2022智能家居产品信息安全评价方案

I智能家居产品信息安全评价方案（2022版）目录3442规范性弓I用文件. 43术语、定义和缩略语 41术语和定义. 454．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．5555障9611111

能 价. 1122附录A 典型应用场景...............................................22附录B 智能家居产品威胁分析.......................................23附录C (资料性附录）智能家居个人信息分类.......................................24智能家居产品信息安全评价规范本规范规定了智能家居产品的安全评价要求及评价方法。本标准适用于第三方检测机构和认证机构对智能家居产品进行检测、评估和认证，也可以在智能家居产品的设计和实现时参照使用。GB/T25069信息安全技术术语GB/T35134设备描述方法GB/T35273GB/T18336信息技术安全技术信息技术安全评估准则术语、定义和缩略语25069、35134、GB/T35273和GB/T3.1.3.1.1智能家居设备smarthomedevice，、义3.2]控制终端controlterminals， ，实现对智能家居设备3.1.3控制端应用 controlapplication由用户操作，与网络服务连接，能对智能设备进行远程操作应用程序。3.1.4智能家居应用服务平台软件applicationplatformsoftwareofsmarthome4web服务的软件系统。43.1.5

设备添加device设备添加deviceadding将操作员与智能家居设备建立关联关系的行为。操作员可对添加的设备进行远程查询、管理和控制3.1.6设备绑定device设备绑定devicebindingHTTPS HypertextTransfer ProtocolSecureSocketLayerID Identification/IdentityIP Internetprotocol

安全文本传输协议身份标识网络互联的协议智能家居产品包括智能家居设备、控制端应用、智能家居应用服务平台软件。其中，智能家居设备包括智能家居网关设备、控制设备以及智能家居应用设备。5评价要求5评价要求待、测试、脆弱性评定等。1 一个智能家居设备一次只能被一个账户绑定，该绑定账户作为设备的主控制账户，绑定后设备重置前不允许其他账户绑定；55失。5212 智能家居设备发生网络交互时，设备应记录日志，并传输到服务平台。安全要求如下：如智能家居设备与应用服务平台相互验证成功与失败等）；通信会话的终止（包括设备的正常终止和非正常终止）；3)对智能家居设备的关键操作；本地审计记录应有相应的保护措施，防止存储空间超过阀值后审计记录被破坏； 数据保护智能家居设备对存储在设备内的重要数据提供安全防护，要求如下：（)的存储安全；5.5.2.固件安全安全要求如下：关键代码及重要数据（如鉴别数据、密钥等5 智能家居设备通过具备网关能力的设备连接到家庭网络和云端服务平台，针对于这类提供网关能力的特殊设备，即智能家居网关设备，增加如下的安全要求：智能家居网关设备应支持智能家居设备的注册和管理；智能家居网关设备应支持防火墙功能；绑定功能、基千源地址的的恶意网址拦截功能；智能家居网关设备应具备带宽控制功能并采用安全路由协议。65221 身份鉴别6败处理措施；控制端应用应具备登录超时后的锁定或者注销功能；5222 数据保护a) 存储的机密性和完整性。 应用安全解分析和篡改；控制端应用应确保使用的第三方库和开源组件不存在已公布的高危漏洞；处理要求。.4运行安全523 智能家居应用服务平台软件231 标识与鉴别系统应为登录用户提供唯一的身份标识，同时用户标识与该用户的所有可审计事件相关联；鉴别进行时，系统应仅向用户提供非鉴别数据（如圆点、星号等）作为鉴别数据输入的反馈；应提供用户登录超时锁定或注销功能，终止会话后，用户需要重新登录。