T∕TAF 110-2022 智能終端側(cè)業(yè)務風險防控安全指南

1、ICS 33.050CCS M 30團體標準T/TAF 110-2022智能終端側(cè)業(yè)務風險防控安全指南Guidelines for business risk prevention and control security on smart terminal side2022-02-23 發(fā)布2022-02-23 實施電信終端產(chǎn)業(yè)協(xié)會發(fā)布T/TAF 110-2022目次前言II1 范圍12 規(guī)范性引用文件13 術(shù)語和定義14 縮略語15 業(yè)務風險防控安全框架16 業(yè)務風險防控模型輸入和策略26.1 概述26.2 系統(tǒng)風控模型輸入26.3 應用風控模型輸入26.4 身份風控模型輸入36.5 業(yè)務

2、風險防控策略37 業(yè)務風險定級37.1 業(yè)務風險定級原則和方法37.2 通用風險評估方法示例38 業(yè)務風險防控安全要求3附錄 A（資料性）業(yè)務風險防控接口4II前言本文件按照 GB/T 1.1-2020標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標準起草單位：螞蟻科技集團股份有限公司、中國信息通信研究院、華為技術(shù)有限公司、小米通訊技術(shù)有限公司、榮耀終端有限公司、OPPO廣東移動通信有限公司、維沃移動通信有限公司、阿里巴巴（中國）有限公司、北京快手科技有限公司、百度在

3、線網(wǎng)絡技術(shù)（北京）有限公司、北京奇虎科技有限公司、北京字節(jié)跳動科技有限公司、聯(lián)想（北京）有限公司、國民認證科技（北京）有限公司。本文件主要起草人：朱丙營、文軍、林冠辰、寧華、杜云、王艷紅、劉陶、辛知、萬小飛、彭晉、王思善、潘雙全、王樂、王寶林、任冠一、趙曉娜、羅廣文、李根、楊明慧、趙盈潔、黃天寧、落紅衛(wèi)、吳月升、唐家偉、郭建領(lǐng)、張屹、姚一楠、王宇曉、李汝鑫、林巍巍、李俊。T/TAF 110-2022智能終端側(cè)業(yè)務風險防控安全指南1 范圍本文件提出智能終端側(cè)的業(yè)務風險防控安全框架、模型輸入和策略、業(yè)務風險定級及安全指南。本文件適用于智能終端側(cè)的業(yè)務風險防控安全能力的設計、集成、應用、檢測等活動。

4、2 規(guī)范性引用文件本文件無規(guī)范性引用文件。3 術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1 3.1智能終端smart terminal具備蜂窩網(wǎng)和互聯(lián)網(wǎng)（網(wǎng)絡）接入功能，可對人或物進行信息采集和處理，支撐業(yè)務應用的終端設備。4 縮略語下列縮略語適用于本文件。API：應用程序接口（Application Interface） APP: 應用程序（Application）ROM：只讀存儲器（Read Only Memory）TEE：可信執(zhí)行環(huán)境（Trusted Execution Environment）IMEI：國際移動設備識別碼（International Mobile Equipment I

5、dentity） IMSI：國際移動用戶識別碼（International Mobile Subscriber Identity） MAC：媒體訪問控制（Media Access Control）SIM：客戶識別模塊（Subscriber Identity Module）5 業(yè)務風險防控安全框架圖1給出智能終端側(cè)業(yè)務風險防控通用架構(gòu)，包括業(yè)務風險防控能力組件、風控能力接口以及風控策略組件三個部分。風控組件基于安全環(huán)境（如TEE等）實現(xiàn)，包括系統(tǒng)風控、應用風控、身份風控模型組件以及風控策略組件，一般集成到智能終端操作系統(tǒng)中或者作為可信的系統(tǒng)服務供智能終端業(yè)務應用APP調(diào)用。智能終端平臺負責給業(yè)務

6、風控模型提供輸入，風控策略組件根據(jù)智輸入判斷得出當前的風險狀況，業(yè)務應用APP調(diào)用風控接口獲得風控判斷結(jié)果并進行相應處理，從而保障業(yè)務安全開展或運行。通過智能終端側(cè)的業(yè)務風險防控機制，可實現(xiàn)用戶個人、設備相關(guān)數(shù)據(jù)在操作系統(tǒng)層面進行處理，數(shù)據(jù)不出智能終端即可實現(xiàn)業(yè)務風險防控。5圖1智能終端側(cè)業(yè)務風險防控安全框架注：圖中實線框部分為本標準的范圍。6 業(yè)務風險防控模型輸入和策略6.1 概述本章給出了業(yè)務風險防控模型考慮的輸入和策略。從設備系統(tǒng)角度的輸入考慮、安裝應用的角度以及用戶進行業(yè)務三個角度進行劃分，分為系統(tǒng)風控模型輸入、應用風控模型輸入和身份風控模型。本章的模型輸入作為模型設計時的參考，基礎需

7、求一般需要滿足，其它輸入依據(jù)實際業(yè)務需求可能會不一樣。6.2 系統(tǒng)風控模型輸入系統(tǒng)風控模型提供識別系統(tǒng)是否處于風險狀態(tài)的能力，系統(tǒng)風控模型的輸入包括但不限于如下：a) 是否真實物理智能終端，防止模擬器、云手機等手段（基礎需求）；b) 設備是否被 UNLOCK 及 ROOT（基礎需求）；c) 設備 ROM 是否官方原生，設備是否被刷機（基礎需求）；d) 設備參數(shù)是否被篡改，包括 IMEI、MAC、IMSI 篡改（硬件層面的修改）；e) 系統(tǒng)進程是否被篡改，包括但不限于 system server，com.android.phone 等；f) 是否被遠程控制（針對支付等高安全需求）；g) 是否對當

