1、ICS 33.050CCS M 30團體標準T/TAF 110-2022智能終端側業務風險防控安全指南Guidelines for business risk prevention and control security on smart terminal side2022-02-23 發布2022-02-23 實施電信終端產業協會發布T/TAF 110-2022目次前言II1 范圍12 規范性引用文件13 術語和定義14 縮略語15 業務風險防控安全框架16 業務風險防控模型輸入和策略26.1 概述26.2 系統風控模型輸入26.3 應用風控模型輸入26.4 身份風控模型輸入36.5 業務

2、風險防控策略37 業務風險定級37.1 業務風險定級原則和方法37.2 通用風險評估方法示例38 業務風險防控安全要求3附錄 A（資料性）業務風險防控接口4II前言本文件按照 GB/T 1.1-2020標準化工作導則第1部分：標準化文件的結構和起草規則的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由電信終端產業協會提出并歸口。本標準起草單位：螞蟻科技集團股份有限公司、中國信息通信研究院、華為技術有限公司、小米通訊技術有限公司、榮耀終端有限公司、OPPO廣東移動通信有限公司、維沃移動通信有限公司、阿里巴巴（中國）有限公司、北京快手科技有限公司、百度在

3、線網絡技術（北京）有限公司、北京奇虎科技有限公司、北京字節跳動科技有限公司、聯想（北京）有限公司、國民認證科技（北京）有限公司。本文件主要起草人：朱丙營、文軍、林冠辰、寧華、杜云、王艷紅、劉陶、辛知、萬小飛、彭晉、王思善、潘雙全、王樂、王寶林、任冠一、趙曉娜、羅廣文、李根、楊明慧、趙盈潔、黃天寧、落紅衛、吳月升、唐家偉、郭建領、張屹、姚一楠、王宇曉、李汝鑫、林巍巍、李俊。T/TAF 110-2022智能終端側業務風險防控安全指南1 范圍本文件提出智能終端側的業務風險防控安全框架、模型輸入和策略、業務風險定級及安全指南。本文件適用于智能終端側的業務風險防控安全能力的設計、集成、應用、檢測等活動。

4、2 規范性引用文件本文件無規范性引用文件。3 術語和定義下列術語和定義適用于本文件。3.1 3.1智能終端smart terminal具備蜂窩網和互聯網（網絡）接入功能，可對人或物進行信息采集和處理，支撐業務應用的終端設備。4 縮略語下列縮略語適用于本文件。API：應用程序接口（Application Interface） APP: 應用程序（Application）ROM：只讀存儲器（Read Only Memory）TEE：可信執行環境（Trusted Execution Environment）IMEI：國際移動設備識別碼（International Mobile Equipment I

5、dentity） IMSI：國際移動用戶識別碼（International Mobile Subscriber Identity） MAC：媒體訪問控制（Media Access Control）SIM：客戶識別模塊（Subscriber Identity Module）5 業務風險防控安全框架圖1給出智能終端側業務風險防控通用架構，包括業務風險防控能力組件、風控能力接口以及風控策略組件三個部分。風控組件基于安全環境（如TEE等）實現，包括系統風控、應用風控、身份風控模型組件以及風控策略組件，一般集成到智能終端操作系統中或者作為可信的系統服務供智能終端業務應用APP調用。智能終端平臺負責給業務

6、風控模型提供輸入，風控策略組件根據智輸入判斷得出當前的風險狀況，業務應用APP調用風控接口獲得風控判斷結果并進行相應處理，從而保障業務安全開展或運行。通過智能終端側的業務風險防控機制，可實現用戶個人、設備相關數據在操作系統層面進行處理，數據不出智能終端即可實現業務風險防控。5圖1智能終端側業務風險防控安全框架注：圖中實線框部分為本標準的范圍。6 業務風險防控模型輸入和策略6.1 概述本章給出了業務風險防控模型考慮的輸入和策略。從設備系統角度的輸入考慮、安裝應用的角度以及用戶進行業務三個角度進行劃分，分為系統風控模型輸入、應用風控模型輸入和身份風控模型。本章的模型輸入作為模型設計時的參考，基礎需

7、求一般需要滿足，其它輸入依據實際業務需求可能會不一樣。6.2 系統風控模型輸入系統風控模型提供識別系統是否處于風險狀態的能力，系統風控模型的輸入包括但不限于如下：a) 是否真實物理智能終端，防止模擬器、云手機等手段（基礎需求）；b) 設備是否被 UNLOCK 及 ROOT（基礎需求）；c) 設備 ROM 是否官方原生，設備是否被刷機（基礎需求）；d) 設備參數是否被篡改，包括 IMEI、MAC、IMSI 篡改（硬件層面的修改）；e) 系統進程是否被篡改，包括但不限于 system server，com.android.phone 等；f) 是否被遠程控制（針對支付等高安全需求）；g) 是否對當

