《《智能家居產(chǎn)品信息安全評價規(guī)范》（2018RB001）-征求意見稿》由會員分享，可在線閱讀，更多相關《《智能家居產(chǎn)品信息安全評價規(guī)范》（2018RB001）-征求意見稿（24頁珍藏版）》請在裝配圖網(wǎng)上搜索。

ICS點擊此處添加ICS號 點擊此處添加中國標準文獻分類號 RB 中華人民共和國認證認可行業(yè)標準 RB/T XXXXX—XXXX 智能家居產(chǎn)品信息安全評價規(guī)范 Information security evaluation specifications for smart home products 點擊此處添加與國際標準一致性程度的標識 （征求意見稿） （本稿完成日期：2019.5） XXXX - XX - XX發(fā)布 XXXX - XX - XX實施 國家市場監(jiān)督管理總局 國家認證認可監(jiān)督管理委員會 發(fā)布 RB/T XXXXX—XXXX 目錄 前言 3 智能家居產(chǎn)品信息安全評價規(guī)范 4 1 范圍 4 2 規(guī)范性引用文件 4 3 術語、定義和縮略語 4 3.1 術語和定義 4 3.2 縮略語 5 4 產(chǎn)品描述 5 5 評價要求 5 5.1 總體說明 5 5.2 安全功能要求 5 5.3 安全保障要求 9 6 評價方法 11 6.1 總體說明 11 6.2 安全功能評價 11 6.3 安全保障評價 18 附　錄　A （資料性附錄） 典型應用場景 22 附　錄　B （資料性附錄） 智能家居產(chǎn)品威脅分析 23 附　錄　C （資料性附錄） 智能家居個人信息分類 24 前言 本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。 本規(guī)范由國家認證認可監(jiān)督管理委員會提出并歸口。 本規(guī)范起草單位：中國網(wǎng)絡安全審查技術與認證中心、信息產(chǎn)業(yè)信息安全測評中心、中國科學院信息工程研究所、海爾優(yōu)家智能科技（北京）有限公司、中國信息通信研究院 本規(guī)范主要起草人： 智能家居產(chǎn)品信息安全評價規(guī)范 1　 范圍 本規(guī)范規(guī)定了智能家居產(chǎn)品的安全評價要求及評價方法。 本標準適用于第三方檢測機構和認證機構對智能家居產(chǎn)品進行檢測、評估和認證，也可以在智能家居產(chǎn)品的設計和實現(xiàn)時參照使用。 2　 規(guī)范性引用文件 下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 25069 信息安全技術 術語 GB/T 35134 物聯(lián)網(wǎng)智能家居 設備描述方法 GB/T 35273 信息安全技術 個人信息安全規(guī)范 GB/T 18336 信息技術 安全技術 信息技術安全評估準則 3　 術語、定義和縮略語 3.1　 術語和定義 GB/T 25069、GB/T 35134、GB/T 35273和GB/T 18336界定的術語和定義適用于本文件。 3.1.1　 智能家居設備 smart home device 具有網(wǎng)絡通信功能，可自描述、發(fā)布并能與其他節(jié)點進行交互操作的家居設備。 [GB/T 35134，定義3.2] 3.1.2　 控制終端control terminals 在智能家居系統(tǒng)中，具有通過人機交互界面，實現(xiàn)對智能家居設備控制操作的設備。 3.1.3　 控制端應用 control application 由用戶操作，與網(wǎng)絡服務連接，能對智能設備進行遠程操作應用程序。 3.1.4　 智能家居應用服務平臺軟件application platform software of smart home 能夠提供各種智能家居設備聯(lián)網(wǎng)接入，實現(xiàn)對智能家居設備進行管理、操作、控制等應用和提供web服務的軟件系統(tǒng)。 