江苏移动无线城市应用接入指南.doc

江苏移动无线城市应用接入政策指南江苏移动无线城市项目组文档编号产品版本密级20130401011.6开放文档名称：无线城市城市应用接入指南共14页无线城市应用接入指南（仅供无线城市应用开发者使用）文 档 作 者： 日 期：审 核 人： 日 期：批 准 人： 日 期：版本修订历史记录序号修订内容修订人修订日期版本备注1文档创建2013-4-281.02文档内容调整2013-5-21.13文档评审修改2013-5-61.23文档评审定稿优化2013-5-101.33优化应用品质规范2013-5-101.44廉洁合作协议更新2013-5-221.55增加特殊行业资质要求增加应用上线前提交材料说明补充FAQ材料2013-6-261.6目录无线城市应用接入指南11概述41.1无线城市介绍41.2无线城市特性41.3合作资源需求范围41.4申请流程42规范政策52.1开发者政策52.2开发者协议52.3商务模式52.4应用规范62.4.1应用资质规范62.4.2应用安全规范62.4.3应用品质规范103应用开发流程124应用开发UEUI规范125应用开发规范126应用开发案例137应用上线及下线规范137.1应用上线137.2应用下线137.3应用预下线147.4应用变更148应用运营规范148.1运营数据148.2推广渠道151 概述1.1 无线城市介绍 无线城市是中国移动主导开发建设的城市无线应用平台，为个人家庭、集团行业、政企客户提供的有关市民生活等一系列的信息化应用和服务的总称，旨在打造本地生活一站式服务平台。1.2 无线城市特性a) 高起点的开放平台中国移动视无线城市为三大门户之一，将投入巨资进行无线城市平台建设，目标是成为各个城市本地最大的一站式生活服务信息平台。b) 高价值媒体的投放宣传将通过多种渠道对无线城市进行全方位立体化宣传，包括遍布全国的数十万个营业厅、网点；中央级及省级卫星电视、广播；主流期刊杂志；互联网广告等媒体渠道。c) 政府的资源倾斜支持各级地方政府对无线城市作出相应硬件、软件和政策上的支持。d) 持久的用户资源用户不仅是中国移动的所有用户、而是所有6亿上网用户。全国无线城市平台客户端的装机量将达到千万。1.3 合作资源需求范围我们愿意接受各个领域的专业的应用开发商，没有数量和形式的局限，共同服务追求无线城市服务的用户。1.4 申请流程2 规范政策2.1 开发者政策公司开发者，需提交规定材料并且符合要求，才能达到“开发者资料完善度100%”。注册提交地址：/partner/toregister.jspx开发者需要提交如下材料：营业执照号码、企业名称、企业联系方式，企业法人信息2.2 开发者协议用户网站注册后需勾选确认开发者协议，同时无线城市提供纸质协议签约方式，详见附件一无线城市应用合作协议2.3 商务模式针对存在商务模式的应用，根据应用具体情况，进行商务模式洽谈，采用一事一议制度签订相关补充协议。 2.4 应用规范2.4.1 应用资质规范应用上线前必须提交著作权文件。1) 开发者需扫描纸质的关于应用的著作权文件，后台进行上传。2) 如上线不能及时提交，请先上传加盖公司印章的声明文件，应用上线后及时补充。3) 软件著作权证书登记请见：中国版权保护中心官网。4) 应用上线前，著作权文件可随意修改；申请上线中，不可以修改；应用上线后，修改需要经过审核。5) 特殊行业应用接入，需获得国家相关资质要求认证许可，如药品线上交易类应用需提交互联网药品交易资格证书供审核。2.4.2 应用安全规范本规范是为了帮助应用开发者，处理安全扫描工具扫描的安全漏洞，提高软件的安全性。无线城市应用平台面向移动用户提供精品应用，在应用开发的过程中须严格遵守相关安全规范。1) 应用提交前，开发者须提供相应的安全规范自测报告。自测报告须符合企业应用测试标准。2) 应用提交后，无线城市平台将对应用进行初测，应用测试通过结果为应用上线前提条件。3) 应用上线后，无线城市平台将不定期进行安全漏洞扫描，如发现相关漏洞，有权对应用做出相应的处理。重要的安全问题需要登录使用的应用，必须与集中平台门户形成单点登录重要需要登录使用的应用，在用户退出之后，需要自动注销用户的会话信息重要各应用中的内容，必须符合信息安全规范，应用中的文字、图片、视频不存在不一致或非法内容重要数据安全存储，敏感数据加密重要数据安全传输，敏感数据是否采用https、sftp等方式传输。