2 访问控制的属性组（用户角色）实现访问控制。 审计功能的启动和关闭；77通过控制端应用对智能家居设备进行的操作；设备状态的变化；其他系统参数配置和管理安全功能行为的操作。信息；信息；功能， d)应提供根据条件对审计数据进行查询或排序的功能；审计信息应存储在永久性存储介质中，当审计存储空间被耗尽时，系统应采取措施， ： 可审计事件或覆盖所存储的最早的计记录等。.4安全管理应能够对安全角色及其权限进行维护， b)系统应仅允许授权管理员执行下列安全功能数据管理操作：设置鉴别尝试次数；设置审计日志告警门限值；设置会话超时时间；若产品存在多个组件，应为不同组件之间提供时间同步的功能；一性。应采用HTTPS等安全传输协议，保证访问传输安全；系统应提供安全保护措施， 保证重要数据在存储过程中的完整性和保密性，包括但不限于鉴别、、重要审计数据、重要配置数据和个人信息等；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定智能家居设备、应用服务平台、控制端应用其中任意两方在通信时，应保证通信和数据传输的安全性，具体安全要求如下：应采取安全保护措施，保证通信和数据传输的保密性和完整性；应采用适当的安全机制（如序列号）来确保通信双方传输数据没有被重放；重新建立会话或会话超时，应重新进行身份验证。5.5.个人信息保护8智能家居产品应在采取相关措施保护用户个人信息，具体要求如下：8应在用户同意后读取用户通讯录、通话记录、、 日程表数据、确认情况下删除或修改用户通讯录、通话记录、、 日程表数据的行为。e) 3 1 开发5311 开发者应提供产品的安全功能的安全架构描述，安全架构描述应满足以下要求：与产品设计文档中对安全功能实施抽象描述的级别一致；描述与安全功能要求一的；证实智能家居产品安全功能能够防止被破坏； 功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：开发者应提供产品的功能规范文档；功能规范应对智能家居产品的范围及产品的应用环境和使用限制进行描述；功能规范应对智能家居的安全功能及其外部接口进行描述；功能规范应是内在一致的； 产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：应描述每一提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。2 开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保待一致，并且对每一种用户角色进行描述，具体应满足以下要求：9在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息；如何以安全的方式使用智能家居产品提供的可用接口；明确各类操作用户可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值；每一种与需要执行的管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性操作用户指南应标识产品运行的所有可能状态（与维待安全运行之间的因果关系和联系；充分实现安全目的所必须执行的安全策略；533 生命周期支持331 配置管理能力开发者的配置管理应满足以下要求：配置管理计划应描述配置管理系统是如何使用的，并确保实施的配置管理与配置管理计划一致；配置项清单用来描述组成智能家居产品的配置项，并确保所有配置项具备唯一332 配置管理范围配置项列表至少包括智能家居产品、安全保障要求的评估证据和产品的组成部分。5.3.3 交付程序5.3.4 1 覆盖智能家居产品的安全功能间的对应性。53.42 开发者应提供测试文档，测试文档包括测试计划、测试程序描述、预期的测试结果和实际的测试结果。3.43 开发者应提供用于测试的产品；独立第三方检测机构针对开发者提供的产品及配套的资源进行抽样测试。35 106

