《智能家居產(chǎn)品信息安全評(píng)價(jià)規(guī)范》(2018RB001)-編制說(shuō)明
-
資源ID:719362
資源大?。?span id="r5x1hzm" class="font-tahoma">40.51KB
全文頁(yè)數(shù):8頁(yè)
- 資源格式: DOCX
下載積分:3積分
快捷下載
會(huì)員登錄下載
微信登錄下載
微信掃一掃登錄
友情提示
2、PDF文件下載后,可能會(huì)被瀏覽器默認(rèn)打開(kāi),此種情況可以點(diǎn)擊瀏覽器菜單,保存網(wǎng)頁(yè)到桌面,就可以正常下載了。
3、本站不支持迅雷下載,請(qǐng)使用電腦自帶的IE瀏覽器,或者360瀏覽器、谷歌瀏覽器下載即可。
4、本站資源下載后的文檔和圖紙-無(wú)水印,預(yù)覽文檔經(jīng)過(guò)壓縮,下載后原文更清晰。
5、試題試卷類文檔,如果標(biāo)題沒(méi)有明確說(shuō)明有答案則都視為沒(méi)有答案,請(qǐng)知曉。
|
《智能家居產(chǎn)品信息安全評(píng)價(jià)規(guī)范》(2018RB001)-編制說(shuō)明
附件5:認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)草案編制說(shuō)明(參考格式)1、基本信息1.1 標(biāo)準(zhǔn)草案名稱中文智能家居產(chǎn)品信息安全評(píng)價(jià)規(guī)范英文Security evaluation specification for smart home products1.2 與國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)一致性程度情況等同采用修改采用非等效采用未采用標(biāo)準(zhǔn)編號(hào)英文名稱中文名稱1.3 任務(wù)來(lái)源批準(zhǔn)立項(xiàng)的文件名稱和文件號(hào)計(jì)劃編號(hào)2018RB0011.4制(修)訂制定 修訂(被修訂標(biāo)準(zhǔn)名稱及編號(hào): )1.5 起止時(shí)間2018年 7 月- 2020 年12月1.6 標(biāo)準(zhǔn)起草單位中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、中國(guó)科學(xué)院信息工程研究所、海爾優(yōu)家智能科技(北京)有限公司、中國(guó)信息通信研究院1.7 起草團(tuán)隊(duì)申永波、布寧、董晶晶、胡銘銘、茹昭、劉陶、王雅哲、祖巖巖、霍珊珊、吳迪、劉思蓉、辛建峰、蘭丹妮、崔穎1.8 標(biāo)準(zhǔn)體系表內(nèi)編號(hào)2018RB0011.9調(diào)整情況無(wú)2、背景情況2.1 目的、意義(工作開(kāi)展背景及要求)1、研究意義智能家居是物聯(lián)網(wǎng)技術(shù)重要的應(yīng)用領(lǐng)域之一。隨著智能家居逐步朝著網(wǎng)絡(luò)化、信息化、智能化方向發(fā)展,各種智能設(shè)備,如智能恒溫器、智能攝像頭、智能電視、智能冰箱、智能門鎖等產(chǎn)品都已經(jīng)廣泛應(yīng)用于我們?nèi)粘I町?dāng)中。這些產(chǎn)品在設(shè)計(jì)時(shí),往往過(guò)度關(guān)注其“智能”特性,而忽略了其安全性,因此在給我們生活品質(zhì)帶來(lái)提升的同時(shí),也使我們面臨了更為嚴(yán)峻的信息安全風(fēng)險(xiǎn)。近年來(lái),關(guān)于智能家居產(chǎn)品導(dǎo)致的安全問(wèn)題和損失與日俱增,智能家居產(chǎn)品的信息安全備受關(guān)注。因此,開(kāi)展智能家居產(chǎn)品安全檢測(cè)認(rèn)證評(píng)價(jià)研究就顯得尤為迫切,包括面臨的風(fēng)險(xiǎn)分析,關(guān)鍵的安全檢測(cè)和認(rèn)證技術(shù)研究、相關(guān)落地的安全評(píng)價(jià)規(guī)范制定等,不僅能為企業(yè)提高產(chǎn)品安全性提供指導(dǎo),帶動(dòng)家電企業(yè)引起對(duì)信息安全的重視,為用戶選擇安全的智能家居產(chǎn)品提供支撐,對(duì)于保障智能家居相關(guān)系統(tǒng)安全運(yùn)行和數(shù)據(jù)安全具有重要的意義。2、已有工作基礎(chǔ)中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心于2011年8月開(kāi)始對(duì)IT產(chǎn)品實(shí)施信息安全認(rèn)證。