3.1.5　 設備添加device adding 將操作員與智能家居設備建立關聯(lián)關系的行為。操作員可對添加的設備進行遠程查詢、管理和控制等操作。 3.1.6　 設備綁定 device binding 操作員對智能家居設備進行網(wǎng)絡配置，使其連接到網(wǎng)絡中，并申請將其關聯(lián)到自己賬戶的行為。綁定成功后，該操作員與智能家居設備建立了從屬關系，該操作員為此設備的主控制賬戶。 3.2　 縮略語 HTTPS Hypertext?Transfer ?Protocol?over?Secure?Socket?Layer 安全文本傳輸協(xié)議 ID Identification/Identity 身份標識 IP Internet protocol 網(wǎng)絡互聯(lián)的協(xié)議 4　 產(chǎn)品描述 本規(guī)范在分析智能家居的典型應用場景（參見附錄A）和智能家居產(chǎn)品安全威脅分析（參見附錄B）的基礎上，從產(chǎn)品檢測認證的角度提出了評估對象為智能家居產(chǎn)品的。 智能家居產(chǎn)品包括智能家居設備、控制端應用、智能家居應用服務平臺軟件。其中，智能家居設備包括智能家居網(wǎng)關設備、控制設備以及智能家居應用設備。 5　 評價要求 5.1　 總體說明 本評價規(guī)范分為安全功能要求和安全保障要求。其中，安全功能要求是對智能家居產(chǎn)品應具備的安全功能提出要求，包括智能家居設備、控制端應用和智能家居應用服務平臺軟件的保護要求；安全保障要求針對智能家居產(chǎn)品的開發(fā)和使用文檔等內(nèi)容提出具體的要求，例如開發(fā)、指導性文檔、生命周期支持、測試、脆弱性評定等。 5.2　 安全功能要求 5.2.1　 智能家居設備 5.2.1.1　 設備添加與綁定 用戶使用智能家居設備前，須先將設備綁定或添加到自己的賬戶下，然后可在控制端應用中對設備進行管理和操控。具體技術要求如下： a) 智能家居設備只有在與合法賬戶綁定之后，方可執(zhí)行網(wǎng)絡控制操作； b) 一個智能家居設備一次只能被一個賬戶綁定，該綁定賬戶作為設備的主控制賬戶，綁定后設備重置前不允許其他賬戶綁定； c) 其他賬戶如要添加智能家居設備，須獲得主控制賬戶顯式授權，添加后才可獲取智能家居設備控制權； d) 若智能家居設備被新的賬戶綁定成功后，之前所有添加該設備的用戶賬戶下的該設備應自行消失。 5.2.1.2　 安全審計 智能家居設備發(fā)生網(wǎng)絡交互時，設備應記錄日志，并傳輸?shù)椒掌脚_。安全要求如下： a) 應對各項操作進行審計記錄，可記錄事件包括但不限于： 1）對鑒別機制的任何使用（如智能家居設備與應用服務平臺相互驗證成功與失敗等）； 2）通信會話的終止（包括設備的正常終止和非正常終止）； 3）對智能家居設備的關鍵操作； b) 事件記錄應包含事件的日期和時間、事件的類型、主體標識、客體標識和結(jié)果； c) 本地審計記錄應有相應的保護措施，防止存儲空間超過閾值后審計記錄被破壞； d) 應保證審計記錄向服務平臺轉(zhuǎn)移時的傳輸安全； 5.2.1.3　 數(shù)據(jù)保護 智能家居設備對存儲在設備內(nèi)的重要數(shù)據(jù)提供安全防護，要求如下： a) 應保護重要數(shù)據(jù)（如網(wǎng)絡認證證書和會話ID）的存儲安全； b) 本地緩存的重要數(shù)據(jù)應采用加密存儲、限制讀取等安全保護措施； c) 智能家居設備網(wǎng)絡端口不應泄露重要信息，防止攻擊者獲取后降低攻擊難度； d) 應對接收到的控制數(shù)據(jù)進行識別，確保只執(zhí)行安全的數(shù)值，如果數(shù)據(jù)超過了設定的限值，應采取相應的動作（如不執(zhí)行或進入自保護狀態(tài)等）。 