1 测试评价方法与评价规范要求一一对应，它给出具体的方法来智能家居产品是否满足评价规范要求。评价方法分为检测和评估，其中，检测内容为产品的安全功能要求，评估内容为产品的安全保障要求。62 安全功能评价62.1 智能家居设备1 设备添加与绑定的检测方法和结果判定如下：检测方法：将设备与某个帐户进行绑定操作，检查只有成功绑定之后才能进行网络控制操作；结果判定：设备经用户账户绑定后才可进行网络控制；设备一一个账户绑定；1)-4)为“合”，其他情况为“不符合”。6.1.2 安全审计的检测方法和结果判定如下：检测方法：检查设备是否实现了本地审计功能；检查审计记录是否包括事件的日期和时间、事件的类型（连接验证、会话终止、主客体标识和结果信息；设备本地实现了审计日志的功能；设备能够对各项操作事件进行了完备的记录；设备采用了有效安全机制保护本地存储的审计数据；设备采用了有效安全机制保护审计数据的传输；-4116213 数据保护数据保护的检测方法和结果判定如下：检测方法：检查设备对本地存储的关键数据和音视频数据是否采取了适宜的安全保护措施（如加密）；扫描设备的通信端口，检查是否能获取重要信息；进行自保护。结果判定：设备采用了适宜的安全机制存储关键数据和其他重要数据；设备网络端口没有泄露重要信息；只执行安全的控制指令数值。-3)项均满足为“合”，其他情况为“合”。 固件安全固件安全的检测方法和结果判定如下：检测方法：；升级包、固件升级版本进行完整性校验并验证来源可靠性；-3215 对具有网关功能的设备的补充要求检测方法和结果判定如下：检测方法：拦截；ARP该数据包；包；IP12IP检查设备采用的路由协议是否安全。结果判定：设备提供了智能家居设备注册和管理功能；设备提供了防火墙和白名单限制；设备具备带宽控制功能并采用了安全路由协议。1-32 2.1 身份鉴别身份鉴别的测试评价方法如下：检查控制端应用是否具备口令强度检查机制（）；检查控制端应用是否具备口令时效性检查机制（如主动提示用户定期修改口令等）；用户登录后长时间不进行任何操作；发起频率进行限制。结果判定具备鉴别失败处理措施；具备口令强度检查机制，初始化及修改用户口令时，能够根据策略检查输入口令的长度和登录超时后能进行锁定或者注销；符合”，”。2 数据保护数据存储保护的测试评价方法如下：测试方法：对重要数据完整性进行破坏，查看控制端应用是否对完整性收到破坏的数据进行检测和提刀；13-2)项均满足为“符合”，其他情况为“合”。6.2.2.3 应用安全应用安全的测试评价方法如下：测试方法：检查控制端应用是否具备防逆向反编译功能；检查控制端应用是否输出调试日志；检查控制端应用使用的第三方库和开源组件是否存在已公布的高危漏洞；结果判定控制端应用具备防逆向反编译功能；控制端应用不输出调试日志；控制端应用使用的第三方库和组件不存在已公布的高危漏洞；1)-4)为＂符合”，为“不符合”。6.2.运行安全检查控制端应用是否包含供应者或开发者的签名信息、软件属性信息；临时文件是否完全删除。控制端应用仅安装功能说明文档中说明的功能；包含供应者或开发者的签名信息、软件属性信息；卸载时能够将其按安装和使用过程中生成的数据完全删除。-3623 智能家居应用服务平台软件231 标识与鉴别标识与鉴别的测试评价方法与预期结果如下：测试评价方法： 一 以正确的鉴别信息和错误的鉴别信息， 录，是否仅在输入正确的鉴别信息才能登录平台并执行相关操作；14台，检查是否仅允许授权用户能够查阅和修改鉴别数据；一定次数的登录尝试，验证在达到允许的鉴别失败尝试次数后，平台是否使该用户账号或登录点失效；一结果判定：智能家居应用服务平台不能新建相同用户标识的用用户标识与用户的审计事件进行了关联；平台仅允许输入正确的鉴别信息才能登录平台并执行相关操作；平台提供了鉴别信息复杂度检查功能，仅满足复杂度要求的鉴别信息能够设置成功；在达到一1) 为“符合”， 其他情况为“合”。