依據(jù)GB/T 18336-2015(等同轉(zhuǎn)化ISO/IEC 15408:2008,對(duì)應(yīng)CC V3.1)和相關(guān)安全技術(shù)要求,對(duì)IT產(chǎn)品的安全性進(jìn)行評(píng)價(jià),旨在保護(hù)用戶信息安全,維護(hù)用戶利益。生產(chǎn)企業(yè)的IT產(chǎn)品獲得信息安全認(rèn)證證書(shū),表明該產(chǎn)品符合相應(yīng)的標(biāo)準(zhǔn)和技術(shù)要求。目前國(guó)內(nèi)尚無(wú)智能家居產(chǎn)品安全技術(shù)相關(guān)標(biāo)準(zhǔn),國(guó)內(nèi)智能家居行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。考慮到產(chǎn)業(yè)和用戶應(yīng)用對(duì)產(chǎn)品信息安全性的迫切需求,基于我國(guó)檢測(cè)認(rèn)證機(jī)構(gòu)的信息安全評(píng)價(jià)實(shí)踐經(jīng)驗(yàn),中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證技術(shù)與認(rèn)證中心面向智能家居產(chǎn)品組織檢測(cè)機(jī)構(gòu)和廠商制定了安全技術(shù)要求。并開(kāi)展了相應(yīng)的產(chǎn)品檢測(cè)認(rèn)證工作,且初見(jiàn)成效。3、項(xiàng)目必要性分析目前國(guó)內(nèi)智能家居產(chǎn)品的實(shí)現(xiàn)水平不一,安全性參差不齊,與國(guó)外水平也存在很大的差距,在未來(lái)的應(yīng)用中必將存在很大的安全隱患,如用戶信息泄漏、數(shù)據(jù)傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調(diào)試接口等。另一方面,目前針對(duì)智能家居的信息安全標(biāo)準(zhǔn)一直處于缺失狀態(tài),嚴(yán)重制約了行業(yè)健康發(fā)展,也給消費(fèi)者在面對(duì)信息安全問(wèn)題時(shí)帶來(lái)了很大的困擾。因此,開(kāi)展智能家居網(wǎng)絡(luò)安全檢測(cè)認(rèn)證關(guān)鍵技術(shù)研究,盡快地建立一套智能家居產(chǎn)品的安全技術(shù)評(píng)價(jià)標(biāo)準(zhǔn),規(guī)范智能家居產(chǎn)品功能及安全性的實(shí)現(xiàn),為智能家居產(chǎn)品在未來(lái)的應(yīng)用中能夠提供更安全的服務(wù)奠定更堅(jiān)實(shí)的基礎(chǔ)。2.2 與國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)、文獻(xiàn)的關(guān)系目前國(guó)內(nèi)尚無(wú)智能家居產(chǎn)品安全技術(shù)相關(guān)標(biāo)準(zhǔn),國(guó)內(nèi)智能家居行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。出臺(tái)智能家居產(chǎn)品的安全技術(shù)評(píng)價(jià)標(biāo)準(zhǔn),對(duì)于行業(yè)的發(fā)展具備至關(guān)重要的作用。智能家居產(chǎn)品安全評(píng)價(jià)規(guī)范制定項(xiàng)目將以GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則標(biāo)準(zhǔn)框架為基礎(chǔ),以提高和規(guī)范智能家居產(chǎn)品安全技術(shù)為目標(biāo),充分考慮主要智能家居產(chǎn)品的特點(diǎn)和安全機(jī)制,提出安全技術(shù)的評(píng)價(jià)規(guī)范,為國(guó)內(nèi)相關(guān)產(chǎn)品的研制、生產(chǎn)、測(cè)試和評(píng)估提供指導(dǎo)作用。GB/T 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則等同采用ISO/IEC 15408國(guó)際標(biāo)準(zhǔn),對(duì)應(yīng)CC標(biāo)準(zhǔn)(Common Criteria for Information Technology Security Evaluation:信息技術(shù)安全性通用評(píng)估準(zhǔn)則)。