《端云联动的移动互联网业务风险防控框架》.docVIP

TAF-WG4AS0001-V1.0.0

PAGE4

团体标准

T/TAFXXX—XXXX

端云联动的移动互联网业务风险防控框架

Cloudandterminalscouplingframeworkformobileinternetbusinessriskcontrol

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

T/TAFXXX—XXXX

T/TAFXXX—XXXX

PAGE5

目??次

TOC\o1-1\h\u前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5移动互联网业务风险防控场景概述 1

6移动互联网业务风险防控通用需求 2

7端云联动的移动互联网业务风险防控架构 2

8基础模块和功能 3

参考文献 6

前??言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会（TAF）提出并归口。

本文件起草单位：OPPO广东移动通信有限公司、中国信息通信研究院、蚂蚁科技集团股份有限公司、维沃移动通信有限公司、小米通讯技术有限公司、华为技术有限公司、荣耀终端股份有限公司、北京快手科技有限公司、北京三星通信技术研究有限公司。

本文件主要起草人：付艳艳、徐腾、李腾、曾德康、林冠辰、徐曼、衣强、赵晓娜、胡建园、颜秉武、王彬、罗元海。

端云联动的移动互联网业务风险防控框架

范围

本文件提供了端云联动的移动互联网业务风险防控建议，给出了与端云联动架构、基础模块和安全功能等相关的信息。

本文件适用于指导智能终端侧和云侧联合进行业务风险防控的场景，也适用于指导不同参与者间进行风险防控合作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T35273信息安全技术个人信息安全规范

T/TAF110—2022智能终端侧业务风险防控安全指南

T/TAF078.10APP用户权益保护测评规范第10部分：自启动和关联启动行为

术语和定义

下列术语和定义适用于本文件。

业务安全风险businesssecurityrisk

业务正常逻辑面临的被滥用或篡改的威胁，导致业务目的与业务结果产生的不确定性，包含但不限于金融欺诈、账户盗刷、内容违规等。

[来源：YD/T3796—2020]

业务风险防控businessriskcontrol

为控制业务安全风险，识别和判定安全风险、做出风控决策和进行决策响应的过程。

缩略语

下列缩略语适用于本文件。

APP：应用程序（application）

移动互联网业务风险防控场景概述

移动互联网业务风险防控场景包括防控营销活动作弊、信贷欺诈、钓鱼网站、虚假流量、垃圾内容等。通过风险防控工作，可以有效帮助业务防范业务安全风险和减少损失。按照移动互联网业务流程，在其风控活动中有众多风险信息输入，包括业务APP内部用户异常活动、外部系统及APP风险状况等，如用户异常登录、APP高危漏洞或APP签名异常等。

在长期持续的业务风险防控过程中，可根据多维业务风控体系指标、丰富的业务风险防控策略、高效的风险防控引擎更加灵活快速地进行风险防控和策略优化部署等。

在业务风险防控过程中，如涉及到用户个人信息处理过程，应满足GB/T35273的要求。风险防控的任何参与方均需采用相应的技术和管理手段以确保业务、数据、用户个人信息和权益等多方面安全，不应以风险防控为理由超范围获取用户数据，或通过不正当手段获取其他参与方数据，或干扰、妨碍其他参与方产品、服务的正常运行。

移动互联网业务风险防控通用需求

由于移动互联网业务的特殊性，其部分业务流程依靠移动智能终端支持，部分业务流程由业务服务提供者自行提供。因此在业务开展过程中，单独依赖移动智能终端或业务服务提供者进行风险防控，存在着数据缺失、风险画像不全等缺陷，使得单方的风险防控机制难以有效遏制业务风险。

为有效结合移动智能终端提供者、业务服务提供方、以及其他可能的安全风险防控支持方的能力，当前移动互联网业务联动的风险防控通用需求主要包括以下方面：

a）黑名单类信息合作，如高度可疑或涉案账号、设备、应用信息等，可通过云侧能力或平台共建等方式实现；

b）风控特征类信息合作，如账