《智能家居產(chǎn)品信息安全評價規(guī)范》（2018RB001）-征求意見稿

《《智能家居產(chǎn)品信息安全評價規(guī)范》（2018RB001）-征求意見稿》由會員分享，可在線閱讀，更多相關(guān)《《智能家居產(chǎn)品信息安全評價規(guī)范》（2018RB001）-征求意見稿（24頁珍藏版）》請在裝配圖網(wǎng)上搜索。

ICS點擊此處添加ICS號點擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號RB中華人民共和國認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)RB/T XXXXXXXXX智能家居產(chǎn)品信息安全評價規(guī)范Information security evaluation specifications for smart home products點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識（征求意見稿）（本稿完成日期：2019.5）XXXX - XX - XX發(fā)布XXXX - XX - XX實施國家市場監(jiān)督管理總局國家認(rèn)證認(rèn)可監(jiān)督管理委員會 發(fā)布RB/T XXXXXXXXX目錄前言3智能家居產(chǎn)品信息安全評價規(guī)范41 范圍42 規(guī)范性引用文件43 術(shù)語、定義和縮略語43.1 術(shù)語和定義43.2 縮略語54 產(chǎn)品描述55 評價要求55.1 總體說明55.2 安全功能要求55.3 安全保障要求96 評價方法116.1 總體說明116.2 安全功能評價116.3 安全保障評價18附錄A （資料性附錄） 典型應(yīng)用場景22附錄B （資料性附錄） 智能家居產(chǎn)品威脅分析23附錄C （資料性附錄） 智能家居個人信息分類24前言本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。本規(guī)范由國家認(rèn)證認(rèn)可監(jiān)督管理委員會提出并歸口。本規(guī)范起草單位：中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、信息產(chǎn)業(yè)信息安全測評中心、中國科學(xué)院信息工程研究所、海爾優(yōu)家智能科技（北京）有限公司、中國信息通信研究院本規(guī)范主要起草人： 智能家居產(chǎn)品信息安全評價規(guī)范1 范圍本規(guī)范規(guī)定了智能家居產(chǎn)品的安全評價要求及評價方法。本標(biāo)準(zhǔn)適用于第三方檢測機構(gòu)和認(rèn)證機構(gòu)對智能家居產(chǎn)品進(jìn)行檢測、評估和認(rèn)證，也可以在智能家居產(chǎn)品的設(shè)計和實現(xiàn)時參照使用。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069 信息安全技術(shù) 術(shù)語GB/T 35134 物聯(lián)網(wǎng)智能家居 設(shè)備描述方法GB/T 35273 信息安全技術(shù) 個人信息安全規(guī)范GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則3 術(shù)語、定義和縮略語3.1 術(shù)語和定義GB/T 25069、GB/T 35134、GB/T 35273和GB/T 18336界定的術(shù)語和定義適用于本文件。3.1.1智能家居設(shè)備 smart home device具有網(wǎng)絡(luò)通信功能，可自描述、發(fā)布并能與其他節(jié)點進(jìn)行交互操作的家居設(shè)備。GB/T 35134，定義3.23.1.2控制終端control terminals在智能家居系統(tǒng)中，具有通過人機交互界面，實現(xiàn)對智能家居設(shè)備控制操作的設(shè)備。3.1.3控制端應(yīng)用 control application 由用戶操作，與網(wǎng)絡(luò)服務(wù)連接，能對智能設(shè)備進(jìn)行遠(yuǎn)程操作應(yīng)用程序。3.1.4智能家居應(yīng)用服務(wù)平臺軟件application platform software of smart home能夠提供各種智能家居設(shè)備聯(lián)網(wǎng)接入，實現(xiàn)對智能家居設(shè)備進(jìn)行管理、操作、控制等應(yīng)用和提供web服務(wù)的軟件系統(tǒng)。3.1.5設(shè)備添加device adding將操作員與智能家居設(shè)備建立關(guān)聯(lián)關(guān)系的行為。操作員可對添加的設(shè)備進(jìn)行遠(yuǎn)程查詢、管理和控制等操作。3.1.6設(shè)備綁定 device binding操作員對智能家居設(shè)備進(jìn)行網(wǎng)絡(luò)配置，使其連接到網(wǎng)絡(luò)中，并申請將其關(guān)聯(lián)到自己賬戶的行為。綁定成功后，該操作員與智能家居設(shè)備建立了從屬關(guān)系，該操作員為此設(shè)備的主控制賬戶。3.2 縮略語HTTPS HypertextTransfer ProtocoloverSecureSocketLayer 安全文本傳輸協(xié)議ID Identification/Identity 身份標(biāo)識IP Internet protocol 網(wǎng)絡(luò)互聯(lián)的協(xié)議4 產(chǎn)品描述本規(guī)范在分析智能家居的典型應(yīng)用場景（參見附錄A）和智能家居產(chǎn)品安全威脅分析（參見附錄B）的基礎(chǔ)上，從產(chǎn)品檢測認(rèn)證的角度提出了評估對象為智能家居產(chǎn)品的。智能家居產(chǎn)品包括智能家居設(shè)備、控制端應(yīng)用、智能家居應(yīng)用服務(wù)平臺軟件。其中，智能家居設(shè)備包括智能家居網(wǎng)關(guān)設(shè)備、控制設(shè)備以及智能家居應(yīng)用設(shè)備。5 評價要求5.1 總體說明本評價規(guī)范分為安全功能要求和安全保障要求。其中，安全功能要求是對智能家居產(chǎn)品應(yīng)具備的安全功能提出要求，包括智能家居設(shè)備、控制端應(yīng)用和智能家居應(yīng)用服務(wù)平臺軟件的保護(hù)要求；安全保障要求針對智能家居產(chǎn)品的開發(fā)和使用文檔等內(nèi)容提出具體的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定等。5.2 安全功能要求5.2.1 智能家居設(shè)備5.2.1.1 設(shè)備添加與綁定用戶使用智能家居設(shè)備前，須先將設(shè)備綁定或添加到自己的賬戶下，然后可在控制端應(yīng)用中對設(shè)備進(jìn)行管理和操控。具體技術(shù)要求如下：a) 智能家居設(shè)備只有在與合法賬戶綁定之后，方可執(zhí)行網(wǎng)絡(luò)控制操作；b) 一個智能家居設(shè)備一次只能被一個賬戶綁定，該綁定賬戶作為設(shè)備的主控制賬戶，綁定后設(shè)備重置前不允許其他賬戶綁定；c) 其他賬戶如要添加智能家居設(shè)備，須獲得主控制賬戶顯式授權(quán)，添加后才可獲取智能家居設(shè)備控制權(quán)；d) 若智能家居設(shè)備被新的賬戶綁定成功后，之前所有添加該設(shè)備的用戶賬戶下的該設(shè)備應(yīng)自行消失。