若勾選選項，安裝成功后至多創(chuàng)建一個快捷圖標；d)安裝完成界面可提供立即啟動按鈕。嚴禁在用戶未授權情況下直接啟動軟件或其他子進程；e)若安裝失敗，請?zhí)峁┟鞔_原因或錯誤碼；f)安裝界面提供取消或關閉按鈕，若安裝進程打斷，系統(tǒng)將恢復到安裝前狀態(tài)。g)軟件在安裝界面的顯著位置應該明示用戶許可協(xié)議等內容，不得在未經(jīng)用戶同意和授權的情況下直接安裝h)軟件如果存在靜默安裝行為和方式的，應該提前報備和說明其靜默安裝參數(shù)和靜默安裝路徑參數(shù)等（如果支持的話），以便軟件分發(fā)源進行識別，以及部分軟件分發(fā)源在特定形式情況下進行安裝處理i)軟件如果存在靜默卸載和方式的，應該提前報備和說明其靜默卸載參數(shù)等（如果支持的話以便軟件分發(fā)源進行識別，以及部分軟件分發(fā)源在特定形式情況下進行卸載處理，避免通過文件強制刪除造成的用戶電腦文件殘留，影響體驗等。11軟件運行功能審核軟件運行功能審核包括如下內容：a)軟件運行時不得出現(xiàn)崩潰、閃退、白屏或發(fā)生嚴重錯誤的情況；b)軟件主功能不得無法使用或出現(xiàn)嚴重使用障礙；c)軟件主功能需與軟件名稱、簡要描述中內容一致；d)軟件運行后不得出現(xiàn)強制要求升級情況；e)若軟件功能僅供部分用戶使用，其簡要描述里應對限制范圍作出說明；f)軟件主程序退出后，子進程必須隨之關閉；g)常駐程序必須給出充分的存在理由，并且能夠在任務管理器中將其結束；h)軟件不得存在誘導付費、自動扣費、隱形扣費等行為，所有付費項目必須清晰展示；i)開通付費功能后，軟件需提供相應功能以供使用；j)兒童類軟件支付功能不得存在任何誘導兒童支付，或暗示兒童使用無密碼式快捷支付等內容。12軟件安全性審核軟件安全性審核包括如下內容：a)軟件不得存在惡意行為，包括但不限于病毒木馬等；b)軟件在未經(jīng)允許的情況下不得修改系統(tǒng)默認配置、數(shù)據(jù)或終端設備功能；c)軟件不得出現(xiàn)監(jiān)控用戶、侵犯隱私等行為；d)軟件不得頻繁出現(xiàn)導致系統(tǒng)死機或重啟等情況；e)軟件不得出現(xiàn)超正常需要，高占用CPU或內存進而影響用戶正常使用設備的情況。513軟件卸載功能審核軟件卸載功能審核包括如下內容：a)軟件應具備正常卸載功能，可在系統(tǒng)功能-控制面板里進行卸載；b)軟件卸載時不得出現(xiàn)閃退、崩潰，或其他無法卸載的情況；c)卸載時不得自動刪除用戶數(shù)據(jù)，包括但不限于聊天記錄、圖片、視頻、文檔等；d)卸載界面應提供刪除用戶數(shù)據(jù)的接口，包括但不限于刪除聊天記錄、圖片、視頻、文檔等；e)除用戶授權要求外，軟件需卸載干凈無殘留；f)若卸載失敗，請?zhí)峁┟鞔_原因或錯誤碼。14軟件內容審核軟件內容審核包括如下內容：a)軟件不得傳播色情、低俗或其他暗示性的內容；b)軟件不得含有宣傳邪教或封建迷信等內容；c)軟件不得含有賭博、非法彩票、非法借貸及其他涉金融類不良內容；d)軟件不得含有強烈的暴力暗示，或引人不適的血腥內容；e)軟件不得含有破壞民族團結、宣揚種族歧視等內容；f)軟件得含有宣傳、販賣、購買違禁物品的內容；g)軟件不得出現(xiàn)任何危害未成年人身心健康，或易造成不良導向的內容；h)軟件不得出現(xiàn)其他違法違規(guī)內容。15軟件廣告審核軟件廣告審核包括如下內容：a)軟件不得出現(xiàn)頻繁彈窗等惡意廣告行為影響用戶體驗；b)軟件內廣告不得強制或誘導用戶點擊；c)軟件內廣告需帶有關閉功能，且軟件退出后，廣告必須隨之關閉；d)軟件內廣告不得包含色情低俗、賭博、反動、售賣違禁品等違法內容；e)軟件內廣告不得含有欺詐、嚴重夸大或其他不符合《廣告法》要求的內容；f)面向未成年人的軟件，其廣告必須嚴格遵守相關法律及社會準則。16軟件維護性審核軟件維護性包括如下內容：a)開發(fā)者超過一年未更新的軟件，應審核其軟件功能價值，判斷是否應繼續(xù)在架；b)若發(fā)現(xiàn)同一開發(fā)者上傳多個內容相似度超過80%的軟件，應通過審核判斷其價值并酌情上架。