5.2.1.4　 固件安全 智能家居設備的固件通過網(wǎng)絡或本地接口升級，升級后新版本固件代替原固件，在設備啟動后運行。安全要求如下： a) 應對固件進行安全保護，確保固件不能通過串口讀取等常規(guī)手段從設備中提取出來，固件中的關鍵代碼及重要數(shù)據(jù)（如鑒別數(shù)據(jù)、密鑰等）應防篡改、防逆向； b) 對固件升級包、固件升級版本進行完整性校驗和來源可靠性驗證，校驗通過后才允許升級； c) 固件升級失敗應保持升級前固件版本，不允許固件升級到比當前版本更低的版本； d) 應確保使用的第三方組件和開源軟件不存在已知高危安全漏洞。 5.2.1.5　 其他要求（如適用） 智能家居設備通過具備網(wǎng)關能力的設備連接到家庭網(wǎng)絡和云端服務平臺，針對于這類提供網(wǎng)關能力的特殊設備，即智能家居網(wǎng)關設備，增加如下的安全要求： a) 智能家居網(wǎng)關設備應支持智能家居設備的注冊和管理； b) 智能家居網(wǎng)關設備應支持防火墻功能； c) 智能家居網(wǎng)關設備應具備連接白名單限制能力，包括MAC地址和IP綁定功能、基于源地址的數(shù)據(jù)包攔截功能、基于IP的惡意網(wǎng)址攔截功能； d) 智能家居網(wǎng)關設備應具備帶寬控制功能并采用安全路由協(xié)議。 5.2.2　 控制端應用 5.2.2.1　 身份鑒別 a) 控制端應用在連接智能家居應用服務平臺進行操作前，需要用戶通過身份鑒別，并提供登錄失敗處理措施； b) 具備口令強度和口令時效性檢查機制； c) 修改或找回口令時，應具備驗證機制； d) 控制端應用應具備登錄超時后的鎖定或者注銷功能； e) 控制端應用應使用驗證碼、限定請求頻率等方式防止利用注冊、登錄、找回密碼等功能發(fā)起暴力破解、拒絕服務等攻擊。 5.2.2.2　 數(shù)據(jù)保護 a) 控制端應用應采取安全措施保證重要數(shù)據(jù)存儲的機密性和完整性。 5.2.2.3　 應用安全 a) 控制端應用應具備防逆向反編譯功能，抵抗對關鍵代碼和數(shù)據(jù)的分析，避免關鍵業(yè)務邏輯被破解分析和篡改； b) 控制端應用應關閉調(diào)試日志輸出功能，防止關鍵邏輯信息和重要數(shù)據(jù)信息泄露； c) 控制端應用應確保使用的第三方庫和開源組件不存在已公布的高危漏洞； d) 控制端應用應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或者通信接口輸入的內(nèi)容符合處理要求。 5.2.2.4　 運行安全 a) 控制端應用在安裝過程中，不得安裝功能說明文檔中未說明的額外功能； b) 控制端應用應包含可有效表征供應者或者開發(fā)者身份的簽名信息、軟件屬性信息； c) 卸載時應能刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件。 5.2.3　 智能家居應用服務平臺軟件 5.2.3.1　 標識與鑒別 a) 系統(tǒng)應為登錄用戶提供唯一的身份標識，同時用戶標識與該用戶的所有可審計事件相關聯(lián)； b) 系統(tǒng)應對登錄用戶進行身份鑒別，并且鑒別信息具有復雜度要求并定期更換； c) 鑒別進行時，系統(tǒng)應僅向用戶提供非鑒別數(shù)據(jù)（如圓點、星號等）作為鑒別數(shù)據(jù)輸入的反饋； d) 系統(tǒng)應保護鑒別信息不被未授權查閱和修改； e) 系統(tǒng)應提供登錄鑒別失敗處理功能，并采取結(jié)束會話、限制非法登錄次數(shù)等措施； f) 應提供用戶登錄超時鎖定或注銷功能，終止會話后,用戶需要重新登錄。 5.2.3.2　 訪問控制 系統(tǒng)應支持基于安全屬性或確定的屬性組（用戶角色）實現(xiàn)訪問控制。 