5.2.1.2 安全審計智能家居設(shè)備發(fā)生網(wǎng)絡(luò)交互時，設(shè)備應(yīng)記錄日志，并傳輸?shù)椒?wù)平臺。安全要求如下：a) 應(yīng)對各項操作進(jìn)行審計記錄，可記錄事件包括但不限于：1）對鑒別機制的任何使用（如智能家居設(shè)備與應(yīng)用服務(wù)平臺相互驗證成功與失敗等）；2）通信會話的終止（包括設(shè)備的正常終止和非正常終止）；3）對智能家居設(shè)備的關(guān)鍵操作；b) 事件記錄應(yīng)包含事件的日期和時間、事件的類型、主體標(biāo)識、客體標(biāo)識和結(jié)果；c) 本地審計記錄應(yīng)有相應(yīng)的保護(hù)措施，防止存儲空間超過閾值后審計記錄被破壞；d) 應(yīng)保證審計記錄向服務(wù)平臺轉(zhuǎn)移時的傳輸安全；5.2.1.3 數(shù)據(jù)保護(hù)智能家居設(shè)備對存儲在設(shè)備內(nèi)的重要數(shù)據(jù)提供安全防護(hù)，要求如下：a) 應(yīng)保護(hù)重要數(shù)據(jù)（如網(wǎng)絡(luò)認(rèn)證證書和會話ID）的存儲安全；b) 本地緩存的重要數(shù)據(jù)應(yīng)采用加密存儲、限制讀取等安全保護(hù)措施；c) 智能家居設(shè)備網(wǎng)絡(luò)端口不應(yīng)泄露重要信息，防止攻擊者獲取后降低攻擊難度；d) 應(yīng)對接收到的控制數(shù)據(jù)進(jìn)行識別，確保只執(zhí)行安全的數(shù)值，如果數(shù)據(jù)超過了設(shè)定的限值，應(yīng)采取相應(yīng)的動作（如不執(zhí)行或進(jìn)入自保護(hù)狀態(tài)等）。5.2.1.4 固件安全智能家居設(shè)備的固件通過網(wǎng)絡(luò)或本地接口升級，升級后新版本固件代替原固件，在設(shè)備啟動后運行。安全要求如下：a) 應(yīng)對固件進(jìn)行安全保護(hù)，確保固件不能通過串口讀取等常規(guī)手段從設(shè)備中提取出來，固件中的關(guān)鍵代碼及重要數(shù)據(jù)（如鑒別數(shù)據(jù)、密鑰等）應(yīng)防篡改、防逆向；b) 對固件升級包、固件升級版本進(jìn)行完整性校驗和來源可靠性驗證，校驗通過后才允許升級；c) 固件升級失敗應(yīng)保持升級前固件版本，不允許固件升級到比當(dāng)前版本更低的版本；d) 應(yīng)確保使用的第三方組件和開源軟件不存在已知高危安全漏洞。5.2.1.5 其他要求（如適用）智能家居設(shè)備通過具備網(wǎng)關(guān)能力的設(shè)備連接到家庭網(wǎng)絡(luò)和云端服務(wù)平臺，針對于這類提供網(wǎng)關(guān)能力的特殊設(shè)備，即智能家居網(wǎng)關(guān)設(shè)備，增加如下的安全要求：a) 智能家居網(wǎng)關(guān)設(shè)備應(yīng)支持智能家居設(shè)備的注冊和管理；b) 智能家居網(wǎng)關(guān)設(shè)備應(yīng)支持防火墻功能；c) 智能家居網(wǎng)關(guān)設(shè)備應(yīng)具備連接白名單限制能力，包括MAC地址和IP綁定功能、基于源地址的數(shù)據(jù)包攔截功能、基于IP的惡意網(wǎng)址攔截功能；d) 智能家居網(wǎng)關(guān)設(shè)備應(yīng)具備帶寬控制功能并采用安全路由協(xié)議。5.2.2 控制端應(yīng)用 5.2.2.1 身份鑒別a) 控制端應(yīng)用在連接智能家居應(yīng)用服務(wù)平臺進(jìn)行操作前，需要用戶通過身份鑒別，并提供登錄失敗處理措施；b) 具備口令強度和口令時效性檢查機制；c) 修改或找回口令時，應(yīng)具備驗證機制；d) 控制端應(yīng)用應(yīng)具備登錄超時后的鎖定或者注銷功能；e) 控制端應(yīng)用應(yīng)使用驗證碼、限定請求頻率等方式防止利用注冊、登錄、找回密碼等功能發(fā)起暴力破解、拒絕服務(wù)等攻擊。5.2.2.2 數(shù)據(jù)保護(hù)a) 控制端應(yīng)用應(yīng)采取安全措施保證重要數(shù)據(jù)存儲的機密性和完整性。5.2.2.3 應(yīng)用安全a) 控制端應(yīng)用應(yīng)具備防逆向反編譯功能，抵抗對關(guān)鍵代碼和數(shù)據(jù)的分析，避免關(guān)鍵業(yè)務(wù)邏輯被破解分析和篡改；b) 控制端應(yīng)用應(yīng)關(guān)閉調(diào)試日志輸出功能，防止關(guān)鍵邏輯信息和重要數(shù)據(jù)信息泄露；c) 控制端應(yīng)用應(yīng)確保使用的第三方庫和開源組件不存在已公布的高危漏洞；d) 控制端應(yīng)用應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或者通信接口輸入的內(nèi)容符合處理要求。5.2.2.4 運行安全a) 控制端應(yīng)用在安裝過程中，不得安裝功能說明文檔中未說明的額外功能；b) 控制端應(yīng)用應(yīng)包含可有效表征供應(yīng)者或者開發(fā)者身份的簽名信息、軟件屬性信息；c) 卸載時應(yīng)能刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件。5.2.3 智能家居應(yīng)用服務(wù)平臺軟件5.2.3.1 標(biāo)識與鑒別a) 系統(tǒng)應(yīng)為登錄用戶提供唯一的身份標(biāo)識，同時用戶標(biāo)識與該用戶的所有可審計事件相關(guān)聯(lián)；b) 系統(tǒng)應(yīng)對登錄用戶進(jìn)行身份鑒別，并且鑒別信息具有復(fù)雜度要求并定期更換；c) 鑒別進(jìn)行時，系統(tǒng)應(yīng)僅向用戶提供非鑒別數(shù)據(jù)（如圓點、星號等）作為鑒別數(shù)據(jù)輸入的反饋；d) 系統(tǒng)應(yīng)保護(hù)鑒別信息不被未授權(quán)查閱和修改；e) 系統(tǒng)應(yīng)提供登錄鑒別失敗處理功能，并采取結(jié)束會話、限制非法登錄次數(shù)等措施；f) 應(yīng)提供用戶登錄超時鎖定或注銷功能，終止會話后,用戶需要重新登錄。5.2.3.2 訪問控制系統(tǒng)應(yīng)支持基于安全屬性或確定的屬性組（用戶角色）實現(xiàn)訪問控制。5.2.3.3 安全審計a) 系統(tǒng)應(yīng)提供安全審計功能，并應(yīng)能審計以下事件：1) 審計功能的啟動和關(guān)閉；2) 導(dǎo)出、另存和刪除審計日志；3) 設(shè)置鑒別嘗試次數(shù)；4) 設(shè)置審計日志報警門限值；5) 鑒別機制的使用；6) 用戶的創(chuàng)建、修改、刪除與授權(quán)；7) 通過控制端應(yīng)用對智能家居設(shè)備進(jìn)行的操作；8) 設(shè)備狀態(tài)的變化；9) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。