《智能家居产品信息安全评价规范》（2018RB001）-征求意见稿

资源描述

ICS点击此处添加ICS号点击此处添加中国标准文献分类号RB中华人民共和国认证认可行业标准RB/T XXXXXXXXX智能家居产品信息安全评价规范Information security evaluation specifications for smart home products点击此处添加与国际标准一致性程度的标识（征求意见稿）（本稿完成日期：2019.5）XXXX - XX - XX发布XXXX - XX - XX实施国家市场监督管理总局国家认证认可监督管理委员会发布RB/T XXXXXXXXX目录前言3智能家居产品信息安全评价规范41 范围42 规范性引用文件43 术语、定义和缩略语43.1 术语和定义43.2 缩略语54 产品描述55 评价要求55.1 总体说明55.2 安全功能要求55.3 安全保障要求96 评价方法116.1 总体说明116.2 安全功能评价116.3 安全保障评价18附录A （资料性附录）典型应用场景22附录B （资料性附录）智能家居产品威胁分析23附录C （资料性附录）智能家居个人信息分类24前言本规范按照GB/T 1.1-2009的规则起草。本规范由国家认证认可监督管理委员会提出并归口。本规范起草单位：中国网络安全审查技术与认证中心、信息产业信息安全测评中心、中国科学院信息工程研究所、海尔优家智能科技（北京）有限公司、中国信息通信研究院本规范主要起草人：智能家居产品信息安全评价规范1 范围本规范规定了智能家居产品的安全评价要求及评价方法。本标准适用于第三方检测机构和认证机构对智能家居产品进行检测、评估和认证，也可以在智能家居产品的设计和实现时参照使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069 信息安全技术术语GB/T 35134 物联网智能家居设备描述方法GB/T 35273 信息安全技术个人信息安全规范GB/T 18336 信息技术安全技术信息技术安全评估准则3 术语、定义和缩略语3.1 术语和定义GB/T 25069、GB/T 35134、GB/T 35273和GB/T 18336界定的术语和定义适用于本文件。3.1.1智能家居设备 smart home device具有网络通信功能，可自描述、发布并能与其他节点进行交互操作的家居设备。GB/T 35134，定义3.23.1.2控制终端control terminals在智能家居系统中，具有通过人机交互界面，实现对智能家居设备控制操作的设备。3.1.3控制端应用 control application 由用户操作，与网络服务连接，能对智能设备进行远程操作应用程序。3.1.4智能家居应用服务平台软件application platform software of smart home能够提供各种智能家居设备联网接入，实现对智能家居设备进行管理、操作、控制等应用和提供web服务的软件系统。3.1.5设备添加device adding将操作员与智能家居设备建立关联关系的行为。操作员可对添加的设备进行远程查询、管理和控制等操作。3.1.6设备绑定 device binding操作员对智能家居设备进行网络配置，使其连接到网络中，并申请将其关联到自己账户的行为。绑定成功后，该操作员与智能家居设备建立了从属关系，该操作员为此设备的主控制账户。3.2 缩略语HTTPS HypertextTransfer ProtocoloverSecureSocketLayer 安全文本传输协议ID Identification/Identity 身份标识IP Internet protocol 网络互联的协议4 产品描述本规范在分析智能家居的典型应用场景（参见附录A）和智能家居产品安全威胁分析（参见附录B）的基础上，从产品检测认证的角度提出了评估对象为智能家居产品的。智能家居产品包括智能家居设备、控制端应用、智能家居应用服务平台软件。其中，智能家居设备包括智能家居网关设备、控制设备以及智能家居应用设备。5 评价要求5.1 总体说明本评价规范分为安全功能要求和安全保障要求。其中，安全功能要求是对智能家居产品应具备的安全功能提出要求，包括智能家居设备、控制端应用和智能家居应用服务平台软件的保护要求；安全保障要求针对智能家居产品的开发和使用文档等内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。5.2 安全功能要求5.2.1 智能家居设备5.2.1.1 设备添加与绑定用户使用智能家居设备前，须先将设备绑定或添加到自己的账户下，然后可在控制端应用中对设备进行管理和操控。具体技术要求如下：a) 智能家居设备只有在与合法账户绑定之后，方可执行网络控制操作；b) 一个智能家居设备一次只能被一个账户绑定，该绑定账户作为设备的主控制账户，绑定后设备重置前不允许其他账户绑定；c) 其他账户如要添加智能家居设备，须获得主控制账户显式授权，添加后才可获取智能家居设备控制权；d) 若智能家居设备被新的账户绑定成功后，之前所有添加该设备的用户账户下的该设备应自行消失。5.2.1.2 安全审计智能家居设备发生网络交互时，设备应记录日志，并传输到服务平台。