5.2.3.3　 安全審計 a) 系統(tǒng)應提供安全審計功能，并應能審計以下事件： 1) 審計功能的啟動和關閉； 2) 導出、另存和刪除審計日志； 3) 設置鑒別嘗試次數(shù)； 4) 設置審計日志報警門限值； 5) 鑒別機制的使用； 6) 用戶的創(chuàng)建、修改、刪除與授權； 7) 通過控制端應用對智能家居設備進行的操作； 8) 設備狀態(tài)的變化； 9) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 b) 每個審計記錄應至少包括事件發(fā)生的日期和時間、事件類型、主客體標識、事件描述及結(jié)果等信息； c) 應僅為授權用戶提供讀取審計記錄的功能，并且應以便于用戶理解的方式提供審計記錄； d) 應提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能； e) 應保護存儲的審計記錄，禁止對審計記錄進行修改，以及避免未授權的刪除； f) 審計信息應存儲在永久性存儲介質(zhì)中，當審計存儲空間被耗盡時，系統(tǒng)應采取措施，如：忽略可審計事件或覆蓋所存儲的最早的審計記錄等。 5.2.3.4　 安全管理 a) 應能夠?qū)Π踩巧捌錂嘞捱M行維護，并將用戶和角色進行關聯(lián)； b) 系統(tǒng)應僅允許授權管理員執(zhí)行下列安全功能數(shù)據(jù)管理操作： 1) 設置鑒別嘗試次數(shù)； 2) 設置審計日志告警門限值； 3) 設置會話超時時間； 4) 其他系統(tǒng)參數(shù)配置操作。 c) 若產(chǎn)品存在多個組件，應為不同組件之間提供時間同步的功能； d) 系統(tǒng)應提供對設備遠程管理功能，包括設備注冊、遠程功能的鎖定及解鎖。 e) 應使用隨機化數(shù)據(jù)標識智能家居設備身份，設備標識應具有唯一性。 5.2.3.5　 數(shù)據(jù)保護 a) 應采用HTTPS等安全傳輸協(xié)議，保證WEB訪問傳輸安全； b) 系統(tǒng)應提供安全保護措施，保證重要數(shù)據(jù)在存儲過程中的完整性和保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)和個人信息等； c) 應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求。 5.2.4　 通信安全 智能家居設備、應用服務平臺、控制端應用其中任意兩方在通信時，應保證通信和數(shù)據(jù)傳輸?shù)陌踩?，具體安全要求如下： a) 在通信雙方建立連接之前，應進行雙向身份驗證； b) 應采取安全保護措施，保證通信和數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕? c) 應采用適當?shù)陌踩珯C制（如序列號）來確保通信雙方傳輸數(shù)據(jù)沒有被重放； d) 重新建立會話或會話超時，應重新進行身份驗證。 5.2.5　 個人信息保護 智能家居產(chǎn)品應在采取相關措施保護用戶個人信息，具體要求如下： a) 智能家居產(chǎn)品對個人信息的收集應在提供相應服務的同時進行。若出于業(yè)務需要收集個人信息，應在收集前明示收集的目的和范圍，并且只有在用戶同意之后才可繼續(xù)，且應提供關閉數(shù)據(jù)采集功能。 b) 應在用戶同意后開啟通話錄音、本地錄音、拍照/攝像、定位等。 c) 應在用戶同意后讀取用戶通訊錄、通話記錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等。 d) 智能家居產(chǎn)品不應有未向用戶明示且未經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)的行為，包括在用戶無確認情況下刪除或修改用戶通訊錄、通話記錄、短信數(shù)據(jù)、日程表數(shù)據(jù)的行為。 e) 應提供訪問控制機制，對個人信息設置適當操作權限，防止未經(jīng)授權的訪問和操作。 