8、前屏幕錄制（針對支付等高安全需求）；h) 是否共享當前屏幕（針對支付等高安全需求）；i) 提供持久化終端存儲及針對該存儲的增、刪、改、查能力，用于標識設備風險。注：基礎需求為模型正常運行需具備的需求，下同。6.3 應用風控模型輸入應用風控模型主要提供識別應用是否處于風險狀態(tài)的能力，該模型通過可靠的安全機制或者能力識別應用，應用風控模型的輸入包括但不限于如下：a) 應用的數(shù)字證書是否合法（基礎需求）；b) 應用執(zhí)行流程在運行時是否被篡改；c) 是否安裝惡意應用及惡意應用是否活動；d) 當前應用是否被同時開啟多個；e) 應用是否在當前設備首次安裝。6.4 身份風控模型輸入身份風控模型提供識別身份是

9、否處于風險狀態(tài)的能力，該能力通過可靠的安全機制識別用戶真實身份，如識別正常用戶，初級黑灰產(chǎn)，高級黑灰產(chǎn)，黑客等，身份風控模型的輸入包括但不限于如下：a) 按鍵行為是否真實（基礎需求）；b) 最近特定天數(shù)重置/刷機的次數(shù)，用于識別黑灰產(chǎn)常用的設備歸零操作（基礎需求）；c) 設備的調(diào)試狀態(tài)（基礎需求）；d) 是否是網(wǎng)絡代理；e) 是否安裝 SIM 卡；f) 是否是本人或者真實人操作；g) 是否無位移，位置固定或懸空狀態(tài)。6.5 業(yè)務風險防控策略風控策略動態(tài)調(diào)整不同維度風控能力項的權(quán)重，輸入不同的風控模型構(gòu)建相應的安全能力。風控策略一般預置在安全環(huán)境中，根據(jù)業(yè)務需求快速匹配并構(gòu)建相應的安全能力。根據(jù)

10、業(yè)務需要，可動態(tài)下發(fā)、更新風控策略。7 業(yè)務風險定級7.1 業(yè)務風險定級原則和方法智能終端側(cè)的業(yè)務風險可分為高級、中級、低級、無風險四個等級。智能終端側(cè)的業(yè)務風險定級原則包括：a) 就高不就低；b) 風險累積則級別提升。智能終端側(cè)的業(yè)務風險定級可以從系統(tǒng)風控、應用風控以及身份風控三個維度判斷，只要有一個維度風險為高級（或中級）風險，則智能終端側(cè)的業(yè)務風險定為高級（中級）。如果多個低級（或中級） 風險出現(xiàn)，則風險定級可以分別上升為中級（或高級）。7.2 通用風險評估方法示例6.1、6.2、6.3中的各單項風險分值為10分，總風險分值為各單項分值之和。總風險分值反饋給業(yè)務應用，供業(yè)務應用決策參考；

11、或者通過分級原則確定風險等級，反饋給業(yè)務應用。8 業(yè)務風險防控安全要求系統(tǒng)風控模型、應用風控模型、身份風控模型以及風控策略應部署在安全環(huán)境中，防止模型、策略以及相關(guān)數(shù)據(jù)被篡改，風控策略文件應儲存在安全環(huán)境中。應建立安全通道并進行加密和加簽，以保障模型的下發(fā)、風控策略的更新以及風險等級數(shù)據(jù)傳輸?shù)陌踩?，保障?shù)據(jù)的保密性和可靠性。附錄A（資料性） 業(yè)務風險防控接口A.1 接口描述業(yè)務風險防控接口描述如下所示：/* java Risk Monitor 統(tǒng)一接口定義* param1: app_name 標識app調(diào)用者名稱，用于輔助風控模塊進行訪問控制* param2: command ID 執(zhí)行命令，

12、用于功能*param3: in_param 輸入數(shù)據(jù)，部分命令需要輔助參數(shù)，也可為空*return ： 返回命令執(zhí)行結(jié)果，統(tǒng)一為byte數(shù)組類型，*/byte riskMonitorInvoke (String app_name, int commandID, byte in_param) throws RiskMonitorException;A.2 commandID 定義commandID 定義如下所示： enum GET_VERSION,/*獲取RiskMonitor相關(guān)模塊版本信息，包括系統(tǒng)模塊、安全應用、風控策略配置版本信息 */GET_RISK_SCORE, /* 獲取風險評估分

13、數(shù)，可以通過in_param 指定風險域*/ GET_RISK_MAX_VALUE,/* 獲 取 各 風 險 域 下 風 險 值 的 最 大 值 */ SPECIFIED_RISK_OPT,/*APP定制策略命令執(zhí)行，根據(jù)in_param 指定定制參數(shù) */ UPDATE_RISK_CONFIG, /*更新風控策略配置，包括系統(tǒng)通用策略和APP定制策略*/ RESERVED /* 預留，暫不實現(xiàn) */A.3 風險域定義風險域定義如下所示： enumSYSTEM, /* 系 統(tǒng) 風 險 */ APPLICATION,/* 應 用 風 險 */ IDENTITY，/* 身 份 風 險 */ SPECIFIED, /* APP自定義風險策略 */ RESER