6.2.3.2 访问控制访问控制的测试评价方法与预期结果如下：a)测试评价方法：查看产品说明文档有关访问控制的相关描述，检查是否支持基于用户角色或权限、IP等安全属性的访问控制；以授权用户身份登录智能家居应用服务平台，验证设置的基于用户角色或权限、IP等安全属性的访问控制功能是否有效。b)结果判定：1)能够设置基于用户角色或权限、IP等安全属性的访问控制策略，并且有效。1)为“合”，其为“不符合”。6.2.3.3 安全审计安全审计的测试评价方法与预期结果如下：a)测试评价方法：以授权用户身份登录智能家居应用服务平台执行安全审计要求a)查看审计记录， 检查平台是否对操作进行了审计记录；述及结果等信息；计记录便千用户理解；以授权用户身份登录平台，以一序结果是否正确；分别以授权用户和非授权用户身份执行删除审计记录的， 户执行删除审计记录的操作，15检查审计记录是否存储在永久存储介质中，不断执行可审计操作将审计数据空间写满，查看平台是否采取相应的措施，如： 忽略可审计事件或覆盖所存储的最早的审计记录等。b)结果判定：智能家居应用服务平台对支持的事件发生产生了审计记录；根据条件对审计数据进行查询或排序的结果正确；1)-6)为“合”，其他情况为“不符合”。3.4 安全管理安全管理的测试评价方法与预期结果如下：a)测试评价方法：查看授权用户所能执行的操作与其角色的授权操作是否一授权操作是否一致； 51安全管理b) 一性。b)结果判定：5134b)中的安全功能数据管理操作；平台能够为不同组件之间提供时间同步；一性。-5)项均满足为“合”，其他情况为“不符合”。6.2.3.5 数据保护数据保护的测试评价方法与预期结果如下：a)测试评价方法： 以授权用户身份登录智能家居应用服务平台，执行修改系统配置、修改安全策略等操作，同时使用抓包工具截取数据进行分析，查看数据是否不为明文；16获取的安全功能数据不为明文；1)项均满足为“合”，其他情况为“不符合” 。24 通信安全通信安全的测试评价方法与预期结果如下：a)测试评价方法：验证产品说明文档中描述的通信和数据传输的保密性和完整性保护措施是否有效；检查各组件之间会话超时，是否需要进行重新身份验证。b)预期结果：智能家居设备、应用服务平台、控制端等组件之间通信双方在建立连接之前，进行了双向身份验证；通信和数据传输的保密性和完整性保护措施有效；通信双方传输数据防重放有关措施有效；-425 个人信息保护的检测方法和结果判定如下：检测方法：若存在收集个人信息的行为，则判断其是否向用户明示收集目的和范围，且征得了用户同意息等。检查智能家居产品是否可以修改存储的个人信息；和范围；采用授权的方式修改个人信息；采用非授权的方式修改个人信息；若个人信息进行共享或转让时，测尝试转移个人信息，查看是否与约定目的和用途相同，17信息；结果判定：产品提供数据采集关闭功能；产品应在用户同意后读取用户本机号码、、、 、信息等；智能家居产品提供给授权用户个人信息删除选项；-93 6.1 1 安全架构描述的检测方法和结果判定如下：检测方法：检查安全构架文档等证据是否准确描述安全构架的要求。结果判定：开发者提供了产品安全功能安全架构的描述；开发者提供的产品安全功能安全架构的描述满足证据的内容和形式的要求。-2)为“符合”，为“合”。6.3.1.2 功能规范功能规范的测试方法和判定结果如下：检查功能规范文档等证据是否准确描述功能规范的要求。判定结果：开发者提供了产品功能规范文档；功能规范文档的内容满足要求。-2)为“符合”，为“不符合”。6.3.1.3 产品设计检测方法和判定结果如下：检测方法：18检查产品设计文档等证据是否准确描述产品设计的要求。判定结果：开发者提供了产品设计文档；设计文档的内容满足要求。1)-2)32 指导性文档检测方法和判定结果如下：检测方法：检查产品管理员指南、用户指南等文档是否准确描述操作用户指南的要求。判定结果：文档的内容满足要求。1)-2)项均满足为“符合”，其他情况为“不符合”。633 331 检测方法和判定结果如下：一性的标识。判定结果：配置文档的内容满足要求。使用了配置管理系统， 且现场检查的配置项在配置管理系统中均作出唯一1)-3)项均满足为“符合”，其