[TH2020-005]THSRC威胁情报处理和评分标准V1.1

一、平台介绍

途虎养车安全应急响应中心（以下简称：THSRC）是用于接收途虎养车相关产品或服务中存在的威胁情报。本则标准描述了THSRC处理情报时的具体流程和做法，同时定义了对于不同类型情报的奖励标准。

二、适用范围

途虎养车所有产品和业务，包括但不限于：

*.tuhu.cn、*.tuhu.org、*.qipeilong.cn、APP、小程序等。

核心业务：途虎养车PC官网/APP/小程序、途虎养车商户PC站点/APP/小程序、以及其他汽车保养、轮胎洗美、道路救援等途虎养车主营业务等。

一般业务：途虎论坛(仅接收高危及以上漏洞)、新的壹/二手车业务、汽配龙业务、公司内部办公系统、途虎收购的业务及系统、以及有业务合作的第三方业务等。

如有其他与途虎相关的情报，无法简单判断是否属于途虎的，也可以提交过来由我们研判。

三、情报评分标准

1安全币=1RMB

我们将情报的危害程度等级划分为：严重、高危、中危、低危四个等级，每个等级的奖励与漏洞评分标准保持一致：

【严重】

1、对核心业务造成重大影响的业务情报。如大规模盗号、大规模作弊牟利事件且提供核心关注点。

2、对核心业务系统等的入侵情报。如内网漫游、核心系统被入侵、核心数据库被贩卖且提供核心关注点。

3、大规模泄露并验证真实有效的敏感数据情报。如用户信息、商户信息、订单信息、车辆维保信息等且提供核心关注点。

4、对途虎造成重大资金损失的。如严重的支付逻辑漏洞被利用且提供核心关注点。

【高危】

1、非核心系统的完整入侵线索且提供核心关注点。

2、内部机密泄露情报。如尚未公开的重要活动计划或方案等且提供核心关注点。

3、其余对核心业务造成较大影响，或对途虎造成较大资金损失的且提供核心关注点。

【中危】

1、一般风险的业务安全问题。如营销活动作弊，业务规则绕过等。

2、新型可利用的黑/灰产平台、工具。如各类已产生实际数据的扫号工具、分控对抗攻击、引流脚本等。

3、其余对核心业务造成一定影响，或对途虎造成轻微资金损失的威胁情报。

【低危】

1、低风险的业务安全问题。如批量注册账户等。

2、对业务造成轻微影响的威胁情报。如伪冒的钓鱼网站（已产生实际钓鱼效果）、有一定影响的作弊手法等。

【无影响】

指错误、无意义或根据现有信息无法调查利用的威胁情报。包含但不限于上报虚假情报、上报黑/灰产QQ群号，且未提供其他有效信息的、上报已发现或失效情报的、上报单个普通钓鱼站点地址，无其他有效信息的。爬虫、自动化签到等小程序不计入威胁情报。社会上涉及我司的新闻社交媒体的言论，亦不属于威胁情报。

四、情报评分原则

1、同一情报最早提交者得分；无有效信息的威胁情报不计分；无法证实或伪造的威胁情报不计分；THSRC已掌握的威胁情报不计分。

2、由于情报的完整性对情报的价值有着重要的影响，因此我们上报情报的价值会进行情报完整性考量。情报完整性系数的评价将综合考虑情报的多个方面，如情报涉及的人员、利用点、利用方式等。情报完整性系数的评价方式可参考5W2H模式。

核心关注点（3W1H）：

谁(Who)在什么位置(Where)利用什么方式（How）做什么事(What)：

Who：情报涉及到的威胁人员，如可定位到入侵者个体或组织的情报；

Where：情报所涉及的利用点，如订单信息泄露页面或接口；

How：情报所涉及的问题是如何被利用的，包括相应的流程、技术手段、工具等。

What：情报所涉及的主要问题，如黑产、入侵等；

辅助关注点（2W1H）：

When：情报所需要用到的重要时间点，如入侵开始、结束的时间点等；

Why：情报背后的深层原因，如APT的背后组织者、进行攻击的根本原因；

How much：情报所涉及问题已造成的危害程度，如黑产组织已造成的损失等。

3、情报的高时效性是决定情报是否能发挥最大作用的因素之一。对于失效情报不计分，对于及时上报的情报及时止损的可以适当提高情报等级。

4、其余情报评分原则如与前述漏洞评分原则有关联，可以参考漏洞评分原则。

五、情报争议解决办法

在情报处理过程中，如果报告者对处理流程、情报评定、情报评分等具有异议的，请联系THSRC官方邮箱，infosec@tuhu.cn，或联系运营小姐姐微信，会有对应的审核人员给您答疑。THSRC将根据情报报告者利益优先的原则进行处理，必要时可引入外部人士共同裁定。最终解释权归途虎养车安全应急响应中心所有。

请通过正常渠道与工作人员交流反馈问题，对于一些没有证据或使用非正当手段进行诬陷、诽谤等行为，工作人员将适用法律手段维护权益。