8、前屏幕錄制（針對支付等高安全需求）；h) 是否共享當前屏幕（針對支付等高安全需求）；i) 提供持久化終端存儲及針對該存儲的增、刪、改、查能力，用于標識設備風險。注：基礎需求為模型正常運行需具備的需求，下同。6.3 應用風控模型輸入應用風控模型主要提供識別應用是否處于風險狀態的能力，該模型通過可靠的安全機制或者能力識別應用，應用風控模型的輸入包括但不限于如下：a) 應用的數字證書是否合法（基礎需求）；b) 應用執行流程在運行時是否被篡改；c) 是否安裝惡意應用及惡意應用是否活動；d) 當前應用是否被同時開啟多個；e) 應用是否在當前設備首次安裝。6.4 身份風控模型輸入身份風控模型提供識別身份是

9、否處于風險狀態的能力，該能力通過可靠的安全機制識別用戶真實身份，如識別正常用戶，初級黑灰產，高級黑灰產，黑客等，身份風控模型的輸入包括但不限于如下：a) 按鍵行為是否真實（基礎需求）；b) 最近特定天數重置/刷機的次數，用于識別黑灰產常用的設備歸零操作（基礎需求）；c) 設備的調試狀態（基礎需求）；d) 是否是網絡代理；e) 是否安裝 SIM 卡；f) 是否是本人或者真實人操作；g) 是否無位移，位置固定或懸空狀態。6.5 業務風險防控策略風控策略動態調整不同維度風控能力項的權重，輸入不同的風控模型構建相應的安全能力。風控策略一般預置在安全環境中，根據業務需求快速匹配并構建相應的安全能力。根據

10、業務需要，可動態下發、更新風控策略。7 業務風險定級7.1 業務風險定級原則和方法智能終端側的業務風險可分為高級、中級、低級、無風險四個等級。智能終端側的業務風險定級原則包括：a) 就高不就低；b) 風險累積則級別提升。智能終端側的業務風險定級可以從系統風控、應用風控以及身份風控三個維度判斷，只要有一個維度風險為高級（或中級）風險，則智能終端側的業務風險定為高級（中級）。如果多個低級（或中級） 風險出現，則風險定級可以分別上升為中級（或高級）。7.2 通用風險評估方法示例6.1、6.2、6.3中的各單項風險分值為10分，總風險分值為各單項分值之和。總風險分值反饋給業務應用，供業務應用決策參考；

11、或者通過分級原則確定風險等級，反饋給業務應用。8 業務風險防控安全要求系統風控模型、應用風控模型、身份風控模型以及風控策略應部署在安全環境中，防止模型、策略以及相關數據被篡改，風控策略文件應儲存在安全環境中。應建立安全通道并進行加密和加簽，以保障模型的下發、風控策略的更新以及風險等級數據傳輸的安全，保障數據的保密性和可靠性。附錄A（資料性） 業務風險防控接口A.1 接口描述業務風險防控接口描述如下所示：/* java Risk Monitor 統一接口定義* param1: app_name 標識app調用者名稱，用于輔助風控模塊進行訪問控制* param2: command ID 執行命令，

12、用于功能*param3: in_param 輸入數據，部分命令需要輔助參數，也可為空*return ： 返回命令執行結果，統一為byte數組類型，*/byte riskMonitorInvoke (String app_name, int commandID, byte in_param) throws RiskMonitorException;A.2 commandID 定義commandID 定義如下所示： enum GET_VERSION,/*獲取RiskMonitor相關模塊版本信息，包括系統模塊、安全應用、風控策略配置版本信息 */GET_RISK_SCORE, /* 獲取風險評估分

13、數，可以通過in_param 指定風險域*/ GET_RISK_MAX_VALUE,/* 獲 取 各 風 險 域 下 風 險 值 的 最 大 值 */ SPECIFIED_RISK_OPT,/*APP定制策略命令執行，根據in_param 指定定制參數 */ UPDATE_RISK_CONFIG, /*更新風控策略配置，包括系統通用策略和APP定制策略*/ RESERVED /* 預留，暫不實現 */A.3 風險域定義風險域定義如下所示： enumSYSTEM, /* 系 統 風 險 */ APPLICATION,/* 應 用 風 險 */ IDENTITY，/* 身 份 風 險 */ SPECIFIED, /* APP自定義風險策略 */ RESER