f) 應對用戶個人信息數(shù)據(jù)采取適當?shù)哪涿胧?，避免存儲其原始?shù)據(jù)。 g) 智能家居產(chǎn)品進行個人信息數(shù)據(jù)共享和轉(zhuǎn)讓時，應按照約定目的和用途進行，傳輸數(shù)據(jù)之前應對雙方進行身份認證和授權。應在用戶同意下讀取并傳輸用戶數(shù)據(jù)，防止出現(xiàn)在未向用戶明示且未經(jīng)用戶同意，傳輸用戶數(shù)據(jù)行為。 e) 智能家居產(chǎn)品對處理階段所使用的個人信息的緩存數(shù)據(jù)，應該提供自動刪除或者授權用戶手動刪除功能。 5.3　 安全保障要求 5.3.1　 開發(fā) 5.3.1.1　 安全架構 開發(fā)者應提供產(chǎn)品的安全功能的安全架構描述，安全架構描述應滿足以下要求： a) 與產(chǎn)品設計文檔中對安全功能實施抽象描述的級別一致； b) 描述與安全功能要求一致的智能家居產(chǎn)品安全功能的安全域； c) 描述智能家居產(chǎn)品安全功能初始化過程為何是安全的； d) 證實智能家居產(chǎn)品安全功能能夠防止被破壞； e) 證實智能家居產(chǎn)品安全功能能夠防止安全特性被旁路。 5.3.1.2　 功能規(guī)范 開發(fā)者應提供完備的功能規(guī)范說明，功能規(guī)范說明應滿足以下要求： a) 開發(fā)者應提供產(chǎn)品的功能規(guī)范文檔； b) 功能規(guī)范應對智能家居產(chǎn)品的范圍及產(chǎn)品的應用環(huán)境和使用限制進行描述； c) 功能規(guī)范應對智能家居的安全功能及其外部接口進行描述； d) 功能規(guī)范應是內(nèi)在一致的； 5.3.1.3　 產(chǎn)品設計 開發(fā)者應提供產(chǎn)品設計文檔，產(chǎn)品設計文檔應滿足以下要求： a) 應按子系統(tǒng)描述安全功能的結(jié)構； b) 應描述每一個子系統(tǒng)所提供的安全功能特性，并標識子系統(tǒng)的所有接口以及外部可見的接口； c) 描述安全功能所有子系統(tǒng)間的相互作用； d) 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調(diào)用它的安全功能接口。 5.3.2　 指導性文檔 開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，并且對每一種用戶角色進行描述，具體應滿足以下要求： a) 在安全處理環(huán)境中應被控制的用戶可訪問的功能和特權，包含適當?shù)木拘畔ⅲ? b) 如何以安全的方式使用智能家居產(chǎn)品提供的可用接口； c) 明確各類操作用戶可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時應指明安全值； d) 每一種與需要執(zhí)行的管理功能有關的安全相關事件，包括對安全功能所控制的實體的安全特性進行的改變； e) 操作用戶指南應標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯(lián)系； f) 充分實現(xiàn)安全目的所必須執(zhí)行的安全策略； 5.3.3　 生命周期支持 5.3.3.1　 配置管理能力 開發(fā)者的配置管理應滿足以下要求： a) 開發(fā)者應使用配置管理系統(tǒng)并提供配置管理文檔； b) 配置管理文檔至少包括配置項清單和配置管理計劃； c) 配置管理計劃應描述配置管理系統(tǒng)是如何使用的，并確保實施的配置管理與配置管理計劃一致； d) 配置項清單用來描述組成智能家居產(chǎn)品的配置項，并確保所有配置項具備唯一的標識； 5.3.3.2　 配置管理范圍 a) 開發(fā)者應提供智能家居產(chǎn)品配置項列表，并說明配置項的開發(fā)者； b) 配置項列表至少包括智能家居產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分。 