b) 每個審計記錄應(yīng)至少包括事件發(fā)生的日期和時間、事件類型、主客體標(biāo)識、事件描述及結(jié)果等信息；c) 應(yīng)僅為授權(quán)用戶提供讀取審計記錄的功能，并且應(yīng)以便于用戶理解的方式提供審計記錄；d) 應(yīng)提供根據(jù)條件對審計數(shù)據(jù)進(jìn)行查詢或排序的功能；e) 應(yīng)保護(hù)存儲的審計記錄，禁止對審計記錄進(jìn)行修改，以及避免未授權(quán)的刪除；f) 審計信息應(yīng)存儲在永久性存儲介質(zhì)中，當(dāng)審計存儲空間被耗盡時，系統(tǒng)應(yīng)采取措施，如：忽略可審計事件或覆蓋所存儲的最早的審計記錄等。5.2.3.4 安全管理a) 應(yīng)能夠?qū)Π踩巧捌錂?quán)限進(jìn)行維護(hù)，并將用戶和角色進(jìn)行關(guān)聯(lián)；b) 系統(tǒng)應(yīng)僅允許授權(quán)管理員執(zhí)行下列安全功能數(shù)據(jù)管理操作：1) 設(shè)置鑒別嘗試次數(shù)；2) 設(shè)置審計日志告警門限值；3) 設(shè)置會話超時時間；4) 其他系統(tǒng)參數(shù)配置操作。c) 若產(chǎn)品存在多個組件，應(yīng)為不同組件之間提供時間同步的功能；d) 系統(tǒng)應(yīng)提供對設(shè)備遠(yuǎn)程管理功能，包括設(shè)備注冊、遠(yuǎn)程功能的鎖定及解鎖。e) 應(yīng)使用隨機化數(shù)據(jù)標(biāo)識智能家居設(shè)備身份，設(shè)備標(biāo)識應(yīng)具有唯一性。5.2.3.5 數(shù)據(jù)保護(hù)a) 應(yīng)采用HTTPS等安全傳輸協(xié)議，保證WEB訪問傳輸安全；b) 系統(tǒng)應(yīng)提供安全保護(hù)措施，保證重要數(shù)據(jù)在存儲過程中的完整性和保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)和個人信息等；c) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。5.2.4 通信安全智能家居設(shè)備、應(yīng)用服務(wù)平臺、控制端應(yīng)用其中任意兩方在通信時，應(yīng)保證通信和數(shù)據(jù)傳輸?shù)陌踩?，具體安全要求如下：a) 在通信雙方建立連接之前，應(yīng)進(jìn)行雙向身份驗證；b) 應(yīng)采取安全保護(hù)措施，保證通信和數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕籧) 應(yīng)采用適當(dāng)?shù)陌踩珯C制（如序列號）來確保通信雙方傳輸數(shù)據(jù)沒有被重放；d) 重新建立會話或會話超時，應(yīng)重新進(jìn)行身份驗證。5.2.5 個人信息保護(hù)智能家居產(chǎn)品應(yīng)在采取相關(guān)措施保護(hù)用戶個人信息，具體要求如下：a) 智能家居產(chǎn)品對個人信息的收集應(yīng)在提供相應(yīng)服務(wù)的同時進(jìn)行。若出于業(yè)務(wù)需要收集個人信息，應(yīng)在收集前明示收集的目的和范圍，并且只有在用戶同意之后才可繼續(xù)，且應(yīng)提供關(guān)閉數(shù)據(jù)采集功能。b) 應(yīng)在用戶同意后開啟通話錄音、本地錄音、拍照/攝像、定位等。c) 應(yīng)在用戶同意后讀取用戶通訊錄、通話記錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等。d) 智能家居產(chǎn)品不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為，包括在用戶無確認(rèn)情況下刪除或修改用戶通訊錄、通話記錄、短信數(shù)據(jù)、日程表數(shù)據(jù)的行為。e) 應(yīng)提供訪問控制機制，對個人信息設(shè)置適當(dāng)操作權(quán)限，防止未經(jīng)授權(quán)的訪問和操作。f) 應(yīng)對用戶個人信息數(shù)據(jù)采取適當(dāng)?shù)哪涿胧苊獯鎯ζ湓紨?shù)據(jù)。g) 智能家居產(chǎn)品進(jìn)行個人信息數(shù)據(jù)共享和轉(zhuǎn)讓時，應(yīng)按照約定目的和用途進(jìn)行，傳輸數(shù)據(jù)之前應(yīng)對雙方進(jìn)行身份認(rèn)證和授權(quán)。應(yīng)在用戶同意下讀取并傳輸用戶數(shù)據(jù)，防止出現(xiàn)在未向用戶明示且未經(jīng)用戶同意，傳輸用戶數(shù)據(jù)行為。e) 智能家居產(chǎn)品對處理階段所使用的個人信息的緩存數(shù)據(jù)，應(yīng)該提供自動刪除或者授權(quán)用戶手動刪除功能。5.3 安全保障要求5.3.1 開發(fā)5.3.1.1 安全架構(gòu)開發(fā)者應(yīng)提供產(chǎn)品的安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a) 與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；b) 描述與安全功能要求一致的智能家居產(chǎn)品安全功能的安全域；c) 描述智能家居產(chǎn)品安全功能初始化過程為何是安全的；d) 證實智能家居產(chǎn)品安全功能能夠防止被破壞；e) 證實智能家居產(chǎn)品安全功能能夠防止安全特性被旁路。5.3.1.2 功能規(guī)范開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a) 開發(fā)者應(yīng)提供產(chǎn)品的功能規(guī)范文檔；b) 功能規(guī)范應(yīng)對智能家居產(chǎn)品的范圍及產(chǎn)品的應(yīng)用環(huán)境和使用限制進(jìn)行描述；c) 功能規(guī)范應(yīng)對智能家居的安全功能及其外部接口進(jìn)行描述；d) 功能規(guī)范應(yīng)是內(nèi)在一致的；5.3.1.3 產(chǎn)品設(shè)計開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：a) 應(yīng)按子系統(tǒng)描述安全功能的結(jié)構(gòu)；b) 應(yīng)描述每一個子系統(tǒng)所提供的安全功能特性，并標(biāo)識子系統(tǒng)的所有接口以及外部可見的接口；c) 描述安全功能所有子系統(tǒng)間的相互作用；d) 提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口。