安全要求如下：a) 应对各项操作进行审计记录，可记录事件包括但不限于：1）对鉴别机制的任何使用（如智能家居设备与应用服务平台相互验证成功与失败等）；2）通信会话的终止（包括设备的正常终止和非正常终止）；3）对智能家居设备的关键操作；b) 事件记录应包含事件的日期和时间、事件的类型、主体标识、客体标识和结果；c) 本地审计记录应有相应的保护措施，防止存储空间超过阈值后审计记录被破坏；d) 应保证审计记录向服务平台转移时的传输安全；5.2.1.3 数据保护智能家居设备对存储在设备内的重要数据提供安全防护，要求如下：a) 应保护重要数据（如网络认证证书和会话ID）的存储安全；b) 本地缓存的重要数据应采用加密存储、限制读取等安全保护措施；c) 智能家居设备网络端口不应泄露重要信息，防止攻击者获取后降低攻击难度；d) 应对接收到的控制数据进行识别，确保只执行安全的数值，如果数据超过了设定的限值，应采取相应的动作（如不执行或进入自保护状态等）。5.2.1.4 固件安全智能家居设备的固件通过网络或本地接口升级，升级后新版本固件代替原固件，在设备启动后运行。安全要求如下：a) 应对固件进行安全保护，确保固件不能通过串口读取等常规手段从设备中提取出来，固件中的关键代码及重要数据（如鉴别数据、密钥等）应防篡改、防逆向；b) 对固件升级包、固件升级版本进行完整性校验和来源可靠性验证，校验通过后才允许升级；c) 固件升级失败应保持升级前固件版本，不允许固件升级到比当前版本更低的版本；d) 应确保使用的第三方组件和开源软件不存在已知高危安全漏洞。5.2.1.5 其他要求（如适用）智能家居设备通过具备网关能力的设备连接到家庭网络和云端服务平台，针对于这类提供网关能力的特殊设备，即智能家居网关设备，增加如下的安全要求：a) 智能家居网关设备应支持智能家居设备的注册和管理；b) 智能家居网关设备应支持防火墙功能；c) 智能家居网关设备应具备连接白名单限制能力，包括MAC地址和IP绑定功能、基于源地址的数据包拦截功能、基于IP的恶意网址拦截功能；d) 智能家居网关设备应具备带宽控制功能并采用安全路由协议。5.2.2 控制端应用 5.2.2.1 身份鉴别a) 控制端应用在连接智能家居应用服务平台进行操作前，需要用户通过身份鉴别，并提供登录失败处理措施；b) 具备口令强度和口令时效性检查机制；c) 修改或找回口令时，应具备验证机制；d) 控制端应用应具备登录超时后的锁定或者注销功能；e) 控制端应用应使用验证码、限定请求频率等方式防止利用注册、登录、找回密码等功能发起暴力破解、拒绝服务等攻击。5.2.2.2 数据保护a) 控制端应用应采取安全措施保证重要数据存储的机密性和完整性。5.2.2.3 应用安全a) 控制端应用应具备防逆向反编译功能，抵抗对关键代码和数据的分析，避免关键业务逻辑被破解分析和篡改；b) 控制端应用应关闭调试日志输出功能，防止关键逻辑信息和重要数据信息泄露；c) 控制端应用应确保使用的第三方库和开源组件不存在已公布的高危漏洞；d) 控制端应用应提供数据有效性检验功能，保证通过人机接口输入或者通信接口输入的内容符合处理要求。5.2.2.4 运行安全a) 控制端应用在安装过程中，不得安装功能说明文档中未说明的额外功能；b) 控制端应用应包含可有效表征供应者或者开发者身份的签名信息、软件属性信息；c) 卸载时应能删除安装和使用过程中产生的资源文件、配置文件、用户数据和其他临时文件。5.2.3 智能家居应用服务平台软件5.2.3.1 标识与鉴别a) 系统应为登录用户提供唯一的身份标识，同时用户标识与该用户的所有可审计事件相关联；b) 系统应对登录用户进行身份鉴别，并且鉴别信息具有复杂度要求并定期更换；c) 鉴别进行时，系统应仅向用户提供非鉴别数据（如圆点、星号等）作为鉴别数据输入的反馈；d) 系统应保护鉴别信息不被未授权查阅和修改；e) 系统应提供登录鉴别失败处理功能，并采取结束会话、限制非法登录次数等措施；f) 应提供用户登录超时锁定或注销功能，终止会话后,用户需要重新登录。5.2.3.2 访问控制系统应支持基于安全属性或确定的属性组（用户角色）实现访问控制。5.2.3.3 安全审计a) 系统应提供安全审计功能，并应能审计以下事件：1) 审计功能的启动和关闭；2) 导出、另存和删除审计日志；3) 设置鉴别尝试次数；4) 设置审计日志报警门限值；5) 鉴别机制的使用；6) 用户的创建、修改、删除与授权；7) 通过控制端应用对智能家居设备进行的操作；8) 设备状态的变化；9) 其他系统参数配置和管理安全功能行为的操作。b) 每个审计记录应至少包括事件发生的日期和时间、事件类型、主客体标识、事件描述及结果等信息；c) 应仅为授权用户提供读取审计记录的功能，并且应以便于用户理解的方式提供审计记录；d) 应提供根据条件对审计数据进行查询或排序的功能；e) 应保护存储的审计记录，禁止对审计记录进行修改，以及避免未授权的删除；f) 审计信息应存储在永久性存储介质中，当审计存储空间被耗尽时，系统应采取措施，如：忽略可审计事件或覆盖所存储的最早的审计记录等。