移动智能终端漏洞威胁评价方法-电信终端产业协会.pdfVIP

电信终端产业协会标准 TAF-WG4-AS0003-V1.0.0 :2018 移动智能终端漏洞威胁评价方法 Evaluation Methods for Smart Mobile Terminal Vulnerability 2018- 03- 01 发布 2018- 03- 01 实施 电信终端产业协会 发 布 TAF-WG4-AS0003-V1.0.0 :2018 目 次 前言 II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.1.1 移动智能终端 Smart Mobile Terminal 1 3.2 缩略语 1 4 评价内容和框架 1 5 漏洞紧急指数 1 5.1 评价要素 2 5.2 要素赋值 2 5.2.1 静态修正分 2 5.2.2 动态修正分 2 5.3 漏洞紧急指数计算原理 2 6 漏洞威胁等级 3 7 产品安全指数 3 7.1 评价要素 3 7.2 要素赋值 3 7.3 产品安全指数计算原理 3 8 产品安全等级 4 附录A （资料性附录） 漏洞威胁评价示例 5 附录B （资料性附录） 产品安全评价示例 6 参考文献 7 I TAF-WG4-AS0003-V1.0.0 :2018 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准由电信终端产业协会提出并归口。 本标准起草单位：中国信息通信研究院、武汉安天信息技术有限责任公司。 本标准主要起草人：姚一楠，翟世俊，陈传文，陈家林，倪昀泽。 II TAF-WG4-AS0003-V1.0.0 :2018 引 言 随着移动智能终端的普及，用户在享受多种多样的便利功能的同时也面临着越来越多的安全风险。 终端系统代码量的增加，引入的漏洞数量和攻击面也随之增加。终端漏洞的威胁程度会随着时间的推移， 随着攻击利用慢慢变多而产生变化，而漏洞数量也影响着终端本身的安全性。因此为了更好的评价漏洞 的严重程度，以及终端产品的安全性，有必要提出量化计算方法，从而规范产品安全性指标。 本标准从漏洞威胁出发，引入漏洞利用，引用数量等概念评价漏洞威胁等级，并进而通过结合终端 漏洞数量，定义产品安全指数，从而得到对移动智能终端安全性的整体评价。 III TAF-WG4-AS0003-V1.0.0:2018 移动智能终端漏洞威胁评价方法 1 范围 本标准规定了移动智能终端漏洞威胁指数，漏洞威胁等级，产品安全指数，产品安全等级四部分评 价方法。 本标准适用于各种移动智能终端相关漏洞