重要对输入数据进行有效性较检。重要对密码等信息进行复杂度检测控制重要对测试资源建立白名单重要线上重点业务建立黑名单、IP访问控制重要针对会话信息是否合理的安全终止会话存活时间、防跨站请求伪造重要建立日志做到有据可溯重要建立起敏感词库，防止违法信息。重要使用工具扫描可能存在的SQL注入攻击、LDAP注入、SSI注入、URI重定向器滥用、Xpath注入攻击、HTTP响应拆分等漏洞。重要使用的数据库应使用最小化原则，分配访问权限。重要建立异常处理，对发生异常应给出友好提示并记录错误信息。重要对人员建立安全管理规范重要主机建立入侵检测与防范机制重要结合帐号密码管理策略，对应用主机帐号口令、登录策略等进行控制重要主机远程访问安全控制重要建立对应用主机备份与恢复机制，定时备份数据重要检查网络是否顺畅与稳定，是否存在丢包现象；重要检查是否部署了安全设备，包括是否正确部署双层异构防火墙、抗拒绝服务攻击设备、入侵检测(防护)设备系统；重要检查防火墙是否按照“最小化原则”设置访问控制策略，如只开启必要的端口与协议，默认访问控制策略为拒绝一切流量；重要检查所有安全设备是否开启日志记录功能。重要主机操作系统是否安装必要的安全补丁，无明显的安全漏洞；重要Windows操作系统应安装防病毒系统，并且病毒库能自动更新到最新版本；重要检查主机操作系统所有帐号，及时删除或禁用不必要的帐号，尤其是默认帐号与来宾帐号；重要检查主机操作系统的密码策略是否正确设置，并且满足密码复杂度要求，定期更换要求；重要检查主机操作系统是否满足最小安全配置策略，如是否关闭了所有不必要的服务、端口与协议，Web服务器主机原则上应只启动HTTP与HTTPS服务端口；重要对于需要远程管理的主机，检查主机操作系统的远程访问策略，是否启用了安全的远程访问协议。重要数据库应部署在独立、高可靠的服务器上，是否对数据库的访问来源进行限制；重要数据库软件安装必要的安全补丁，无明显的安全漏洞；重要检查数据库系统的所有帐号，及时删除或禁用不必要的帐号，尤其是默认帐号，严禁使用主机操作系统帐号登录数据库；重要检查数据库的密码策略是否正确设置，并且满足密码复杂度要求与定期更换要求；重要检查数据库系统是否禁止调用操作系统命令的存储过程，防止通过数据库系统直接执行操作系统命令；重要检查数据库监听进程是否设置了管理密码。重要检查Web服务器与应用服务器中间件是否安装必要的安全补丁，无明显的安全漏洞；重要检查Web服务器与应用服务器中间件是否隐藏版本信息；重要检查Web服务器与应用服务器中间件是否只加载了必要的模块；重要检查Web服务器与应用服务器中间件是否只配置了门户网站实例；重要检查Web服务器与应用服务器中间件是否禁止了不必要的协议与方法，如PUT、DELETE、TRACE等；重要检查Web服务器与应用服务器中间件的Web目录下是否存放配置文件；重要检查Web服务器与应用服务器中间件是否设置了错误重定向页面，避免页面运行异常导致将源代码、用户帐号等敏感信息直接通过出错页面泄露；重要检查Web服务器与应用服务器中间件的工作进程是否以适当权限的用户身份运行；重要检查Web服务器与应用服务器中间件对文件系统的访问权限，严禁对非必要目录实现读、写能力，并禁止提供文件列表功能；重要检查中间件是否存在单点隐患，确保中间件集群的会话保持与会话复制正确使用；重要检查Web服务器与应用服务器中间件是否开启日志记录功能。重要应检查应用程序文件版本是否正确，所有的无关信息都被清除；重要检查安装过程中所创建文件与目录的访问控制权限设置是否得当，禁止向非脚本目录外文件提供可执行权限；重要检查应用程序配置文件采取了严格的访问权限控制，其参数设置是否恰当；重要检查应用程序的业务日志记录功能是否启用；重要检查应用程序配置文件中保存的数据库帐号的密码是否密文存储。