5.2.3.4 安全管理a) 应能够对安全角色及其权限进行维护，并将用户和角色进行关联；b) 系统应仅允许授权管理员执行下列安全功能数据管理操作：1) 设置鉴别尝试次数；2) 设置审计日志告警门限值；3) 设置会话超时时间；4) 其他系统参数配置操作。c) 若产品存在多个组件，应为不同组件之间提供时间同步的功能；d) 系统应提供对设备远程管理功能，包括设备注册、远程功能的锁定及解锁。e) 应使用随机化数据标识智能家居设备身份，设备标识应具有唯一性。5.2.3.5 数据保护a) 应采用HTTPS等安全传输协议，保证WEB访问传输安全；b) 系统应提供安全保护措施，保证重要数据在存储过程中的完整性和保密性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据和个人信息等；c) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。5.2.4 通信安全智能家居设备、应用服务平台、控制端应用其中任意两方在通信时，应保证通信和数据传输的安全性，具体安全要求如下：a) 在通信双方建立连接之前，应进行双向身份验证；b) 应采取安全保护措施，保证通信和数据传输的保密性和完整性；c) 应采用适当的安全机制（如序列号）来确保通信双方传输数据没有被重放；d) 重新建立会话或会话超时，应重新进行身份验证。5.2.5 个人信息保护智能家居产品应在采取相关措施保护用户个人信息，具体要求如下：a) 智能家居产品对个人信息的收集应在提供相应服务的同时进行。若出于业务需要收集个人信息，应在收集前明示收集的目的和范围，并且只有在用户同意之后才可继续，且应提供关闭数据采集功能。b) 应在用户同意后开启通话录音、本地录音、拍照/摄像、定位等。c) 应在用户同意后读取用户通讯录、通话记录、上网记录、日程表数据、定位信息等。d) 智能家居产品不应有未向用户明示且未经用户同意，擅自修改用户数据的行为，包括在用户无确认情况下删除或修改用户通讯录、通话记录、短信数据、日程表数据的行为。e) 应提供访问控制机制，对个人信息设置适当操作权限，防止未经授权的访问和操作。f) 应对用户个人信息数据采取适当的匿名化措施，避免存储其原始数据。g) 智能家居产品进行个人信息数据共享和转让时，应按照约定目的和用途进行，传输数据之前应对双方进行身份认证和授权。应在用户同意下读取并传输用户数据，防止出现在未向用户明示且未经用户同意，传输用户数据行为。e) 智能家居产品对处理阶段所使用的个人信息的缓存数据，应该提供自动删除或者授权用户手动删除功能。5.3 安全保障要求5.3.1 开发5.3.1.1 安全架构开发者应提供产品的安全功能的安全架构描述，安全架构描述应满足以下要求：a) 与产品设计文档中对安全功能实施抽象描述的级别一致；b) 描述与安全功能要求一致的智能家居产品安全功能的安全域；c) 描述智能家居产品安全功能初始化过程为何是安全的；d) 证实智能家居产品安全功能能够防止被破坏；e) 证实智能家居产品安全功能能够防止安全特性被旁路。5.3.1.2 功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a) 开发者应提供产品的功能规范文档；b) 功能规范应对智能家居产品的范围及产品的应用环境和使用限制进行描述；c) 功能规范应对智能家居的安全功能及其外部接口进行描述；d) 功能规范应是内在一致的；5.3.1.3 产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：a) 应按子系统描述安全功能的结构；b) 应描述每一个子系统所提供的安全功能特性，并标识子系统的所有接口以及外部可见的接口；c) 描述安全功能所有子系统间的相互作用；d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。5.3.2 指导性文档开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，并且对每一种用户角色进行描述，具体应满足以下要求：a) 在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息；b) 如何以安全的方式使用智能家居产品提供的可用接口；c) 明确各类操作用户可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值；d) 每一种与需要执行的管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的改变；e) 操作用户指南应标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系；f) 充分实现安全目的所必须执行的安全策略；5.3.3 生命周期支持5.3.3.1 配置管理能力开发者的配置管理应满足以下要求：a) 开发者应使用配置管理系统并提供配置管理文档；b) 配置管理文档至少包括配置项清单和配置管理计划；c) 配置管理计划应描述配置管理系统是如何使用的，并确保实施的配置管理与配置管理计划一致；d) 配置项清单用来描述组成智能家居产品的配置项，并确保所有配置项具备唯一的标识；5.3.3.2 配置管理范围a) 开发者应提供智能家居产品配置项列表，并说明配置项的开发者；b) 配置项列表至少包括智能家居产品、安全保障要求的评估证据和产品的组成部分。