TAF-WG4-AS0017-V1.0.0-2018 移动智能终端漏洞威胁评价方法.docx

电信终端产业协会标准

TAF-WG4-AS0017-V1.0.0:2018

移动智能终端漏洞威胁评价方法

EvaluationMethodsforSmartMobileTerminalVulnerability

2018-03-01发布

2018-03-01实施

电信终端产业协会发布

TAF-WG4-AS0017-V1.0.0:2018

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语、定义和缩略语 1

3.1术语和定义 1

3.1.1移动智能终端SmartMobileTerminal 1

3.2缩略语 1

4评价内容和框架 1

5漏洞紧急指数 1

5.1评价要素 2

5.2要素赋值 2

5.2.1静态修正分 2

5.2.2动态修正分 2

5.3漏洞紧急指数计算原理 2

6漏洞威胁等级 3

7产品安全指数 3

7.1评价要素 3

7.2要素赋值 3

7.3产品安全指数计算原理 3

8产品安全等级 4

附录A（资料性附录）漏洞威胁评价示例 5

附录B（资料性附录）产品安全评价示例 6

参考文献 7

TAF-WG4-AS0017-V1.0.0:2018

II

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由电信终端产业协会提出并归口。

本标准起草单位：中国信息通信研究院、武汉安天信息技术有限责任公司。本标准主要起草人：姚一楠，翟世俊，陈传文，陈家林，倪昀泽。

TAF-WG4-AS0017-V1.0.0:2018

III

引言

随着移动智能终端的普及，用户在享受多种多样的便利功能的同时也面临着越来越多的安全风险。终端系统代码量的增加，引入的漏洞数量和攻击面也随之增加。终端漏洞的威胁程度会随着时间的推移，随着攻击利用慢慢变多而产生变化，而漏洞数量也影响着终端本身的安全性。因此为了更好的评价漏洞的严重程度，以及终端产品的安全性，有必要提出量化计算方法，从而规范产品安全性指标。

本标准从漏洞威胁出发，引入漏洞利用，引用数量等概念评价漏洞威胁等级，并进而通过结合终端漏洞数量，定义产品安全指数，从而得到对移动智能终端安全性的整体评价。

TAF-WG4-AS0017-V1.0.0:2018

1

移动智能终端漏洞威胁评价方法

1范围

本标准规定了移动智能终端漏洞威胁指数，漏洞威胁等级，产品安全指数，产品安全等级四部分评价方法。

本标准适用于各种移动智能终端相关漏洞，各种制式的移动智能终端产品。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

3术语、定义和缩略语

3.1术语和定义

3.1.1移动智能终端SmartMobileTerminal

能够接入移动通信网，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行应用软件的移动终端。

3.2缩略语

下列缩略语适用于本文件

CVE

CommonVulnerabilitiesandExposures

公共漏洞和暴露

CVSS

CommonVulnerabilityScoringSystem

通用漏洞评分系统

4评价内容和框架

本标准所针对的目标产品为搭载移动智能操作系统的移动智能终端产品，漏洞评价所针对具有CVE编号的漏洞，其中各评价内容关系如图1所示：

图1漏洞评价内容及关系

图1中方框部分的内容为移动智能终端漏洞威胁评价内容，整个评价过程为递进关系，后一项评价内容需要依靠前一项作为影响因素之一。漏洞威胁等级要综合漏洞威胁指数进行评价，产品安全指数要根据移动智能终端单个漏洞威胁等级进行评价，产品安全等级要根据产品安全指数进行划分。

TAF-WG4-AS0017-V1.0.0:2018

2

5漏洞紧急指数

5.1评价要素

漏洞紧急指数定义漏洞对手机造成的危险程度，也反映了漏洞修复的优先级。漏洞威胁的持续性表现在漏洞在从被披露到被利用攻击或被修复的过程中，虽未对手机终端造成实际影响，但存在造成实际影响的机会风险。其机会风险不单纯由漏洞本身的危险性决定，漏洞利用的演进状况也是一个非常重要的因素。所以漏洞紧急指数包含如下要素：

a)基础分：基础分使用