重要2.4.3 应用品质规范.1.3.a) UEUI须符合无线城市应用开发UEUI规范标准b) 性能渠道重点标准服务标准www成功率应用打开成功率= 99%应用运行成功率= 99%响应时长应用打开平均时长移动网内：= 3s移动网外：= 8s（未做CDN）应用运行平均时长= 95%WIFI方式下：= 99%应用运行成功率CMNET方式下：= 95%WIFI方式下：= 99%响应时长应用打开平均时长CMNET方式下：= 8sWIFI方式下：= 3s应用运行平均时长CMNET方式下：= 8sWIFI方式下：= 95%WIFI方式下：= 99%应用运行成功率CMNET方式下：= 95%WIFI方式下：= 99%响应时长应用打开平均时长CMNET方式下：= 8sWIFI方式下：= 3s应用运行平均时长CMNET方式下：= 8sWIFI方式下：= 3sc) 文档须完善无线城市平台相关应用文档资料。文档提交网址：/partner/tologin.jspx文档格式详细网站需求。123 应用开发流程4 应用开发UEUI规范详见附件二无线城市应用开发UEUI规范、附件三前端开发编码规范相关规范文档将根据业务发展情况进行更新，请注意文档版本号。文档更新后，将及时在开发者网站公布，请关注并下载，即时对应用进行优化。..1.5 应用开发规范详见附件四无线城市应用开发接口规范附件五无线城市分省平台应用系统订单管理接口相关规范文档将根据业务发展情况进行更新，请注意文档版本号。文档更新后，将及时在开发者网站公布，请关注并下载，即时对应用进行优化。6 应用开发案例详见附件六无线城市应用开发案例7 应用上线及下线规范7.1 应用上线应用上线后，应用可在应用子系统门户上对应用使用者展示，并可供应用使用者订阅和调用。应用上线过程包括全网应用上线及本地应用上线。1) 全网应用上线应用上线过程中，应用提供者首先登录省平台合作伙伴自应用门户提交应用注册申请，填写应用的基本信息和相关资料，包括：应用名称、应用范围（全网或本省）、应用类型、应用地址等。应用注册后，省平台管理员负责对应用及信息进行审核，审核通过后，为应用分配唯一的应用标识EAID，并向省平台测试人员提交测试。测试人员进行测试，验证应用的可用性，稳定性及性能。测试结果作为应用上线、管理及控制的依据，并由省平台审批员根据审核及测试结果对应用上线申请进行审批。审批通过后由省平台将该应用的上线结果在应用子系统门户中进行展示。2) 本地应用上线省平台管理员负责对应用及信息进行审核，审核通过后，为应用分配唯一的应用标识EAID，并向省平台测试人员提交测试。测试人员进行测试，验证应用的可用性，稳定性及性能。测试结果作为应用上线、管理及控制的依据，并由省平台审批员根据审核及测试结果对应用上线申请进行审批。审批通过执行应用上线。本地应用上线后，在省平台应用子系统门户上对应用使用者进行展示。3) 应用上线前资质材料提交a) 应用logo: 48PX 128PX PNG格式 6K以下b) 广告：456px*119px PNG格式（需要则提供）c) 应用介绍：40字以内d) 功能模块介绍：介绍亮点功能模块，字数不限e) 可能出现的问题及应对措施7.2 应用下线应用下线后不在应用子系统门户上对应用使用者展示，应用使用者不能再订阅该应用。应用下线过程包括以下两类：1) 全网应用下线：省平台将应用下线申请转发至集中平台，集中平台审批应用下线申请后，从集中平台的应用子系统门户下线该应用，并将下线结果返回至省平台，由省平台执行应用下线操作；2) 本地应用下线：省平台接收应用下线申请后执行应用下线，并从门户上下线应用。应用下线后应将信息同步给各省平台。应用下线包括以两种类型：1) 应用正常下线：包括：应用有效期到期，应用下线，以及与合作伙伴的合作协议到期后，合作伙伴不再续约，应用下线等；2) 应用强制下线：包括：根据运营考核管理办法，合作方发生重大违规，或者考核不达标的应用下线。应用正常下线情况，先执行预下线后，再执行下线操作；对于应用强制下线情况，直接执行应用下线操作。7.3 应用预下线应用预下线后，应继续为已订阅该应用的应用使用者提供应用，且继续在应用子系统门户向该应用的使用者展示；但是不再接受新的应用订阅请求，且不在应用子系统门户向该应用的使用者展示。7.4 应用变更应用信息变更包括两类：1) 应用属性变更：如应用描述、应用名称等；2) 应用功能变更：应用的调用形式及应用功能变更。应用属性变更可直接修改生效，应用功能变更应先执行应用预下线操作，且重新执行应用上线流程，但上线流程中不需要重新为应用分配应用标识。8 应用运营规范8.1 运营数据无线城市运营平台将定期提供应用报表，供查询