5.3.3.3 交付程序a) 开发者应将智能家居产品安全的安装、生成和启动等必须的程序文档化；b) 开发者应把智能家居产品或其部分交付给用户的程序文档化；5.3.4 测试5.3.4.1 覆盖开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能范围中所描述的智能家居产品的安全功能间的对应性。5.3.4.2 功能测试a) 开发者应对安全功能进行测试，并文档化测试结果；b) 开发者应提供测试文档，测试文档包括测试计划、测试程序描述、预期的测试结果和实际的测试结果。5.3.4.3 独立测试-抽样a) 开发者应提供用于测试的产品；b) 独立第三方检测机构针对开发者提供的产品及配套的资源进行抽样测试。5.3.5 脆弱性评定a) 基于已标识的潜在脆弱性，智能家居产品能够抵御具有基本攻击潜力攻击者的攻击。6 评价方法6.1 总体说明测试评价方法与评价规范要求一一对应，它给出具体的方法来智能家居产品是否满足评价规范要求。评价方法分为检测和评估，其中，检测内容为产品的安全功能要求，评估内容为产品的安全保障要求。6.2 安全功能评价6.2.1 智能家居设备6.2.1.1 设备添加与绑定设备添加与绑定的检测方法和结果判定如下：a) 检测方法：1) 将设备与某个帐户进行绑定操作，检查只有成功绑定之后才能进行网络控制操作；2) 设备与某个用户绑定后，尝试其他合法帐户进行绑定操作，查看是否可以绑定成功；是否满足主控制账户绑定的要求；3) 设备添加其他帐户，检查是否需要主控制帐户显示授权；4) 将设备进行重新绑定，检查之前添加的帐户下该设备是否消失。b) 结果判定：1) 设备经用户账户绑定后才可进行网络控制；2) 设备一次只能被一个账户绑定；3) 其他账户添加设备，须经过主控制账户授权；4) 设备被重新绑定后，之前所有添加该设备的用户账户下的该设备自行消失；1）-4）项均满足为“符合”，其他情况为“不符合”。6.2.1.2 安全审计安全审计的检测方法和结果判定如下：a) 检测方法：1) 检查设备是否实现了本地审计功能；2) 设备绑定成功后，尝试与应用服务后台建立会话连接，查看设备是否可以记录设备与平台之间的验证成功与否事件，然后终止与后台的通信会话，检查设备是否可以记录会话终止事件；查看设备记录是否包括启停等重要操作事件。3) 检查审计记录是否包括事件的日期和时间、事件的类型（连接验证、会话终止）、主客体标识和结果信息；4) 检查设备审计记录是否有保护措施，是否及时发送到后台，防止记录被破坏或覆盖。5) 检查设备侧审计记录向服务平台传输时，验证是否有保护措施；b) 结果判定：1) 设备本地实现了审计日志的功能；2) 设备能够对各项操作事件进行了完备的记录；3) 设备采用了有效安全机制保护本地存储的审计数据；4) 设备采用了有效安全机制保护审计数据的传输；1）-4）项均满足为“符合”，其他情况为“不符合”。6.2.1.3 数据保护数据保护的检测方法和结果判定如下：a) 检测方法：1) 检查设备对本地存储的关键数据和音视频数据是否采取了适宜的安全保护措施（如加密）；2) 扫描设备的通信端口,检查是否能获取重要信息；3) 构造非正常请求数据发送给设备，如安全数值之外的控制数据，验证设备是否予以识别并进行自保护。b) 结果判定：1) 设备采用了适宜的安全机制存储关键数据和其他重要数据；2) 设备网络端口没有泄露重要信息；3) 只执行安全的控制指令数值。1）-3）项均满足为“符合”，其他情况为“不符合”。6.2.1.4 固件安全固件安全的检测方法和结果判定如下：a) 检测方法：1) 启动设备，检查设备是否对固件进行了完整性验证。2) 验证设备的固件是否做了安全防护措施，如是否关闭硬件调试端口等；3) 验证固件的关键代码及重要数据是否做了有效保护措施，如混淆、加密等代码安全保护；4) 在升级服务器中添加用于测试的新版本固件,启动固件升级,检查固件升级前是否对固件升级包、固件升级版本进行完整性校验并验证来源可靠性；5) 尝试推送不正确的固件给设备，使升级失败，验证设备是否恢复到之前可用的版本；6) 尝试推送比设备当前固件版本更低的固件给设备，验证能否升级成功；7) 扫描设备固件的漏洞，检查是否存在已知高危安全漏洞。b) 结果判定：1) 设备固件安全加载和运行，不存在重大漏洞；2) 设备固件不能通过常规手段提取，且关键部分防篡改和逆向；3) 设备能安全升级固件，不升级到不安全的固件；1）-3）项均满足为“符合”，其他情况为“不符合”。6.2.1.5 其他要求（如适用）对具有网关功能的设备的补充要求检测方法和结果判定如下：a) 检测方法：1) 检查设备功能列表是否支持对智能家居设备的注册和管理，以组建子网络；2) 检查设备是否可配置防火墙，设置防火墙过滤规则，验证满足过滤规则的数据包是否能被拦截；3) 对设备实施ARP欺骗攻击，验证是否可通过绑定MAC地址和IP来防止；4) 产生源地址属于内部网络的数据包，经外部接口向子网络内部发送，验证设备是否能过滤该数据包；5) 产生源地址不属于内部网络的数据包，由内部网络向外发送，验证设备是否能过滤该数据包；6) 设置白名单限制IP地址，由该IP地址向网络内部发送数据，验证设备是否能拦截；7) 设置白名单限制IP地址，由网络内部向该IP地址发送数据，验证设备是否能拦截；8) 检查设备带宽控制功能，验证是否能限制网络上行和下行带宽；9) 检查设备采用的路由协议是否安全。