5.3.2 指導(dǎo)性文檔開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，并且對每一種用戶角色進(jìn)行描述，具體應(yīng)滿足以下要求：a) 在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ籦) 如何以安全的方式使用智能家居產(chǎn)品提供的可用接口；c) 明確各類操作用戶可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時應(yīng)指明安全值；d) 每一種與需要執(zhí)行的管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制的實體的安全特性進(jìn)行的改變；e) 操作用戶指南應(yīng)標(biāo)識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關(guān)系和聯(lián)系；f) 充分實現(xiàn)安全目的所必須執(zhí)行的安全策略；5.3.3 生命周期支持5.3.3.1 配置管理能力開發(fā)者的配置管理應(yīng)滿足以下要求：a) 開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔；b) 配置管理文檔至少包括配置項清單和配置管理計劃；c) 配置管理計劃應(yīng)描述配置管理系統(tǒng)是如何使用的，并確保實施的配置管理與配置管理計劃一致；d) 配置項清單用來描述組成智能家居產(chǎn)品的配置項，并確保所有配置項具備唯一的標(biāo)識；5.3.3.2 配置管理范圍a) 開發(fā)者應(yīng)提供智能家居產(chǎn)品配置項列表，并說明配置項的開發(fā)者；b) 配置項列表至少包括智能家居產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分。5.3.3.3 交付程序a) 開發(fā)者應(yīng)將智能家居產(chǎn)品安全的安裝、生成和啟動等必須的程序文檔化；b) 開發(fā)者應(yīng)把智能家居產(chǎn)品或其部分交付給用戶的程序文檔化；5.3.4 測試5.3.4.1 覆蓋開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)表明測試文檔中所標(biāo)識的測試與功能范圍中所描述的智能家居產(chǎn)品的安全功能間的對應(yīng)性。5.3.4.2 功能測試a) 開發(fā)者應(yīng)對安全功能進(jìn)行測試，并文檔化測試結(jié)果；b) 開發(fā)者應(yīng)提供測試文檔，測試文檔包括測試計劃、測試程序描述、預(yù)期的測試結(jié)果和實際的測試結(jié)果。5.3.4.3 獨立測試-抽樣a) 開發(fā)者應(yīng)提供用于測試的產(chǎn)品；b) 獨立第三方檢測機構(gòu)針對開發(fā)者提供的產(chǎn)品及配套的資源進(jìn)行抽樣測試。5.3.5 脆弱性評定a) 基于已標(biāo)識的潛在脆弱性，智能家居產(chǎn)品能夠抵御具有基本攻擊潛力攻擊者的攻擊。6 評價方法6.1 總體說明測試評價方法與評價規(guī)范要求一一對應(yīng)，它給出具體的方法來智能家居產(chǎn)品是否滿足評價規(guī)范要求。評價方法分為檢測和評估，其中，檢測內(nèi)容為產(chǎn)品的安全功能要求，評估內(nèi)容為產(chǎn)品的安全保障要求。6.2 安全功能評價6.2.1 智能家居設(shè)備6.2.1.1 設(shè)備添加與綁定設(shè)備添加與綁定的檢測方法和結(jié)果判定如下：a) 檢測方法：1) 將設(shè)備與某個帳戶進(jìn)行綁定操作，檢查只有成功綁定之后才能進(jìn)行網(wǎng)絡(luò)控制操作；2) 設(shè)備與某個用戶綁定后，嘗試其他合法帳戶進(jìn)行綁定操作，查看是否可以綁定成功；是否滿足主控制賬戶綁定的要求；3) 設(shè)備添加其他帳戶，檢查是否需要主控制帳戶顯示授權(quán)；4) 將設(shè)備進(jìn)行重新綁定，檢查之前添加的帳戶下該設(shè)備是否消失。b) 結(jié)果判定：1) 設(shè)備經(jīng)用戶賬戶綁定后才可進(jìn)行網(wǎng)絡(luò)控制；2) 設(shè)備一次只能被一個賬戶綁定；3) 其他賬戶添加設(shè)備，須經(jīng)過主控制賬戶授權(quán)；4) 設(shè)備被重新綁定后，之前所有添加該設(shè)備的用戶賬戶下的該設(shè)備自行消失；1）-4）項均滿足為“符合”，其他情況為“不符合”。6.2.1.2 安全審計安全審計的檢測方法和結(jié)果判定如下：a) 檢測方法：1) 檢查設(shè)備是否實現(xiàn)了本地審計功能；2) 設(shè)備綁定成功后，嘗試與應(yīng)用服務(wù)后臺建立會話連接，查看設(shè)備是否可以記錄設(shè)備與平臺之間的驗證成功與否事件，然后終止與后臺的通信會話，檢查設(shè)備是否可以記錄會話終止事件；查看設(shè)備記錄是否包括啟停等重要操作事件。3) 檢查審計記錄是否包括事件的日期和時間、事件的類型（連接驗證、會話終止）、主客體標(biāo)識和結(jié)果信息；4) 檢查設(shè)備審計記錄是否有保護(hù)措施，是否及時發(fā)送到后臺，防止記錄被破壞或覆蓋。5) 檢查設(shè)備側(cè)審計記錄向服務(wù)平臺傳輸時，驗證是否有保護(hù)措施；b) 結(jié)果判定：1) 設(shè)備本地實現(xiàn)了審計日志的功能；2) 設(shè)備能夠?qū)Ω黜棽僮魇录M(jìn)行了完備的記錄；3) 設(shè)備采用了有效安全機制保護(hù)本地存儲的審計數(shù)據(jù)；4) 設(shè)備采用了有效安全機制保護(hù)審計數(shù)據(jù)的傳輸；1）-4）項均滿足為“符合”，其他情況為“不符合”。6.2.1.3 數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)的檢測方法和結(jié)果判定如下：a) 檢測方法：1) 檢查設(shè)備對本地存儲的關(guān)鍵數(shù)據(jù)和音視頻數(shù)據(jù)是否采取了適宜的安全保護(hù)措施（如加密）；2) 掃描設(shè)備的通信端口,檢查是否能獲取重要信息；3) 構(gòu)造非正常請求數(shù)據(jù)發(fā)送給設(shè)備，如安全數(shù)值之外的控制數(shù)據(jù)，驗證設(shè)備是否予以識別并進(jìn)行自保護(hù)。b) 結(jié)果判定：1) 設(shè)備采用了適宜的安全機制存儲關(guān)鍵數(shù)據(jù)和其他重要數(shù)據(jù)；2) 設(shè)備網(wǎng)絡(luò)端口沒有泄露重要信息；3) 只執(zhí)行安全的控制指令數(shù)值。1）-3）項均滿足為“符合”，其他情況為“不符合”。6.2.1.4 固件安全固件安全的檢測方法和結(jié)果判定如下：a) 檢測方法：1) 啟動設(shè)備，檢查設(shè)備是否對固件進(jìn)行了完整性驗證。2) 驗證設(shè)備的固件是否做了安全防護(hù)措施，如是否關(guān)閉硬件調(diào)試端口等；3) 驗證固件的關(guān)鍵代碼及重要數(shù)據(jù)是否做了有效保護(hù)措施，如混淆、加密等代碼安全保護(hù)；4) 在升級服務(wù)器中添加用于測試的新版本固件,啟動固件升級,檢查固件升級前是否對固件升級包、固件升級版本進(jìn)行完整性校驗并驗證來源可靠性；5) 嘗試推送不正確的固件給設(shè)備，使升級失敗，驗證設(shè)備是否恢復(fù)到之前可用的版本；6) 嘗試推送比設(shè)備當(dāng)前固件版本更低的固件給設(shè)備，驗證能否升級成功；7) 掃描設(shè)備固件的漏洞，檢查是否存在已知高危安全漏洞。b) 結(jié)果判定：1) 設(shè)備固件安全加載和運行，不存在重大漏洞；2) 設(shè)備固件不能通過常規(guī)手段提取，且關(guān)鍵部分防篡改和逆向；3) 設(shè)備能安全升級固件，不升級到不安全的固件；1）-3）項均滿足為“符合”，其他情況為“不符合”。