1、國(guó)外CC標(biāo)準(zhǔn)發(fā)展情況國(guó)外,CC(Common Criteria)組織一直致力于信息安全通用評(píng)估準(zhǔn)則(Common Criteria for Information Technology Security Evaluation,簡(jiǎn)稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則V1.0版,1998年發(fā)布CC V2.0版,1999年升級(jí)為CC V2.1版,同年被國(guó)際標(biāo)準(zhǔn)組織ISO吸納為國(guó)際標(biāo)準(zhǔn),編號(hào)ISO/IEC 15408:1999。隨著各國(guó)在使用該標(biāo)準(zhǔn)過(guò)程中經(jīng)驗(yàn)的積累和反饋,CC組織不斷對(duì)該標(biāo)準(zhǔn)進(jìn)行相關(guān)修訂工作,2005年發(fā)布了CC V2.3版,該版本被ISO組織吸納升級(jí)為國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版,這次修訂對(duì)上一版本進(jìn)行了較大調(diào)整,經(jīng)過(guò)多次反復(fù)的意見(jiàn)征集和討論,最終在2009年7月發(fā)布最終修訂版(V3.1 Revision 3 Final)。2009年12月,國(guó)際標(biāo)準(zhǔn)組織ISO通過(guò)吸收CC V3.1的內(nèi)容,陸續(xù)將該標(biāo)準(zhǔn)的3部分完成發(fā)布(ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008),作廢了ISO/IEC 15408:2005標(biāo)準(zhǔn)。2、國(guó)內(nèi)GB/T 18336標(biāo)準(zhǔn)情況國(guó)內(nèi),2001年3月我國(guó)發(fā)布了信息安全技術(shù)評(píng)價(jià)的基礎(chǔ)標(biāo)準(zhǔn)GB/T 18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:1999)。在GB/T 18336中定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則,是度量信息技術(shù)安全性的基準(zhǔn)。該標(biāo)準(zhǔn)針對(duì)在安全性評(píng)估過(guò)程中,信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求,使各種相對(duì)獨(dú)立的安全性評(píng)估結(jié)果具有可比性。2008年6月根據(jù)相應(yīng)國(guó)際標(biāo)準(zhǔn)的修訂和更新情況,發(fā)布了該標(biāo)準(zhǔn)的新版本,編號(hào)為GB/T 18336-2008(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005)。2015年根據(jù)相應(yīng)國(guó)際標(biāo)準(zhǔn)的修訂和更新情況,發(fā)布了該標(biāo)準(zhǔn)的最新版本,編號(hào)為GB/T 18336-2015(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2009),目前該標(biāo)準(zhǔn)已經(jīng)發(fā)布生效。 3、國(guó)內(nèi)產(chǎn)業(yè)聯(lián)盟2016年,由海爾牽頭在智能家居產(chǎn)業(yè)聯(lián)盟(CSHIA)發(fā)起了安全工作組,制定智能家居網(wǎng)絡(luò)系統(tǒng)安全標(biāo)準(zhǔn)。第一版智能家居網(wǎng)絡(luò)系統(tǒng)安全要求從控制設(shè)備、家居設(shè)備、云服務(wù)三個(gè)方面提出了安全能力要求,包括訪問(wèn)控制、身份鑒別、通信安全、數(shù)據(jù)保密性、完整性、不可抵賴、可用性和隱私保護(hù)等相關(guān)技術(shù)。該標(biāo)準(zhǔn)一個(gè)突出的特色是根據(jù)智能家居產(chǎn)品的能力對(duì)設(shè)備進(jìn)行了分類分級(jí)。其中,控制端設(shè)備分為移動(dòng)終端、路由和主機(jī)三類;家居設(shè)備分為照明設(shè)備(A類)、電動(dòng)/遮陽(yáng)設(shè)備(B類)、影音設(shè)備(C類)、功率加熱設(shè)備(D類)、和語(yǔ)音視頻采集/安防設(shè)備(E類)。