b) 结果判定：1) 设备提供了智能家居设备注册和管理功能；2) 设备提供了防火墙和白名单限制；3) 设备具备带宽控制功能并采用了安全路由协议。1）-3）项均满足为“符合”，其他情况为“不符合”。6.2.2 控制端应用6.2.2.1 身份鉴别身份鉴别的测试评价方法如下：a) 测试方法1) 在应用软件中进行连接智能家居应用服务平台软件操作，检查是否需要用户登录；2) 使用错误的用户鉴别凭据连续进行登录，检查是否有登录失败处理措施；3) 检查控制端应用是否具备口令强度检查机制（如口令长度、复杂度要求等）；4) 检查控制端应用是否具备口令时效性检查机制（如主动提示用户定期修改口令等）；5) 检查控制端应用在修改或找回口令时，是否具备验证机制；6) 用户登录后长时间不进行任何操作；7) 检查控制端应用是否对注册、登录、找回密码过程采用验证码机制进行验证，是否对请求发起频率进行限制。b) 结果判定1) 只有登录成功的用户才能连接智能家居应用服务平台软件进行操作；2) 具备鉴别失败处理措施；3) 具备口令强度检查机制，初始化及修改用户口令时，能够根据策略检查输入口令的长度和复杂度，若输入的口令不符合口令长度要求，能够提示并要求重新设置有效口令；4) 具备口令时效性检查机制，能够主动提示用户修改口令；5) 修改或找回口令时，具备验证机制，以防止口令的被非授权获取或者篡改；6) 登录超时后能进行锁定或者注销；7) 在进行注册、登录、找回密码过程中需要进行验证码验证，具备请求频率限制机制，防止短时间频繁请求。1）-7）项均满足为“符合”，其他情况为“不符合”。6.2.2.2 数据保护数据存储保护的测试评价方法如下：a) 测试方法：1) 读取重要数据存储文件，查看数据是否以明文形式存入文件中；2) 对重要数据完整性进行破坏，查看控制端应用是否对完整性收到破坏的数据进行检测和提示；b) 结果判定1) 不以明文的形式将重要数据存入文件；2) 控制端应用可对数据进行完整性检测，并提示告警信息；1）-2）项均满足为“符合”，其他情况为“不符合”。6.2.2.3 应用安全应用安全的测试评价方法如下：a) 测试方法：1) 检查控制端应用是否具备防逆向反编译功能；2) 检查控制端应用是否输出调试日志；3) 检查控制端应用使用的第三方库和开源组件是否存在已公布的高危漏洞；4) 构造错误的或畸形的输入内容，检查控制端应用是否具有数据有效性检验功能。b) 结果判定1) 控制端应用具备防逆向反编译功能；2) 控制端应用不输出调试日志；3) 控制端应用使用的第三方库和组件不存在已公布的高危漏洞；4) 控制端应用具备数据有效性检验功能，功能处理错误的或畸形的输入数据。1）-4）项均满足为“符合”，其他情况为“不符合”。6.2.2.4 运行安全运行安全的测试评价方法如下：a) 测试方法：1) 检查控制端应用安装功能，根据安装功能说明文档进行比对；2) 检查控制端应用是否包含供应者或开发者的签名信息、软件属性信息；3) 卸载控制端应用，检查其安装和使用过程中生成的资源文件、配置文件、用户数据和其他临时文件是否完全删除。b) 结果判定1) 控制端应用仅安装功能说明文档中说明的功能；2) 包含供应者或开发者的签名信息、软件属性信息；3) 卸载时能够将其按安装和使用过程中生成的数据完全删除。1）-3）项均满足为“符合”，其他情况为“不符合”。6.2.3 智能家居应用服务平台软件6.2.3.1 标识与鉴别标识与鉴别的测试评价方法与预期结果如下：a) 测试评价方法：1) 以授权用户身份登录智能家居应用服务平台，查看用户信息，尝试新建一个相同用户标识的用户，检查操作是否能够成功；2) 查看用户审计事件信息，检查用户标识与用户的审计事件是否进行了关联；3) 以正确的鉴别信息和错误的鉴别信息，分别尝试登录平台，检查是否仅在输入正确的鉴别信息才能登录平台并执行相关操作；4) 检查平台是否提供了鉴别信息复杂度检查功能，满足复杂度要求的鉴别信息能够设置成功，不满足复杂度要求的鉴别信息不能设置成功；5) 执行登录操作，输入鉴别数据，检查平台是否仅显示输入的鉴别数据的字符数，但不显示鉴别数据本身；6) 使用授权用户和非授权用户分别登录平台，检查是否仅允许授权用户能够查阅和修改鉴别数据；7) 以错误的鉴别信息尝试登录平台，检查是否被拒绝进入平台，继续进行一定次数的登录尝试，验证在达到允许的鉴别失败尝试次数后，平台是否使该用户账号或登录点失效；8) 以授权用户身份登录平台后停止操作，检查经过一段时间间隔后，该用户能否继续执行授权操作。b) 结果判定：1) 智能家居应用服务平台不能新建相同用户标识的用户，用户标识与用户的审计事件进行了关联；2) 平台仅允许输入正确的鉴别信息才能登录平台并执行相关操作；3) 平台提供了鉴别信息复杂度检查功能，仅满足复杂度要求的鉴别信息能够设置成功；4) 平台仅显示输入的鉴别数据的字符数，不显示鉴别数据本身；5) 平台仅允许授权用户能够查阅和修改鉴别数据；6) 错误鉴别信息的用户不能登录平台，在登录鉴别尝试失败连续达到指定次数后，用户账号或登录点失效；7) 在达到一定的用户不活动的时间间隔之后，平台终止交互式会话，不能继续执行授权操作；1）-7）项均满足为“符合”，其他情况为“不符合”。