YD_T 3667-2020 移动通信智能终端漏洞标识格式要求.docx

ICS 33.060 M36 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3667—2020 移动通信智能终端漏洞标识格式要求 Vulnerability identification specification for smart mobile terminal 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3667—2020 目 次 前言 Ⅱ 引言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 漏洞标识与描述 2 4.1 原则 2 4.2 描述项 2 附录A(资料性附录)漏洞标识格式范例 5 Ⅱ YD/T 3667—2020 前 言 本标准按照 GB/T 1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国科学院大学、华为技术有限公司、西安电子科技大学、北京交通大学、北京 邮电大学和国家计算机网络应急技术处理协调中心。 本标准主要起草人：张玉清、刘奇旭、王文杰、王枞、吴昊、刘海涛、沈玉龙、裴庆祺、舒敏、王 鹤、李学俊。 Ⅲ YD/T 3667—2020 引 言 移动通信智能终端的发展引入了大批新型的软件漏洞，通话、 GPS 和 LBS 等服务所引入的隐私问 题和NFC 等新的支付和通信协议所引入的金融问题成为新的漏洞类型，传统的漏洞标识规范难以清楚 描述这些漏洞的特性。同时， Android移动操作系统的碎片化使得漏洞影响的系统描述趋于复杂，同一 版本的系统在不同的厂商定制下也会出现不同的漏洞。应用软件对第三方类库的高度依赖，更是导致移 动智能终端大量出现同源、同族漏洞的现象。 因此，有必要针对日益增多的移动通信智能终端漏洞给出统一详尽的漏洞标识格式规范，以满足国 内外在移动通信智能终端领域的安全研究人员的统一引用需求，并为进一步的漏洞验证和漏洞修复提供 支持。 YD/T 3667—2020 移动通信智能终端漏洞标识格式要求 1 范围 本标准规定了移动通信智能终端漏洞的标识与描述规范。 本标准适用于移动通信智能终端安全管理部门进行移动通信智能终端漏洞信息发布和漏洞库建设。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 GB/T 7408—2005 数据元和交换格式信息交换日期和时间表示法 GB/T 7713—1987 科学技术报告、学位论文和学术论文的编写格式 GB/T 15835—2011 出版物上数字用法 GB/T 25069—2010 信息安全技术术语 GB/T 28458—2012 信息安全技术安全漏洞标识与描述规范 YD/T 2407—2013 移动智能终端安全能力技术要求 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069—2010、GB/T 28458—2012和YD/T 2407—2013界定的下列术语和定义适用于本标准。 为了便于使用，以下重复列出了GB/T 25069—2010、GB/T 28458—2012和 YD/T 2407—2013 中的一些 术语和定义。 3.1.1 计算机信息系统 computer information system 由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进 行采集、加工、存储、传输、检索等处理的人机系统。 [GB/T 25069—2010, 定义2.1.14] 3.1.2 安全漏洞 vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以 2 YD/T 3667—2020 不同形式存在于计算机信息系统的各个层次和环节之中， 一旦被恶意主体所利用，就会对计算机信息系 统的安全造成损害，从而影响计算机信息系统的正常运行。 [GB/T 28458—2012, 定义3.2] 3.1.3 移动通信智能终端 smart mobile terminal 能接入移动通信网，具有能提供应用程序开发接口的开放操作系统，并能安装和运行第三方应用软 件的移动终端。 [YD/T 2407—2013,定义3.1.1] 3.1.4 移动通信智能终端操作系统 operator system of smart mobile terminal 移动通信智能终端最基本的系统软件，它控制和管理移动通信智能终端各种硬件和软件资源，并提 供应用程序开发的接口。