6.2.1.5 其他要求（如適用）對具有網(wǎng)關(guān)功能的設(shè)備的補充要求檢測方法和結(jié)果判定如下：a) 檢測方法：1) 檢查設(shè)備功能列表是否支持對智能家居設(shè)備的注冊和管理，以組建子網(wǎng)絡(luò)；2) 檢查設(shè)備是否可配置防火墻，設(shè)置防火墻過濾規(guī)則，驗證滿足過濾規(guī)則的數(shù)據(jù)包是否能被攔截；3) 對設(shè)備實施ARP欺騙攻擊，驗證是否可通過綁定MAC地址和IP來防止；4) 產(chǎn)生源地址屬于內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，經(jīng)外部接口向子網(wǎng)絡(luò)內(nèi)部發(fā)送，驗證設(shè)備是否能過濾該數(shù)據(jù)包；5) 產(chǎn)生源地址不屬于內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，由內(nèi)部網(wǎng)絡(luò)向外發(fā)送，驗證設(shè)備是否能過濾該數(shù)據(jù)包；6) 設(shè)置白名單限制IP地址，由該IP地址向網(wǎng)絡(luò)內(nèi)部發(fā)送數(shù)據(jù)，驗證設(shè)備是否能攔截；7) 設(shè)置白名單限制IP地址，由網(wǎng)絡(luò)內(nèi)部向該IP地址發(fā)送數(shù)據(jù)，驗證設(shè)備是否能攔截；8) 檢查設(shè)備帶寬控制功能，驗證是否能限制網(wǎng)絡(luò)上行和下行帶寬；9) 檢查設(shè)備采用的路由協(xié)議是否安全。b) 結(jié)果判定：1) 設(shè)備提供了智能家居設(shè)備注冊和管理功能；2) 設(shè)備提供了防火墻和白名單限制；3) 設(shè)備具備帶寬控制功能并采用了安全路由協(xié)議。1）-3）項均滿足為“符合”，其他情況為“不符合”。6.2.2 控制端應(yīng)用6.2.2.1 身份鑒別身份鑒別的測試評價方法如下：a) 測試方法1) 在應(yīng)用軟件中進(jìn)行連接智能家居應(yīng)用服務(wù)平臺軟件操作，檢查是否需要用戶登錄；2) 使用錯誤的用戶鑒別憑據(jù)連續(xù)進(jìn)行登錄，檢查是否有登錄失敗處理措施；3) 檢查控制端應(yīng)用是否具備口令強度檢查機制（如口令長度、復(fù)雜度要求等）；4) 檢查控制端應(yīng)用是否具備口令時效性檢查機制（如主動提示用戶定期修改口令等）；5) 檢查控制端應(yīng)用在修改或找回口令時，是否具備驗證機制；6) 用戶登錄后長時間不進(jìn)行任何操作；7) 檢查控制端應(yīng)用是否對注冊、登錄、找回密碼過程采用驗證碼機制進(jìn)行驗證，是否對請求發(fā)起頻率進(jìn)行限制。b) 結(jié)果判定1) 只有登錄成功的用戶才能連接智能家居應(yīng)用服務(wù)平臺軟件進(jìn)行操作；2) 具備鑒別失敗處理措施；3) 具備口令強度檢查機制，初始化及修改用戶口令時，能夠根據(jù)策略檢查輸入口令的長度和復(fù)雜度，若輸入的口令不符合口令長度要求，能夠提示并要求重新設(shè)置有效口令；4) 具備口令時效性檢查機制，能夠主動提示用戶修改口令；5) 修改或找回口令時，具備驗證機制，以防止口令的被非授權(quán)獲取或者篡改；6) 登錄超時后能進(jìn)行鎖定或者注銷；7) 在進(jìn)行注冊、登錄、找回密碼過程中需要進(jìn)行驗證碼驗證，具備請求頻率限制機制，防止短時間頻繁請求。1）-7）項均滿足為“符合”，其他情況為“不符合”。6.2.2.2 數(shù)據(jù)保護(hù)數(shù)據(jù)存儲保護(hù)的測試評價方法如下：a) 測試方法：1) 讀取重要數(shù)據(jù)存儲文件，查看數(shù)據(jù)是否以明文形式存入文件中；2) 對重要數(shù)據(jù)完整性進(jìn)行破壞，查看控制端應(yīng)用是否對完整性收到破壞的數(shù)據(jù)進(jìn)行檢測和提示；b) 結(jié)果判定1) 不以明文的形式將重要數(shù)據(jù)存入文件；2) 控制端應(yīng)用可對數(shù)據(jù)進(jìn)行完整性檢測，并提示告警信息；1）-2）項均滿足為“符合”，其他情況為“不符合”。6.2.2.3 應(yīng)用安全應(yīng)用安全的測試評價方法如下：a) 測試方法：1) 檢查控制端應(yīng)用是否具備防逆向反編譯功能；2) 檢查控制端應(yīng)用是否輸出調(diào)試日志；3) 檢查控制端應(yīng)用使用的第三方庫和開源組件是否存在已公布的高危漏洞；4) 構(gòu)造錯誤的或畸形的輸入內(nèi)容，檢查控制端應(yīng)用是否具有數(shù)據(jù)有效性檢驗功能。b) 結(jié)果判定1) 控制端應(yīng)用具備防逆向反編譯功能；2) 控制端應(yīng)用不輸出調(diào)試日志；3) 控制端應(yīng)用使用的第三方庫和組件不存在已公布的高危漏洞；4) 控制端應(yīng)用具備數(shù)據(jù)有效性檢驗功能，功能處理錯誤的或畸形的輸入數(shù)據(jù)。1）-4）項均滿足為“符合”，其他情況為“不符合”。6.2.2.4 運行安全運行安全的測試評價方法如下：a) 測試方法：1) 檢查控制端應(yīng)用安裝功能，根據(jù)安裝功能說明文檔進(jìn)行比對；2) 檢查控制端應(yīng)用是否包含供應(yīng)者或開發(fā)者的簽名信息、軟件屬性信息；3) 卸載控制端應(yīng)用，檢查其安裝和使用過程中生成的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件是否完全刪除。b) 結(jié)果判定1) 控制端應(yīng)用僅安裝功能說明文檔中說明的功能；2) 包含供應(yīng)者或開發(fā)者的簽名信息、軟件屬性信息；3) 卸載時能夠?qū)⑵浒窗惭b和使用過程中生成的數(shù)據(jù)完全刪除。1）-3）項均滿足為“符合”，其他情況為“不符合”。6.2.3 智能家居應(yīng)用服務(wù)平臺軟件6.2.3.1 標(biāo)識與鑒別標(biāo)識與鑒別的測試評價方法與預(yù)期結(jié)果如下：a) 測試評價方法：1) 以授權(quán)用戶身份登錄智能家居應(yīng)用服務(wù)平臺，查看用戶信息，嘗試新建一個相同用戶標(biāo)識的用戶，檢查操作是否能夠成功；2) 查看用戶審計事件信息，檢查用戶標(biāo)識與用戶的審計事件是否進(jìn)行了關(guān)聯(lián)；3) 以正確的鑒別信息和錯誤的鑒別信息，分別嘗試登錄平臺，檢查是否僅在輸入正確的鑒別信息才能登錄平臺并執(zhí)行相關(guān)操作；4) 檢查平臺是否提供了鑒別信息復(fù)雜度檢查功能，滿足復(fù)雜度要求的鑒別信息能夠設(shè)置成功，不滿足復(fù)雜度要求的鑒別信息不能設(shè)置成功；5) 執(zhí)行登錄操作，輸入鑒別數(shù)據(jù)，檢查平臺是否僅顯示輸入的鑒別數(shù)據(jù)的字符數(shù)，但不顯示鑒別數(shù)據(jù)本身；6) 使用授權(quán)用戶和非授權(quán)用戶分別登錄平臺，檢查是否僅允許授權(quán)用戶能夠查閱和修改鑒別數(shù)據(jù)；7) 以錯誤的鑒別信息嘗試登錄平臺，檢查是否被拒絕進(jìn)入平臺，繼續(xù)進(jìn)行一定次數(shù)的登錄嘗試，驗證在達(dá)到允許的鑒別失敗嘗試次數(shù)后，平臺是否使該用戶賬號或登錄點失效；8) 以授權(quán)用戶身份登錄平臺后停止操作，檢查經(jīng)過一段時間間隔后，該用戶能否繼續(xù)執(zhí)行授權(quán)操作。