6.2.3.2 访问控制访问控制的测试评价方法与预期结果如下：a) 测试评价方法：1) 查看产品说明文档有关访问控制的相关描述，检查是否支持基于用户角色或权限、IP等安全属性的访问控制；2) 以授权用户身份登录智能家居应用服务平台，验证设置的基于用户角色或权限、IP等安全属性的访问控制功能是否有效。b) 结果判定：1) 能够设置基于用户角色或权限、IP等安全属性的访问控制策略，并且有效。1）项满足为“符合”，其他情况为“不符合”。6.2.3.3 安全审计安全审计的测试评价方法与预期结果如下：a) 测试评价方法：1) 以授权用户身份登录智能家居应用服务平台执行5.1.3.3安全审计要求a）中相关的操作，查看审计记录，检查平台是否对操作进行了审计记录；2) 查看审计记录内容中是否包括事件发生的日期和时间、事件类型、主体身份标识、事件描述及结果等信息；3) 以授权用户身份登录平台，查看平台是否为仅授权用户提供读取审计记录的功能，并且审计记录便于用户理解；4) 以授权用户身份登录平台，以一定的条件对审计数据进行查询或排序操作，检查查询或排序结果是否正确；5) 分别以授权用户和非授权用户身份执行删除审计记录的操作，验证平台是否仅允许授权用户执行删除审计记录的操作，是否能够防止修改审计记录的操作；6) 检查审计记录是否存储在永久性存储介质中，不断执行可审计操作将审计数据空间写满，查看平台是否采取相应的措施，如：忽略可审计事件或覆盖所存储的最早的审计记录等。b) 结果判定：1) 智能家居应用服务平台对支持的事件发生产生了审计记录；2) 审计记录内容中包括事件发生的日期和时间、事件类型、主体身份标识、事件描述及结果等信息；3) 仅授权用户能够读取审计记录，审计记录的内容便于用户理解；4) 根据条件对审计数据进行查询或排序的结果正确；5) 审计记录不能被修改，只有授权用户才能够删除审计记录；6) 审计记录存储在永久性存储介质中，当审计空间已满时，平台采取相应的措施。1）-6）项均满足为“符合”，其他情况为“不符合”。6.2.3.4 安全管理安全管理的测试评价方法与预期结果如下：a) 测试评价方法：1) 查看授权用户所能执行的操作与其角色的授权操作是否一致；2) 修改该用户的角色为系统允许的其他角色后，查看用户所能执行的操作与修改后的角色的授权操作是否一致；3) 以授权用户和非授权用户登录平台，分别尝试执行5.1.3.4安全管理b)中的安全功能数据管理操作，验证是否只有授权用户能够执行上述操作；4) 设置组件间时间同步的策略，验证各组件是否能够进行时间同步；5) 以授权用户身份登录平台，执行设备远程管理功能，包括设备注册、远程功能的锁定及解锁等，检查操作是否成功；6) 查看产品说明文档有关智能家居设备身份标识的相关描述，检查平台是否使用随机化数据标识设备，并且标识具有唯一性。b) 结果判定：1) 平台提供维护安全角色及其权限的功能，能够把用户与角色进行关联；2) 平台仅允许授权用户执行5.1.3.4安全管理b)中的安全功能数据管理操作；3) 平台能够为不同组件之间提供时间同步；4) 平台提供对设备远程管理功能，包括设备注册、远程功能的锁定及解锁；5) 平台使用随机化数据标识智能家居设备身份，身份标识具有唯一性。1）-5）项均满足为“符合”，其他情况为“不符合”。6.2.3.5 数据保护数据保护的测试评价方法与预期结果如下：a) 测试评价方法：1) 以授权用户身份登录智能家居应用服务平台，执行修改系统配置、修改安全策略等操作，同时使用抓包工具截取数据进行分析，查看数据是否不为明文；2) 查看产品说明文档有关重要数据存储完整性和保密性的相关描述，验证相关保护措施是否有效；3) 查看产品说明文档有关数据有效性检验相关描述，验证相关数据有效性检验功能是否有效。b) 预期结果：1) 获取的安全功能数据不为明文；2) 重要数据存储完整性和保密性保护措施有效；3) 数据有效性检验功能有效。1）-3）项均满足为“符合”，其他情况为“不符合”。6.2.4 通信安全通信安全的测试评价方法与预期结果如下：a) 测试评价方法：1) 查看产品说明文档中有关智能家居设备、应用服务平台、控制端等组件之间通信和数据传输安全所采取措施的描述，验证通信双方在建立连接之前，是否进行了双向身份验证；2) 验证产品说明文档中描述的通信和数据传输的保密性和完整性保护措施是否有效；3) 查看产品说明文档中有关确保通信双方传输数据防重放有关措施，验证措施是否有效；4) 检查各组件之间会话超时，是否需要进行重新身份验证。b) 预期结果：1) 智能家居设备、应用服务平台、控制端等组件之间通信双方在建立连接之前，进行了双向身份验证；2) 通信和数据传输的保密性和完整性保护措施有效；3) 通信双方传输数据防重放有关措施有效；4) 各组件之间会话超时，需要进行重新身份验证。1）-4）项均满足为“符合”，其他情况为“不符合”。