5.3.3.3　 交付程序 a) 開發(fā)者應將智能家居產(chǎn)品安全的安裝、生成和啟動等必須的程序文檔化； b) 開發(fā)者應把智能家居產(chǎn)品或其部分交付給用戶的程序文檔化； 5.3.4　 測試 5.3.4.1　 覆蓋 開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應表明測試文檔中所標識的測試與功能范圍中所描述的智能家居產(chǎn)品的安全功能間的對應性。 5.3.4.2　 功能測試 a) 開發(fā)者應對安全功能進行測試，并文檔化測試結(jié)果； b) 開發(fā)者應提供測試文檔，測試文檔包括測試計劃、測試程序描述、預期的測試結(jié)果和實際的測試結(jié)果。 5.3.4.3　 獨立測試-抽樣 a) 開發(fā)者應提供用于測試的產(chǎn)品； b) 獨立第三方檢測機構針對開發(fā)者提供的產(chǎn)品及配套的資源進行抽樣測試。 5.3.5　 脆弱性評定 a) 基于已標識的潛在脆弱性，智能家居產(chǎn)品能夠抵御具有基本攻擊潛力攻擊者的攻擊。 6　 評價方法 6.1　 總體說明 測試評價方法與評價規(guī)范要求一一對應，它給出具體的方法來智能家居產(chǎn)品是否滿足評價規(guī)范要求。評價方法分為檢測和評估，其中，檢測內(nèi)容為產(chǎn)品的安全功能要求，評估內(nèi)容為產(chǎn)品的安全保障要求。 6.2　 安全功能評價 6.2.1　 智能家居設備 6.2.1.1　 設備添加與綁定 設備添加與綁定的檢測方法和結(jié)果判定如下： a) 檢測方法： 1) 將設備與某個帳戶進行綁定操作，檢查只有成功綁定之后才能進行網(wǎng)絡控制操作； 2) 設備與某個用戶綁定后，嘗試其他合法帳戶進行綁定操作，查看是否可以綁定成功；是否滿足主控制賬戶綁定的要求； 3) 設備添加其他帳戶，檢查是否需要主控制帳戶顯示授權； 4) 將設備進行重新綁定，檢查之前添加的帳戶下該設備是否消失。 b) 結(jié)果判定： 1) 設備經(jīng)用戶賬戶綁定后才可進行網(wǎng)絡控制； 2) 設備一次只能被一個賬戶綁定； 3) 其他賬戶添加設備，須經(jīng)過主控制賬戶授權； 4) 設備被重新綁定后，之前所有添加該設備的用戶賬戶下的該設備自行消失； 1）-4）項均滿足為“符合”，其他情況為“不符合”。 6.2.1.2　 安全審計 安全審計的檢測方法和結(jié)果判定如下： a) 檢測方法： 1) 檢查設備是否實現(xiàn)了本地審計功能； 2) 設備綁定成功后，嘗試與應用服務后臺建立會話連接，查看設備是否可以記錄設備與平臺之間的驗證成功與否事件，然后終止與后臺的通信會話，檢查設備是否可以記錄會話終止事件；查看設備記錄是否包括啟停等重要操作事件。 3) 檢查審計記錄是否包括事件的日期和時間、事件的類型（連接驗證、會話終止）、主客體標識和結(jié)果信息； 4) 檢查設備審計記錄是否有保護措施，是否及時發(fā)送到后臺，防止記錄被破壞或覆蓋。 5) 檢查設備側(cè)審計記錄向服務平臺傳輸時，驗證是否有保護措施； b) 結(jié)果判定： 1) 設備本地實現(xiàn)了審計日志的功能； 2) 設備能夠?qū)Ω黜棽僮魇录M行了完備的記錄； 3) 設備采用了有效安全機制保護本地存儲的審計數(shù)據(jù)； 4) 設備采用了有效安全機制保護審計數(shù)據(jù)的傳輸； 1）-4）項均滿足為“符合”，其他情況為“不符合”。 6.2.1.3　 數(shù)據(jù)保護 數(shù)據(jù)保護的檢測方法和結(jié)果判定如下： a) 檢測方法： 1) 檢查設備對本地存儲的關鍵數(shù)據(jù)和音視頻數(shù)據(jù)是否采取了適宜的安全保護措施（如加密）； 2) 掃描設備的通信端口,檢查是否能獲取重要信息； 3) 構造非正常請求數(shù)據(jù)發(fā)送給設備，如安全數(shù)值之外的控制數(shù)據(jù)，驗證設備是否予以識別并進行自保護。 