b) 結(jié)果判定：1) 智能家居應(yīng)用服務(wù)平臺不能新建相同用戶標(biāo)識的用戶，用戶標(biāo)識與用戶的審計事件進(jìn)行了關(guān)聯(lián)；2) 平臺僅允許輸入正確的鑒別信息才能登錄平臺并執(zhí)行相關(guān)操作；3) 平臺提供了鑒別信息復(fù)雜度檢查功能，僅滿足復(fù)雜度要求的鑒別信息能夠設(shè)置成功；4) 平臺僅顯示輸入的鑒別數(shù)據(jù)的字符數(shù)，不顯示鑒別數(shù)據(jù)本身；5) 平臺僅允許授權(quán)用戶能夠查閱和修改鑒別數(shù)據(jù)；6) 錯誤鑒別信息的用戶不能登錄平臺，在登錄鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，用戶賬號或登錄點失效；7) 在達(dá)到一定的用戶不活動的時間間隔之后，平臺終止交互式會話，不能繼續(xù)執(zhí)行授權(quán)操作；1）-7）項均滿足為“符合”，其他情況為“不符合”。6.2.3.2 訪問控制訪問控制的測試評價方法與預(yù)期結(jié)果如下：a) 測試評價方法：1) 查看產(chǎn)品說明文檔有關(guān)訪問控制的相關(guān)描述，檢查是否支持基于用戶角色或權(quán)限、IP等安全屬性的訪問控制；2) 以授權(quán)用戶身份登錄智能家居應(yīng)用服務(wù)平臺，驗證設(shè)置的基于用戶角色或權(quán)限、IP等安全屬性的訪問控制功能是否有效。b) 結(jié)果判定：1) 能夠設(shè)置基于用戶角色或權(quán)限、IP等安全屬性的訪問控制策略，并且有效。1）項滿足為“符合”，其他情況為“不符合”。6.2.3.3 安全審計安全審計的測試評價方法與預(yù)期結(jié)果如下：a) 測試評價方法：1) 以授權(quán)用戶身份登錄智能家居應(yīng)用服務(wù)平臺執(zhí)行5.1.3.3安全審計要求a）中相關(guān)的操作，查看審計記錄，檢查平臺是否對操作進(jìn)行了審計記錄；2) 查看審計記錄內(nèi)容中是否包括事件發(fā)生的日期和時間、事件類型、主體身份標(biāo)識、事件描述及結(jié)果等信息；3) 以授權(quán)用戶身份登錄平臺，查看平臺是否為僅授權(quán)用戶提供讀取審計記錄的功能，并且審計記錄便于用戶理解；4) 以授權(quán)用戶身份登錄平臺，以一定的條件對審計數(shù)據(jù)進(jìn)行查詢或排序操作，檢查查詢或排序結(jié)果是否正確；5) 分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行刪除審計記錄的操作，驗證平臺是否僅允許授權(quán)用戶執(zhí)行刪除審計記錄的操作，是否能夠防止修改審計記錄的操作；6) 檢查審計記錄是否存儲在永久性存儲介質(zhì)中，不斷執(zhí)行可審計操作將審計數(shù)據(jù)空間寫滿，查看平臺是否采取相應(yīng)的措施，如：忽略可審計事件或覆蓋所存儲的最早的審計記錄等。b) 結(jié)果判定：1) 智能家居應(yīng)用服務(wù)平臺對支持的事件發(fā)生產(chǎn)生了審計記錄；2) 審計記錄內(nèi)容中包括事件發(fā)生的日期和時間、事件類型、主體身份標(biāo)識、事件描述及結(jié)果等信息；3) 僅授權(quán)用戶能夠讀取審計記錄，審計記錄的內(nèi)容便于用戶理解；4) 根據(jù)條件對審計數(shù)據(jù)進(jìn)行查詢或排序的結(jié)果正確；5) 審計記錄不能被修改，只有授權(quán)用戶才能夠刪除審計記錄；6) 審計記錄存儲在永久性存儲介質(zhì)中，當(dāng)審計空間已滿時，平臺采取相應(yīng)的措施。1）-6）項均滿足為“符合”，其他情況為“不符合”。6.2.3.4 安全管理安全管理的測試評價方法與預(yù)期結(jié)果如下：a) 測試評價方法：1) 查看授權(quán)用戶所能執(zhí)行的操作與其角色的授權(quán)操作是否一致；2) 修改該用戶的角色為系統(tǒng)允許的其他角色后，查看用戶所能執(zhí)行的操作與修改后的角色的授權(quán)操作是否一致；3) 以授權(quán)用戶和非授權(quán)用戶登錄平臺，分別嘗試執(zhí)行5.1.3.4安全管理b)中的安全功能數(shù)據(jù)管理操作，驗證是否只有授權(quán)用戶能夠執(zhí)行上述操作；4) 設(shè)置組件間時間同步的策略，驗證各組件是否能夠進(jìn)行時間同步；5) 以授權(quán)用戶身份登錄平臺，執(zhí)行設(shè)備遠(yuǎn)程管理功能，包括設(shè)備注冊、遠(yuǎn)程功能的鎖定及解鎖等，檢查操作是否成功；6) 查看產(chǎn)品說明文檔有關(guān)智能家居設(shè)備身份標(biāo)識的相關(guān)描述，檢查平臺是否使用隨機化數(shù)據(jù)標(biāo)識設(shè)備，并且標(biāo)識具有唯一性。b) 結(jié)果判定：1) 平臺提供維護(hù)安全角色及其權(quán)限的功能，能夠把用戶與角色進(jìn)行關(guān)聯(lián)；2) 平臺僅允許授權(quán)用戶執(zhí)行5.1.3.4安全管理b)中的安全功能數(shù)據(jù)管理操作；3) 平臺能夠為不同組件之間提供時間同步；4) 平臺提供對設(shè)備遠(yuǎn)程管理功能，包括設(shè)備注冊、遠(yuǎn)程功能的鎖定及解鎖；5) 平臺使用隨機化數(shù)據(jù)標(biāo)識智能家居設(shè)備身份，身份標(biāo)識具有唯一性。1）-5）項均滿足為“符合”，其他情況為“不符合”。6.2.3.5 數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)的測試評價方法與預(yù)期結(jié)果如下：a) 測試評價方法：1) 以授權(quán)用戶身份登錄智能家居應(yīng)用服務(wù)平臺，執(zhí)行修改系統(tǒng)配置、修改安全策略等操作，同時使用抓包工具截取數(shù)據(jù)進(jìn)行分析，查看數(shù)據(jù)是否不為明文；2) 查看產(chǎn)品說明文檔有關(guān)重要數(shù)據(jù)存儲完整性和保密性的相關(guān)描述，驗證相關(guān)保護(hù)措施是否有效；3) 查看產(chǎn)品說明文檔有關(guān)數(shù)據(jù)有效性檢驗相關(guān)描述，驗證相關(guān)數(shù)據(jù)有效性檢驗功能是否有效。b) 預(yù)期結(jié)果：1) 獲取的安全功能數(shù)據(jù)不為明文；2) 重要數(shù)據(jù)存儲完整性和保密性保護(hù)措施有效；3) 數(shù)據(jù)有效性檢驗功能有效。1）-3）項均滿足為“符合”，其他情況為“不符合”。6.2.4 通信安全通信安全的測試評價方法與預(yù)期結(jié)果如下：a) 測試評價方法：1) 查看產(chǎn)品說明文檔中有關(guān)智能家居設(shè)備、應(yīng)用服務(wù)平臺、控制端等組件之間通信和數(shù)據(jù)傳輸安全所采取措施的描述，驗證通信雙方在建立連接之前，是否進(jìn)行了雙向身份驗證；2) 驗證產(chǎn)品說明文檔中描述的通信和數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo(hù)措施是否有效；3) 查看產(chǎn)品說明文檔中有關(guān)確保通信雙方傳輸數(shù)據(jù)防重放有關(guān)措施，驗證措施是否有效；4) 檢查各組件之間會話超時，是否需要進(jìn)行重新身份驗證。