16.1個人電腦軟件分發(fā)源服務端接入個人電腦軟件分發(fā)源服務端與PC軟件庫服務端進行API對接時，應滿足如下要求：a)提供分發(fā)源的名稱，聯(lián)系方式，營業(yè)執(zhí)照等信息；b)明確與PC軟件庫服務端的握手頻率和差量升級策略。617PC軟件庫管理規(guī)范17.1個人電腦軟件基本信息展示PC軟件庫的軟件下載界面展示各款軟件的以下必備信息：——軟件名稱、分類、簡要介紹、版本號、更新時間、更新日志——軟件icon、運行界面截圖（不少于三張）以下信息為可選展示：——軟件支持的操作系統(tǒng)類型、系統(tǒng)位數(shù)信息——軟件是否含有廣告、插件——軟件官方網(wǎng)站——用戶評分分值、評論數(shù)量、評論詳情——同類軟件相關推薦17.2個人電腦軟件安全相關標識PC軟件庫運營者通過設置不同顏色、形狀圖標等方式對軟件進行顯著標識，幫助用戶快速了解應用的安全性核驗結果，可提供包括但不限于以下標識：——認證標識：對通過病毒檢測、插件檢測、人工綜合審核的軟件予以專屬標識；——負面信息標識：對近期（3個月內）因違規(guī)行為被主管部門通報，或被用戶舉報且問題經(jīng)查實者，給予該軟件特殊標識，改正并通過驗證后可去掉標識；——年齡標識：對于面向未成年人特殊群體的應用，應視情況予以專屬標識；——其他標識：關于軟件是否收費、是否為壓縮包、是否為測試版等情況，可酌情予以專屬標識。17.3個人電腦軟件開發(fā)者管理PC軟件庫指導個人電腦軟件開發(fā)者提高安全合規(guī)意識，制定個人電腦軟件開發(fā)者管理制度，包括但不限于：a)在個人電腦軟件開發(fā)者注冊時，需簽署開發(fā)者協(xié)議，明確開發(fā)者行為需遵守相關法律、法規(guī)與規(guī)范性文件，不得出現(xiàn)任何違法、違規(guī)、侵權行為；b)設立個人電腦軟件開發(fā)者禁入/退出管理制度（即黑名單制度），針對同一個人電腦軟件開發(fā)者多次提交軟件均未能通過審核或測試的情況，可在一段時間內禁止其提交軟件上架申請；c)統(tǒng)一不同個人電腦軟件開發(fā)者在審核標準、時長、流程方面、展示樣式等方面的要求。d)當軟件開發(fā)者在上架審核收錄過程中，需要對開發(fā)者上架收錄中遇到的審核問題提供必要解釋說明，幫助個人開發(fā)者調整和解決產(chǎn)品問題。17.4日常監(jiān)督與問題處置對個人電腦軟件實施常態(tài)化監(jiān)督機制，定期抽查軟件合規(guī)性，主動配合主管部門通報要求，積極處理用戶投訴反饋，包括但不限于：a)根據(jù)下載量、舉報記錄、更新時間、歷史違規(guī)記錄等要素確定抽樣審核優(yōu)先級，定期抽查軟件合規(guī)性，抽查審核標準詳見7.4；b)設立便捷的渠道接收用戶對個人電腦軟件的投訴舉報，及時針對舉報內容進行核驗，并在一個自然月內向用戶反饋核驗結果，使用戶確認投訴舉報已被受理；c)經(jīng)核驗用戶反映問題屬實的，按照情況嚴重程度對個人電腦軟件進行立即下架或限期整改處理，情況嚴重且拒不整改或未在一個月內按照要求整改者，予以下架處理；7定期巡查個人電腦d)軟件評論區(qū)，對涉及違反審核標準的用戶評論應給予重視并進行核驗，若發(fā)現(xiàn)問題屬實，應視情況對軟件進行立即下架或限期整改處理，情況嚴重且拒不整改或未在規(guī)定時間內按照要求整改者，予以下架處理；e)對主管、監(jiān)管部門通報存在違法違規(guī)情況的個人電腦軟件，配合采取監(jiān)督整改、下架等措施；f)按照主管、監(jiān)管部門的監(jiān)管要求，對典型舉報問題、軟件審核情況、問題軟件處置情況進行匯總分析并形成報告上報主管、監(jiān)管部門；g)對發(fā)現(xiàn)的違法違規(guī)線索，保存錄屏證據(jù)等，及時報主管、監(jiān)管部門。18安全要求為防止接口被攻擊，個人電腦軟件分發(fā)源服務端與PC軟件庫服務端采用密鑰方式通信，確保數(shù)據(jù)傳輸?shù)陌踩头€(wěn)定。18.1網(wǎng)絡安全a)將PC軟件庫服