6.2.5 个人信息保护个人信息保护的检测方法和结果判定如下：a) 检测方法：1) 检查智能家居产品是否存在收集个人信息的行为，在终端或系统上构造个人信息；2) 若存在收集个人信息的行为，则判断其是否向用户明示收集目的和范围，且征得了用户同意；3) 检查产品是否提供数据采集关闭功能；4) 检查产品是否在用户同意后开启通话录音、本地录音、拍照/摄像、定位等操作；5) 检查产品是否在用户同意后读取用户本机号码、通讯录、上网记录、日程表数据、定位信息等。6) 检查智能家居产品是否可以修改存储的个人信息；7) 若产品可以修改个人信息，尝试修改终端个人信息，查看是否明示了个人信息的加工目的和范围；8) 采用授权的方式修改个人信息；9) 采用非授权的方式修改个人信息；10) 查看产品上存储的个人信息数据，检查是否采用了匿名化处理。11) 若个人信息进行共享或转让时，测尝试转移个人信息，查看是否与约定目的和用途相同，传输前是否经过双向验证过程；12) 检查产品是否在用户同意后读取并传送用户通讯录、通话记录、上网记录、日程表数据、定位信息等；13) 使用抓包工具检查网络传输数据。14) 检查智能家居产品是否提供自动删除或授权手动删除所有个人信息选项，可删除所有个人信息；15) 尝试使用授权用户删除所有个人信息，并检查删除后产品状态；16) 尝试恢复所有个人信息数据，检查信息是否彻底删除； 17) 执行智能家居产品翻新操作，检查存储器中个人信息数据是否完全清除；b) 结果判定：1) 产品不存在收集个人信息的行为；若存在收集个人信息的行为，则收集前明示用户收集目的和范围，并在收集前经过了用户同意；2) 产品提供数据采集关闭功能；3) 产品应在用户同意后开启通话录音、本地录音、拍照/摄像、定位等操作；4) 产品应在用户同意后读取用户本机号码、通讯录、上网记录、日程表数据、定位信息等；5) 智能家居产品个人信息文件，非授权实体禁止访问；6) 智能家居产品内个人信息数据，采用了匿名化处理；7) 智能家居产品无转移个人信息行为，或者若可以转移个人信息，则在转移前明示了个人信息转移目的和范围，且与实际情况相符，且转移数据前经过了双方身份认证和授权；8) 智能家居产品提供给授权用户个人信息删除选项；9) 若产品授权用户可删除所有个人信息，且所有个人信息在删除后无法恢复；1）-9）项均满足为“符合”，其他情况为“不符合”。6.3 安全保障评价6.3.1 开发6.3.1.1 安全架构安全架构描述的检测方法和结果判定如下：a) 检测方法：检查安全构架文档等证据是否准确描述安全构架的要求。b) 结果判定：1) 开发者提供了产品安全功能安全架构的描述；2) 开发者提供的产品安全功能安全架构的描述满足证据的内容和形式的要求。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.1.2 功能规范功能规范的测试方法和判定结果如下：a) 检测方法：检查功能规范文档等证据是否准确描述功能规范的要求。b) 判定结果：1) 开发者提供了产品功能规范文档；2) 功能规范文档的内容满足要求。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.1.3 产品设计产品设计检测方法和判定结果如下：a) 检测方法：检查产品设计文档等证据是否准确描述产品设计的要求。b) 判定结果：1) 开发者提供了产品设计文档；2) 设计文档的内容满足要求。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.2 指导性文档检测方法和判定结果如下：a) 检测方法：检查产品管理员指南、用户指南等文档是否准确描述操作用户指南的要求。b) 判定结果：1) 开发者提供了管理员指南、用户指南文档；2) 文档的内容满足要求。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.3 生命周期支持6.3.3.1 配置管理能力检测方法和判定结果如下：a) 检测方法：1) 检查配置管理文档是否准确描述配置管理的要求；2) 现场检查是否使用了配置管理系统，且现场检查的配置项在配置管理系统中均作出唯一性的标识。b) 判定结果：1) 开发者提供了配置管理文档；2) 配置文档的内容满足要求。3) 使用了配置管理系统，且现场检查的配置项在配置管理系统中均作出唯一性的标识。1）-3）项均满足为“符合”，其他情况为“不符合”。6.3.3.2 配置管理范围检测方法和判定结果如下：a) 检测方法：1) 检查是开发者提供的配置项列表；2) 检查文档内容是否包括了组成智能家居产品的全部配置项及相应的开发者。b) 判定结果：1) 开发者提供了配置项列表；2) 文档的内容涵盖组成智能家居产品的全部配置项及相应的开发者。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.3.3 交付程序检测方法和判定结果如下：a) 检测方法：1) 检查交付文档是否准确描述交付程序的要求；2) 现场检查开发者是否使用一定的交付程序交付TOE。b) 判定结果：1) 开发者提供了交付文档；2) 交付文档的内容满足要求。3) 现场检查使用了配置管理系统，且现场检查的配置项在配置管理系统中均作出唯一性的标识。