b) 預(yù)期結(jié)果：1) 智能家居設(shè)備、應(yīng)用服務(wù)平臺、控制端等組件之間通信雙方在建立連接之前，進(jìn)行了雙向身份驗證；2) 通信和數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo(hù)措施有效；3) 通信雙方傳輸數(shù)據(jù)防重放有關(guān)措施有效；4) 各組件之間會話超時，需要進(jìn)行重新身份驗證。1）-4）項均滿足為“符合”，其他情況為“不符合”。6.2.5 個人信息保護(hù)個人信息保護(hù)的檢測方法和結(jié)果判定如下：a) 檢測方法：1) 檢查智能家居產(chǎn)品是否存在收集個人信息的行為，在終端或系統(tǒng)上構(gòu)造個人信息；2) 若存在收集個人信息的行為，則判斷其是否向用戶明示收集目的和范圍，且征得了用戶同意；3) 檢查產(chǎn)品是否提供數(shù)據(jù)采集關(guān)閉功能；4) 檢查產(chǎn)品是否在用戶同意后開啟通話錄音、本地錄音、拍照/攝像、定位等操作；5) 檢查產(chǎn)品是否在用戶同意后讀取用戶本機號碼、通訊錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等。6) 檢查智能家居產(chǎn)品是否可以修改存儲的個人信息；7) 若產(chǎn)品可以修改個人信息，嘗試修改終端個人信息，查看是否明示了個人信息的加工目的和范圍；8) 采用授權(quán)的方式修改個人信息；9) 采用非授權(quán)的方式修改個人信息；10) 查看產(chǎn)品上存儲的個人信息數(shù)據(jù)，檢查是否采用了匿名化處理。11) 若個人信息進(jìn)行共享或轉(zhuǎn)讓時，測嘗試轉(zhuǎn)移個人信息，查看是否與約定目的和用途相同，傳輸前是否經(jīng)過雙向驗證過程；12) 檢查產(chǎn)品是否在用戶同意后讀取并傳送用戶通訊錄、通話記錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等；13) 使用抓包工具檢查網(wǎng)絡(luò)傳輸數(shù)據(jù)。14) 檢查智能家居產(chǎn)品是否提供自動刪除或授權(quán)手動刪除所有個人信息選項，可刪除所有個人信息；15) 嘗試使用授權(quán)用戶刪除所有個人信息，并檢查刪除后產(chǎn)品狀態(tài)；16) 嘗試恢復(fù)所有個人信息數(shù)據(jù)，檢查信息是否徹底刪除； 17) 執(zhí)行智能家居產(chǎn)品翻新操作，檢查存儲器中個人信息數(shù)據(jù)是否完全清除；b) 結(jié)果判定：1) 產(chǎn)品不存在收集個人信息的行為；若存在收集個人信息的行為，則收集前明示用戶收集目的和范圍，并在收集前經(jīng)過了用戶同意；2) 產(chǎn)品提供數(shù)據(jù)采集關(guān)閉功能；3) 產(chǎn)品應(yīng)在用戶同意后開啟通話錄音、本地錄音、拍照/攝像、定位等操作；4) 產(chǎn)品應(yīng)在用戶同意后讀取用戶本機號碼、通訊錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等；5) 智能家居產(chǎn)品個人信息文件，非授權(quán)實體禁止訪問；6) 智能家居產(chǎn)品內(nèi)個人信息數(shù)據(jù)，采用了匿名化處理；7) 智能家居產(chǎn)品無轉(zhuǎn)移個人信息行為，或者若可以轉(zhuǎn)移個人信息，則在轉(zhuǎn)移前明示了個人信息轉(zhuǎn)移目的和范圍，且與實際情況相符，且轉(zhuǎn)移數(shù)據(jù)前經(jīng)過了雙方身份認(rèn)證和授權(quán)；8) 智能家居產(chǎn)品提供給授權(quán)用戶個人信息刪除選項；9) 若產(chǎn)品授權(quán)用戶可刪除所有個人信息，且所有個人信息在刪除后無法恢復(fù)；1）-9）項均滿足為“符合”，其他情況為“不符合”。6.3 安全保障評價6.3.1 開發(fā)6.3.1.1 安全架構(gòu)安全架構(gòu)描述的檢測方法和結(jié)果判定如下：a) 檢測方法：檢查安全構(gòu)架文檔等證據(jù)是否準(zhǔn)確描述安全構(gòu)架的要求。b) 結(jié)果判定：1) 開發(fā)者提供了產(chǎn)品安全功能安全架構(gòu)的描述；2) 開發(fā)者提供的產(chǎn)品安全功能安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的要求。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.1.2 功能規(guī)范功能規(guī)范的測試方法和判定結(jié)果如下：a) 檢測方法：檢查功能規(guī)范文檔等證據(jù)是否準(zhǔn)確描述功能規(guī)范的要求。b) 判定結(jié)果：1) 開發(fā)者提供了產(chǎn)品功能規(guī)范文檔；2) 功能規(guī)范文檔的內(nèi)容滿足要求。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.1.3 產(chǎn)品設(shè)計產(chǎn)品設(shè)計檢測方法和判定結(jié)果如下：a) 檢測方法：檢查產(chǎn)品設(shè)計文檔等證據(jù)是否準(zhǔn)確描述產(chǎn)品設(shè)計的要求。b) 判定結(jié)果：1) 開發(fā)者提供了產(chǎn)品設(shè)計文檔；2) 設(shè)計文檔的內(nèi)容滿足要求。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.2 指導(dǎo)性文檔檢測方法和判定結(jié)果如下：a) 檢測方法：檢查產(chǎn)品管理員指南、用戶指南等文檔是否準(zhǔn)確描述操作用戶指南的要求。b) 判定結(jié)果：1) 開發(fā)者提供了管理員指南、用戶指南文檔；2) 文檔的內(nèi)容滿足要求。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.3 生命周期支持6.3.3.1 配置管理能力檢測方法和判定結(jié)果如下：a) 檢測方法：1) 檢查配置管理文檔是否準(zhǔn)確描述配置管理的要求；2) 現(xiàn)場檢查是否使用了配置管理系統(tǒng)，且現(xiàn)場檢查的配置項在配置管理系統(tǒng)中均作出唯一性的標(biāo)識。b) 判定結(jié)果：1) 開發(fā)者提供了配置管理文檔；2) 配置文檔的內(nèi)容滿足要求。3) 使用了配置管理系統(tǒng)，且現(xiàn)場檢查的配置項在配置管理系統(tǒng)中均作出唯一性的標(biāo)識。1）-3）項均滿足為“符合”，其他情況為“不符合”。6.3.3.2 配置管理范圍檢測方法和判定結(jié)果如下：a) 檢測方法：1) 檢查是開發(fā)者提供的配置項列表；2) 檢查文檔內(nèi)容是否包括了組成智能家居產(chǎn)品的全部配置項及相應(yīng)的開發(fā)者。b) 判定結(jié)果：1) 開發(fā)者提供了配置項列表；2) 文檔的內(nèi)容涵蓋組成智能家居產(chǎn)品的全部配置項及相應(yīng)的開發(fā)者。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.3.3 交付程序檢測方法和判定結(jié)果如下：a) 檢測方法：1) 檢查交付文檔是否準(zhǔn)確描述交付程序的要求；2) 現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付TOE。