根據(jù)上述設(shè)備分類,結(jié)合每一類型產(chǎn)品的技術(shù)特點(diǎn)和防護(hù)能力,制定適合于該類型等級(jí)的安全要求。但是標(biāo)準(zhǔn)不適用于智能家居產(chǎn)品的檢測(cè)認(rèn)證,另外標(biāo)準(zhǔn)缺少檢測(cè)方法研究。4、行業(yè)標(biāo)準(zhǔn)2017年,由泰爾實(shí)驗(yàn)室牽頭在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)智能家居工作組發(fā)起了智能家居終端設(shè)備安全能力技術(shù)要求的編制工作。標(biāo)準(zhǔn)規(guī)定了智能家居的終端設(shè)備安全能力的技術(shù)要求,但是標(biāo)準(zhǔn)缺少檢測(cè)方法研究以及安全保障要求,不適用于智能家居產(chǎn)品的檢測(cè)認(rèn)證。3 編制過(guò)程3.1 分工情況標(biāo)準(zhǔn)的整體工作由項(xiàng)目負(fù)責(zé)人申永波負(fù)責(zé),董晶晶、胡銘銘、茹昭、劉陶、王雅哲、霍珊珊、祖巖巖、吳迪、劉思蓉、辛建峰、蘭丹妮、崔穎等共同開(kāi)展標(biāo)準(zhǔn)技術(shù)要求研制。3.2 起草階段2018年3月成立了行標(biāo)申報(bào)編制組,并明確了行標(biāo)申報(bào)的方向,定位智能家居產(chǎn)品明確了任務(wù),編制組調(diào)研國(guó)內(nèi)外智能家居相關(guān)技術(shù)和標(biāo)準(zhǔn)規(guī)范,走訪智能家居企業(yè),實(shí)地調(diào)研產(chǎn)品實(shí)際情況2018年4月編制組根據(jù)前期調(diào)研情況,完成了行標(biāo)申報(bào)材料編制、認(rèn)監(jiān)委科技支撐計(jì)劃編制2018年5月-9月編制組完成了草案內(nèi)容的驗(yàn)證編制,進(jìn)一步完善了并形成智能家居產(chǎn)品信息安全評(píng)價(jià)規(guī)范草案V1.02018年9月-2018年12月對(duì)草案V1.0初步征求業(yè)界意見(jiàn)。2019年2月-4月。對(duì)意見(jiàn)進(jìn)行處理,并修訂草案,形成智能家居產(chǎn)品信息安全評(píng)價(jià)規(guī)范草案V6.0標(biāo)準(zhǔn)草案逐步成熟。2019年5月17日組織相關(guān)專家對(duì)草案進(jìn)行了評(píng)審,并按照專家意見(jiàn)修訂。3.3 征求意見(jiàn)階段2019年5月-對(duì)智能家居產(chǎn)品安全評(píng)價(jià)規(guī)范(征求意見(jiàn)稿)面向社會(huì)廣泛征求意見(jiàn),進(jìn)一步完善,形成送審稿。4 主要技術(shù)內(nèi)容的確定1、研究?jī)?nèi)容本項(xiàng)目研究?jī)?nèi)容包括:1)通過(guò)分析智能家居產(chǎn)品涉及的關(guān)鍵技術(shù)及工作原理,確定安全邊界并分析其“安全環(huán)境”;2)結(jié)合產(chǎn)品功能和實(shí)際需求,識(shí)別智能家居產(chǎn)品典型應(yīng)用場(chǎng)景、以及可能存在的威脅及安全假設(shè);3)基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果,提煉、標(biāo)識(shí)智能家居產(chǎn)品應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”;4)根據(jù)確定的安全目標(biāo),結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對(duì)智能家居產(chǎn)品的安全評(píng)價(jià)要求;5)基于產(chǎn)品基本功能要求、安全功能和安全保障要求,研究制定相應(yīng)的檢測(cè)方法,并建立相關(guān)評(píng)價(jià)準(zhǔn)則;6)根據(jù)我國(guó)產(chǎn)業(yè)發(fā)展現(xiàn)狀,及用戶應(yīng)用和國(guó)家信息安全管理需要,確定有效實(shí)現(xiàn)智能家居產(chǎn)品安全目標(biāo)導(dǎo)出的安全要求,產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應(yīng)達(dá)到的級(jí)別,明確相關(guān)要求及方法;7)綜合產(chǎn)品功能、安全功能、安全保障能力要求,及相應(yīng)測(cè)試評(píng)價(jià)方法的研究結(jié)果,形成標(biāo)準(zhǔn)草案;8)根據(jù)標(biāo)準(zhǔn)驗(yàn)證應(yīng)用結(jié)果、專家評(píng)審意見(jiàn),修訂標(biāo)準(zhǔn)草案,包括:在檢測(cè)認(rèn)證活動(dòng)中驗(yàn)證應(yīng)用標(biāo)準(zhǔn),組織專家對(duì)標(biāo)準(zhǔn)草案及驗(yàn)證應(yīng)用情況進(jìn)行評(píng)審,遵循保證標(biāo)準(zhǔn)科學(xué)性、可操作性、一定前瞻性等原則,對(duì)標(biāo)準(zhǔn)草案進(jìn)行修訂。