1）-3）项均满足为“符合”，其他情况为“不符合”。6.3.4 测试6.3.4.1 覆盖检测方法和判定结果如下：a) 检测方法：检查开发者应提供测试覆盖文档，在测试覆盖证据中，是否表明测试文档中所标识的测试与功能范围中所描述的智能家居产品的安全功能间的对应性。b) 判定结果：1) 开发者提供了测试覆盖文档；2) 覆盖文档的内容满足要求。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.4.2 功能测试检测方法和判定结果如下：a) 检测方法：1) 检查开发者提供的测试文档，是否包括测试计划、预期测试结果和实际测试结果；2) 检查测试计划是否标识了要测试的安全功能，是否描述了每个安全功能的测试方案；3) 检查实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。b) 判定结果：1) 开发者提供了测试文档；2) 测试文档的内容满足要求。1）-2）项均满足为“符合”，其他情况为“不符合”。6.3.4.3 独立测试-抽样检测方法和判定结果如下：a) 检测方法：1) 检查开发者提供的测试资源；2) 检查并测试开发者提供的测试集合是否与其自测功能时使用的测试集合相一致。b) 判定结果：1) 开发者提供的资源满足要求；1）项满足为“符合”，其他情况为“不符合”。6.3.5 脆弱性评定检测方法和判定结果如下：a) 检测方法：1) 检查开发者提供的脆弱性分析文档，是否对所标识的安全功能进行了强度分析；2) 从用户可能破坏安全策略的明显途径出发，按照安全机制定义的安全强度级别，对智能家居产品进行脆弱性分信息。b) 判定结果：1) 开发者提供了脆弱性分析文档2) 通过实施的测试确认明显的脆弱性都已被处置。1）-2）项满足为“符合”，其他情况为“不符合”。附录A （资料性附录）典型应用场景本附录描述了智能家居产品的典型应用场景，智能家居设备可参考但不局限于此应用场景。智能家居设备采用了“控制端应用-智能家居应用服务平台-智能家居设备”的系统架构，这个环节中存在三个基本角色：控制端应用（用户），智能家居应用服务平台、智能家居设备。用户通过控制端应用对智能家居设备进行远程控制，智能家居设备通过无线网络等方式直接或者间接接入到智能家居应用服务平台，其主要架构如下图2所示。智能家居设备通常由控制端应用进行配网操作，并连接智能家居应用服务平台进行激活。之后由控制端应用发起，三者互相交互实现用户和智能家居产品的绑定操作。此时该用户为智能家居设备的主控制用户，主控制用户可以在控制端应用中将设备控制权限授权给其他用户。用户在对设备进行远程控制时，通过控制端应用向智能家居应用服务平台发送控制指令，平台在检测控制指令的合法性，验证权限后，将指令下发给智能家居产品执行。图A.1智能家居典型应用场景附录B （资料性附录）智能家居产品威胁分析智能家居产品涉及智能家居设备、控制端应用和智能家居应用服务平台三类关键角色，其安全威胁主要来自智能家居产品自身威胁，三类角色通信过程中安全威胁，控制端应用和智能家居应用服务平台业务相关安全威胁等。威胁来源描述智能家居设备1) 伪造身份攻击2) 非授权读取3) 恶意代码攻击4) 设备配置泄露、篡改、丢失5) 仿冒设备6) 审计数据丢失控制端应用1) 拒绝服务攻击，重放攻击，中间人攻击；2) 仿冒用户访问3) 非授权绑定；4) 配置数据泄露篡改、破坏；5) 应用反编译，动态调试，重打包。6) 业务逻辑漏洞智能家居应用服务平台软件1) 拒绝服务攻击；2) 仿冒用户访问；3) 非授权控制，非授权访问；4) 用户数据泄露；5) 审计失效6) 软件漏洞7) 业务逻辑漏洞通信安全1) 通信数据泄露、篡改、丢失2) 拒绝服务攻击，重放攻击，中间人攻击；3) 虚假路由；4) 通信协议漏洞个人信息保护1) 信息泄露、篡改、丢失2) 过度采集3) 信息滥用24附录C （资料性附录）智能家居个人信息分类智能家居上的个人信息可划分为信息通信类、使用记录类、账户设置类、媒体影音类、传感采集类、金融支付类和设备信息类共7种类型。1）信息通信类信息通信类数据是指用户用于发起或接受通信以及在通信过程中产生的个人数据，例如：通讯录、即时通信消息等。2）使用记录类使用记录类数据是指用户在使用过程中间接产生的、反映用户操作记录的数据，例如：日志数据、浏览记录等。3）账户设置类账户设置类数据是指与特定用户相关联的登录信息，以及仅限于该用户访问或适用于该用户的账户配置，例如：认证数据、配置数据等。4）媒体影音类媒体影音类数据是指用户借助智能家居系统创作产生，或者在外部生成并通过存储卡、网络传输、无线外围接口传输或计算机同步等方式进入终端的各类多媒体数据，例如：照片数据、音视频数据。5）传感采集类传感采集类数据是指系统传感功能采集到的、反映周边环境和使用者体征状况的数据，例如：位置数据、生物特征数据、健康数据等。6）金融支付类金融支付类数据是指用户借助智能家居系统参与金融交易或支付活动而产生的数据，例如：交易记录、支付数据等。7）设备信息类设备信息类数据是指可唯一识别特定终端的硬件标识信息，以及反映用户使用偏好的软件信息，例如：设备标识数据等。

展开阅读全文