YD_T 3666-2020 移动通信智能终端漏洞修复技术要求.docx

ICS 33.060 M36 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3666—2020 移动通信智能终端漏洞修复技术要求 Technical requirements for fixing vulnerability of smart mobile terminal 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3666—2020 目 次 前言 Ⅱ 引言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 移动通信智能终端漏洞修复特征 2 4.1 补丁或更新可认证 2 4.2 漏洞修复需及时和独立 2 4.3 漏洞修复需正确 2 5 移动通信智能终端漏洞修复目标与任务 2 5.1 目 标 2 5.2 任 务 2 6 移动通信智能终端漏洞修复原则 7 移动通信智能终端漏洞修复要求 3 7.1 框架要求 3 7.2 技术要求 4 8 移动通信智能终端漏洞修复过程 4 8.1 漏洞信息收集 4 8.2 漏洞验证 4 8.3 提出解决方案 4 8.4 验证解决方案 4 8.5 提供补丁或更新 5 8.6 验证补丁或更新 5 8.7 分发给用户 5 Ⅱ YD/T 3666—2020 前 言 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国科学院大学、华为技术有限公司、西安电子科技大学、北京交通大学、北京 邮电大学和国家计算机网络应急技术处理协调中心。 本标准的主要起草人：张玉清、刘奇旭、吴昊、王文杰、刘海涛、沈玉龙、裴庆祺、王枞、舒敏、 王鹤、李学俊。 Ⅲ YD/T 3666—2020 引 言 移动通信技术、互联网技术以及硬件技术的飞速发展，大大促进了移动通信智能终端的发展。移动 通信智能终端的功能正日益强大，给人们的日常工作和生活带来了极大的便利。然而，新的技术与新的 平台必定会引入新的安全漏洞，因此及时正确地修复移动通信智能终端上的安全漏洞需要规范化的 操作。 YD/T 3666—2020 移动通信智能终端漏洞修复技术要求 1 范围 本标准规范了移动通信智能终端漏洞修复的目标、修复原则、修复要求和修复过程。 本标准适用于通用领域内的移动通信智能终端。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 GB/T 28458—2012 信息安全技术安全漏洞标识与描述规范 GB/T 30276—2013 信息安全技术信息安全漏洞管理规范 YD/T 2407—2013 移动智能终端安全能力技术要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 移动通信智能终端 smart mobile terminal 能接入移动通信网，具有提供应用程序开发接口的开放操作系统，并能安装和运行第三方应用软件 的移动终端。 [YD/T 2407—2013, 定义3.1.1] 3.2 安全漏洞 vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以 不同形式存在于计算机信息系统的各个层次和环节之中， 一旦被恶意主体所利用，就会对计算机信息系 统的安全造成损坏，从而影响计算机信息系统的正常运行。 [GB/T 28458—2012, 定义3.2] 3.3 修复措施 remediation 2 YD/T 3666—2020 用以修复漏洞的补丁、升级版本、配置策略等。 [GB/T 30276—2013, 定义3.4] 3.4 用户 user 使用移动通信智能终端资源的对象，包括人或第三方应用程序。 [YD/T 2407—2013, 定义3.1.3] 3.5 厂商 manufacturer 开发信息系统的组织。 [GB/T 30276—2013, 定义3.8] 4 移动通信智能终端漏洞修复特征 4.1 补丁或更新可认证 移动通信智能终端的应用软件可以通过多种渠道获得，因此通过不同的渠道，软件的版本以及存在 的漏洞就可能不同。通过认证厂商发布的补丁或更新，用户就可以有针对性地进行漏洞修复。 4.2 漏洞修复需及时和独立 移动通信智能终端一般是用户随身携带，因此终端上存储的信息多为用户非常隐私的内容，如果出 现漏洞，必须及时修复，防止用户隐私