T_TAF 110-2022 智能终端侧业务风险防控安全指南.docxVIP

ICS33.050CCSM30

团体标准

T/TAF110-2022

智能终端侧业务风险防控安全指南

Guidelinesforbusinessriskpreventionandcontrolsecurityonsmart

terminalside

2022-02-23发布2022-02-23实施

电信终端产业协会发布

I

T/TAF110-2022

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5业务风险防控安全框架 1

6业务风险防控模型输入和策略 2

6.1概述 2

6.2系统风控模型输入 2

6.3应用风控模型输入 2

6.4身份风控模型输入 3

6.5业务风险防控策略 3

7业务风险定级 3

7.1业务风险定级原则和方法 3

7.2通用风险评估方法示例 3

8业务风险防控安全要求 3

附录A（资料性）业务风险防控接口 4

T/TAF110-2022

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本标准起草单位：蚂蚁科技集团股份有限公司、中国信息通信研究院、华为技术有限公司、小米通讯技术有限公司、荣耀终端有限公司、OPPO广东移动通信有限公司、维沃移动通信有限公司、阿里巴巴（中国）有限公司、北京快手科技有限公司、百度在线网络技术（北京）有限公司、北京奇虎科技有限公司、北京字节跳动科技有限公司、联想（北京）有限公司、国民认证科技（北京）有限公司。

本文件主要起草人：朱丙营、文军、林冠辰、宁华、杜云、王艳红、刘陶、辛知、万小飞、彭晋、王思善、潘双全、王乐、王宝林、任冠一、赵晓娜、罗广文、李根、杨明慧、赵盈洁、黄天宁、落红卫、吴月升、唐家伟、郭建领、张屹、姚一楠、王宇晓、李汝鑫、林巍巍、李俊。

T/TAF110-2022

1

智能终端侧业务风险防控安全指南

1范围

本文件提出智能终端侧的业务风险防控安全框架、模型输入和策略、业务风险定级及安全指南。本文件适用于智能终端侧的业务风险防控安全能力的设计、集成、应用、检测等活动。

2规范性引用文件

本文件无规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

智能终端smartterminal

具备蜂窝网和互联网（网络）接入功能，可对人或物进行信息采集和处理，支撑业务应用的终端设备。

4缩略语

下列缩略语适用于本文件。

API：应用程序接口（ApplicationInterface）

APP:应用程序（Application）

ROM：只读存储器（ReadOnlyMemory）

TEE：可信执行环境（TrustedExecutionEnvironment）

IMEI：国际移动设备识别码（InternationalMobileEquipmentIdentity）

IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentity）

MAC：媒体访问控制（MediaAccessControl）

SIM：客户识别模块（SubscriberIdentityModule）

5业务风险防控安全框架

图1给出智能终端侧业务风险防控通用架构，包括业务风险防控能力组件、风控能力接口以及风控策略组件三个部分。风控组件基于安全环境（如TEE等）实现，包括系统风控、应用风控、身份风控模型组件以及风控策略组件，一般集成到智能终端操作系统中或者作为可信的系统服务供智能终端业务应用APP调用。智能终端平台负责给业务风控模型提供输入，风控策略组件根据智输入判断得出当前的风险状况，业务应用APP调用风控接口获得风控判断结果并进行相应处理，从而保障业务安全开展或运行。通过智能终端侧的业务风险防控机制，可实现用户个人、设备相关数据在操作系统层面进行处理，数据不出智能终端即可实现业务风险防控。

T/TAF110-2022

2

图1智能终端侧业务风险防控安全框架

注：图中实线框部分为本标准的范围。

6业务风险防控模型输入和策略

6.1概述

本章给出了业务风险防控模型考虑的输入和策略。从设备系统角度的输入考虑、安装应用的角度以及用