b) 結(jié)果判定： 1) 設備采用了適宜的安全機制存儲關鍵數(shù)據(jù)和其他重要數(shù)據(jù)； 2) 設備網(wǎng)絡端口沒有泄露重要信息； 3) 只執(zhí)行安全的控制指令數(shù)值。 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.2.1.4　 固件安全 固件安全的檢測方法和結(jié)果判定如下： a) 檢測方法： 1) 啟動設備，檢查設備是否對固件進行了完整性驗證。 2) 驗證設備的固件是否做了安全防護措施，如是否關閉硬件調(diào)試端口等； 3) 驗證固件的關鍵代碼及重要數(shù)據(jù)是否做了有效保護措施，如混淆、加密等代碼安全保護； 4) 在升級服務器中添加用于測試的新版本固件,啟動固件升級,檢查固件升級前是否對固件升級包、固件升級版本進行完整性校驗并驗證來源可靠性； 5) 嘗試推送不正確的固件給設備，使升級失敗，驗證設備是否恢復到之前可用的版本； 6) 嘗試推送比設備當前固件版本更低的固件給設備，驗證能否升級成功； 7) 掃描設備固件的漏洞，檢查是否存在已知高危安全漏洞。 b) 結(jié)果判定： 1) 設備固件安全加載和運行，不存在重大漏洞； 2) 設備固件不能通過常規(guī)手段提取，且關鍵部分防篡改和逆向； 3) 設備能安全升級固件，不升級到不安全的固件； 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.2.1.5　 其他要求（如適用） 對具有網(wǎng)關功能的設備的補充要求檢測方法和結(jié)果判定如下： a) 檢測方法： 1) 檢查設備功能列表是否支持對智能家居設備的注冊和管理，以組建子網(wǎng)絡； 2) 檢查設備是否可配置防火墻，設置防火墻過濾規(guī)則，驗證滿足過濾規(guī)則的數(shù)據(jù)包是否能被攔截； 3) 對設備實施ARP欺騙攻擊，驗證是否可通過綁定MAC地址和IP來防止； 4) 產(chǎn)生源地址屬于內(nèi)部網(wǎng)絡的數(shù)據(jù)包，經(jīng)外部接口向子網(wǎng)絡內(nèi)部發(fā)送，驗證設備是否能過濾該數(shù)據(jù)包； 5) 產(chǎn)生源地址不屬于內(nèi)部網(wǎng)絡的數(shù)據(jù)包，由內(nèi)部網(wǎng)絡向外發(fā)送，驗證設備是否能過濾該數(shù)據(jù)包； 6) 設置白名單限制IP地址，由該IP地址向網(wǎng)絡內(nèi)部發(fā)送數(shù)據(jù)，驗證設備是否能攔截； 7) 設置白名單限制IP地址，由網(wǎng)絡內(nèi)部向該IP地址發(fā)送數(shù)據(jù)，驗證設備是否能攔截； 8) 檢查設備帶寬控制功能，驗證是否能限制網(wǎng)絡上行和下行帶寬； 9) 檢查設備采用的路由協(xié)議是否安全。 b) 結(jié)果判定： 1) 設備提供了智能家居設備注冊和管理功能； 2) 設備提供了防火墻和白名單限制； 3) 設備具備帶寬控制功能并采用了安全路由協(xié)議。 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.2.2　 控制端應用 6.2.2.1　 身份鑒別 身份鑒別的測試評價方法如下： a) 測試方法 1) 在應用軟件中進行連接智能家居應用服務平臺軟件操作，檢查是否需要用戶登錄； 2) 使用錯誤的用戶鑒別憑據(jù)連續(xù)進行登錄，檢查是否有登錄失敗處理措施； 3) 檢查控制端應用是否具備口令強度檢查機制（如口令長度、復雜度要求等）； 4) 檢查控制端應用是否具備口令時效性檢查機制（如主動提示用戶定期修改口令等）； 5) 檢查控制端應用在修改或找回口令時，是否具備驗證機制； 6) 用戶登錄后長時間不進行任何操作； 7) 檢查控制端應用是否對注冊、登錄、找回密碼過程采用驗證碼機制進行驗證，是否對請求發(fā)起頻率進行限制。 