2、技術(shù)方案本項(xiàng)目擬采取的技術(shù)路線如下:1)廣泛調(diào)研國(guó)內(nèi)外智能家居產(chǎn)品技術(shù)現(xiàn)狀,深入分析智能家居產(chǎn)品實(shí)際需求;2)基于分析調(diào)研結(jié)果,確定產(chǎn)品安全邊界,并分析產(chǎn)品“安全環(huán)境”,識(shí)別可能存在的威脅、組織安全策略及安全用戶假設(shè);3)根據(jù)識(shí)別的安全環(huán)境和威脅,標(biāo)識(shí)技術(shù)和管理“安全目標(biāo)”;4)依據(jù)安全目標(biāo),參考GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則第二部分中的安全功能組件,結(jié)合智能家居產(chǎn)品特點(diǎn),研制具體的安全功能要求,并研究制定相應(yīng)的檢測(cè)和評(píng)價(jià)方法;5)根據(jù)當(dāng)前管理和應(yīng)用需求,確定智能家居產(chǎn)品應(yīng)達(dá)到的信息安全保障能力級(jí)別,從GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則第三部分中選取相應(yīng)的安全保障要求組件,并規(guī)定相關(guān)評(píng)估方法和評(píng)價(jià)準(zhǔn)則;6)根據(jù)智能家居具體安全威脅和產(chǎn)品特點(diǎn),在4)和5)的基礎(chǔ)之上,制定特定的安全防護(hù)要求。7)制定智能家居產(chǎn)品安全評(píng)價(jià)規(guī)范草案;7)在檢測(cè)、認(rèn)證活動(dòng)中驗(yàn)證智能家居產(chǎn)品安全評(píng)價(jià)規(guī)范草案,并根據(jù)需要進(jìn)行標(biāo)準(zhǔn)修訂。8) 項(xiàng)目研究過(guò)程中,組織3-4次認(rèn)證機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)、產(chǎn)業(yè)、研究機(jī)構(gòu)等相關(guān)專家研討,并根據(jù)專家意見(jiàn)對(duì)產(chǎn)品標(biāo)準(zhǔn)草案進(jìn)行修訂。5 驗(yàn)證情況(適用于方法類標(biāo)準(zhǔn))5.1 驗(yàn)證單位情況驗(yàn)證單位驗(yàn)證人員驗(yàn)證時(shí)間年 月 日年 月 日年 月 日年 月 日5.2 驗(yàn)證過(guò)程5.3 驗(yàn)證數(shù)據(jù)分析5.4 驗(yàn)證評(píng)價(jià)5.5 其他應(yīng)說(shuō)明的情況6 附加說(shuō)明(可選項(xiàng))6.1 宣貫標(biāo)準(zhǔn)的建議/6.2 修訂和廢除現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議/6.3 作為強(qiáng)制性標(biāo)準(zhǔn)或推薦性標(biāo)準(zhǔn)的建議/6.4 其他需要說(shuō)明的情況/6.5 參考文獻(xiàn)GB/T 18336-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則聯(lián)系人申永波聯(lián)系電話13488676640電子郵箱shenybisccc.gov.cn注1:本格式的通用部分為第1章、第2章、第4章和第6章。注2:3.4適用于標(biāo)準(zhǔn)草案送審稿,3.5適用于標(biāo)準(zhǔn)草案報(bào)批稿,3.6中“預(yù)期的管理目標(biāo)”適用于規(guī)程類標(biāo)準(zhǔn),3.6中“技術(shù)指標(biāo)”適用于方法類標(biāo)準(zhǔn),第5章適用于方法類標(biāo)準(zhǔn)編制說(shuō)明的編寫。注3:3.1和第6章為可選項(xiàng),其余為必填項(xiàng)。編寫日期:2019年5月21日