b) 判定結(jié)果：1) 開發(fā)者提供了交付文檔；2) 交付文檔的內(nèi)容滿足要求。3) 現(xiàn)場檢查使用了配置管理系統(tǒng)，且現(xiàn)場檢查的配置項在配置管理系統(tǒng)中均作出唯一性的標(biāo)識。1）-3）項均滿足為“符合”，其他情況為“不符合”。6.3.4 測試6.3.4.1 覆蓋檢測方法和判定結(jié)果如下：a) 檢測方法：檢查開發(fā)者應(yīng)提供測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的測試與功能范圍中所描述的智能家居產(chǎn)品的安全功能間的對應(yīng)性。b) 判定結(jié)果：1) 開發(fā)者提供了測試覆蓋文檔；2) 覆蓋文檔的內(nèi)容滿足要求。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.4.2 功能測試檢測方法和判定結(jié)果如下：a) 檢測方法：1) 檢查開發(fā)者提供的測試文檔，是否包括測試計劃、預(yù)期測試結(jié)果和實際測試結(jié)果；2) 檢查測試計劃是否標(biāo)識了要測試的安全功能，是否描述了每個安全功能的測試方案；3) 檢查實際測試結(jié)果是否表明每個被測試的安全功能能按照規(guī)定進(jìn)行運作。b) 判定結(jié)果：1) 開發(fā)者提供了測試文檔；2) 測試文檔的內(nèi)容滿足要求。1）-2）項均滿足為“符合”，其他情況為“不符合”。6.3.4.3 獨立測試-抽樣檢測方法和判定結(jié)果如下：a) 檢測方法：1) 檢查開發(fā)者提供的測試資源；2) 檢查并測試開發(fā)者提供的測試集合是否與其自測功能時使用的測試集合相一致。b) 判定結(jié)果：1) 開發(fā)者提供的資源滿足要求；1）項滿足為“符合”，其他情況為“不符合”。6.3.5 脆弱性評定檢測方法和判定結(jié)果如下：a) 檢測方法：1) 檢查開發(fā)者提供的脆弱性分析文檔，是否對所標(biāo)識的安全功能進(jìn)行了強度分析；2) 從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機制定義的安全強度級別，對智能家居產(chǎn)品進(jìn)行脆弱性分信息。b) 判定結(jié)果：1) 開發(fā)者提供了脆弱性分析文檔2) 通過實施的測試確認(rèn)明顯的脆弱性都已被處置。1）-2）項滿足為“符合”，其他情況為“不符合”。附錄A （資料性附錄）典型應(yīng)用場景本附錄描述了智能家居產(chǎn)品的典型應(yīng)用場景，智能家居設(shè)備可參考但不局限于此應(yīng)用場景。智能家居設(shè)備采用了“控制端應(yīng)用-智能家居應(yīng)用服務(wù)平臺-智能家居設(shè)備”的系統(tǒng)架構(gòu)，這個環(huán)節(jié)中存在三個基本角色：控制端應(yīng)用（用戶），智能家居應(yīng)用服務(wù)平臺、智能家居設(shè)備。用戶通過控制端應(yīng)用對智能家居設(shè)備進(jìn)行遠(yuǎn)程控制，智能家居設(shè)備通過無線網(wǎng)絡(luò)等方式直接或者間接接入到智能家居應(yīng)用服務(wù)平臺，其主要架構(gòu)如下圖2所示。智能家居設(shè)備通常由控制端應(yīng)用進(jìn)行配網(wǎng)操作，并連接智能家居應(yīng)用服務(wù)平臺進(jìn)行激活。之后由控制端應(yīng)用發(fā)起，三者互相交互實現(xiàn)用戶和智能家居產(chǎn)品的綁定操作。此時該用戶為智能家居設(shè)備的主控制用戶，主控制用戶可以在控制端應(yīng)用中將設(shè)備控制權(quán)限授權(quán)給其他用戶。用戶在對設(shè)備進(jìn)行遠(yuǎn)程控制時，通過控制端應(yīng)用向智能家居應(yīng)用服務(wù)平臺發(fā)送控制指令，平臺在檢測控制指令的合法性，驗證權(quán)限后，將指令下發(fā)給智能家居產(chǎn)品執(zhí)行。圖A.1智能家居典型應(yīng)用場景附錄B （資料性附錄）智能家居產(chǎn)品威脅分析智能家居產(chǎn)品涉及智能家居設(shè)備、控制端應(yīng)用和智能家居應(yīng)用服務(wù)平臺三類關(guān)鍵角色，其安全威脅主要來自智能家居產(chǎn)品自身威脅，三類角色通信過程中安全威脅，控制端應(yīng)用和智能家居應(yīng)用服務(wù)平臺業(yè)務(wù)相關(guān)安全威脅等。威脅來源描述智能家居設(shè)備1) 偽造身份攻擊2) 非授權(quán)讀取3) 惡意代碼攻擊4) 設(shè)備配置泄露、篡改、丟失5) 仿冒設(shè)備6) 審計數(shù)據(jù)丟失控制端應(yīng)用1) 拒絕服務(wù)攻擊，重放攻擊，中間人攻擊；2) 仿冒用戶訪問3) 非授權(quán)綁定；4) 配置數(shù)據(jù)泄露篡改、破壞；5) 應(yīng)用反編譯，動態(tài)調(diào)試，重打包。6) 業(yè)務(wù)邏輯漏洞智能家居應(yīng)用服務(wù)平臺軟件1) 拒絕服務(wù)攻擊；2) 仿冒用戶訪問；3) 非授權(quán)控制，非授權(quán)訪問；4) 用戶數(shù)據(jù)泄露；5) 審計失效6) 軟件漏洞7) 業(yè)務(wù)邏輯漏洞通信安全1) 通信數(shù)據(jù)泄露、篡改、丟失2) 拒絕服務(wù)攻擊，重放攻擊，中間人攻擊；3) 虛假路由；4) 通信協(xié)議漏洞個人信息保護(hù)1) 信息泄露、篡改、丟失2) 過度采集3) 信息濫用24附錄C （資料性附錄）智能家居個人信息分類智能家居上的個人信息可劃分為信息通信類、使用記錄類、賬戶設(shè)置類、媒體影音類、傳感采集類、金融支付類和設(shè)備信息類共7種類型。1）信息通信類信息通信類數(shù)據(jù)是指用戶用于發(fā)起或接受通信以及在通信過程中產(chǎn)生的個人數(shù)據(jù)，例如：通訊錄、即時通信消息等。2）使用記錄類使用記錄類數(shù)據(jù)是指用戶在使用過程中間接產(chǎn)生的、反映用戶操作記錄的數(shù)據(jù)，例如：日志數(shù)據(jù)、瀏覽記錄等。3）賬戶設(shè)置類賬戶設(shè)置類數(shù)據(jù)是指與特定用戶相關(guān)聯(lián)的登錄信息，以及僅限于該用戶訪問或適用于該用戶的賬戶配置，例如：認(rèn)證數(shù)據(jù)、配置數(shù)據(jù)等。4）媒體影音類媒體影音類數(shù)據(jù)是指用戶借助智能家居系統(tǒng)創(chuàng)作產(chǎn)生，或者在外部生成并通過存儲卡、網(wǎng)絡(luò)傳輸、無線外圍接口傳輸或計算機同步等方式進(jìn)入終端的各類多媒體數(shù)據(jù)，例如：照片數(shù)據(jù)、音視頻數(shù)據(jù)。5）傳感采集類傳感采集類數(shù)據(jù)是指系統(tǒng)傳感功能采集到的、反映周邊環(huán)境和使用者體征狀況的數(shù)據(jù)，例如：位置數(shù)據(jù)、生物特征數(shù)據(jù)、健康數(shù)據(jù)等。6）金融支付類金融支付類數(shù)據(jù)是指用戶借助智能家居系統(tǒng)參與金融交易或支付活動而產(chǎn)生的數(shù)據(jù)，例如：交易記錄、支付數(shù)據(jù)等。7）設(shè)備信息類設(shè)備信息類數(shù)據(jù)是指可唯一識別特定終端的硬件標(biāo)識信息，以及反映用戶使用偏好的軟件信息，例如：設(shè)備標(biāo)識數(shù)據(jù)等。