b) 結(jié)果判定 1) 只有登錄成功的用戶才能連接智能家居應用服務平臺軟件進行操作； 2) 具備鑒別失敗處理措施； 3) 具備口令強度檢查機制，初始化及修改用戶口令時，能夠根據(jù)策略檢查輸入口令的長度和復雜度，若輸入的口令不符合口令長度要求，能夠提示并要求重新設置有效口令； 4) 具備口令時效性檢查機制，能夠主動提示用戶修改口令； 5) 修改或找回口令時，具備驗證機制，以防止口令的被非授權獲取或者篡改； 6) 登錄超時后能進行鎖定或者注銷； 7) 在進行注冊、登錄、找回密碼過程中需要進行驗證碼驗證，具備請求頻率限制機制，防止短時間頻繁請求。 1）-7）項均滿足為“符合”，其他情況為“不符合”。 6.2.2.2　 數(shù)據(jù)保護 數(shù)據(jù)存儲保護的測試評價方法如下： a) 測試方法： 1) 讀取重要數(shù)據(jù)存儲文件，查看數(shù)據(jù)是否以明文形式存入文件中； 2) 對重要數(shù)據(jù)完整性進行破壞，查看控制端應用是否對完整性收到破壞的數(shù)據(jù)進行檢測和提示； b) 結(jié)果判定 1) 不以明文的形式將重要數(shù)據(jù)存入文件； 2) 控制端應用可對數(shù)據(jù)進行完整性檢測，并提示告警信息； 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.2.2.3　 應用安全 應用安全的測試評價方法如下： a) 測試方法： 1) 檢查控制端應用是否具備防逆向反編譯功能； 2) 檢查控制端應用是否輸出調(diào)試日志； 3) 檢查控制端應用使用的第三方庫和開源組件是否存在已公布的高危漏洞； 4) 構造錯誤的或畸形的輸入內(nèi)容，檢查控制端應用是否具有數(shù)據(jù)有效性檢驗功能。 b) 結(jié)果判定 1) 控制端應用具備防逆向反編譯功能； 2) 控制端應用不輸出調(diào)試日志； 3) 控制端應用使用的第三方庫和組件不存在已公布的高危漏洞； 4) 控制端應用具備數(shù)據(jù)有效性檢驗功能，功能處理錯誤的或畸形的輸入數(shù)據(jù)。 1）-4）項均滿足為“符合”，其他情況為“不符合”。 6.2.2.4　 運行安全 運行安全的測試評價方法如下： a) 測試方法： 1) 檢查控制端應用安裝功能，根據(jù)安裝功能說明文檔進行比對； 2) 檢查控制端應用是否包含供應者或開發(fā)者的簽名信息、軟件屬性信息； 3) 卸載控制端應用，檢查其安裝和使用過程中生成的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件是否完全刪除。 b) 結(jié)果判定 1) 控制端應用僅安裝功能說明文檔中說明的功能； 2) 包含供應者或開發(fā)者的簽名信息、軟件屬性信息； 3) 卸載時能夠?qū)⑵浒窗惭b和使用過程中生成的數(shù)據(jù)完全刪除。 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.2.3　 智能家居應用服務平臺軟件 6.2.3.1　 標識與鑒別 標識與鑒別的測試評價方法與預期結(jié)果如下： a) 測試評價方法： 1) 以授權用戶身份登錄智能家居應用服務平臺，查看用戶信息，嘗試新建一個相同用戶標識的用戶，檢查操作是否能夠成功； 2) 查看用戶審計事件信息，檢查用戶標識與用戶的審計事件是否進行了關聯(lián)； 3) 以正確的鑒別信息和錯誤的鑒別信息，分別嘗試登錄平臺，檢查是否僅在輸入正確的鑒別信息才能登錄平臺并執(zhí)行相關操作； 4) 檢查平臺是否提供了鑒別信息復雜度檢查功能，滿足復雜度要求的鑒別信息能夠設置成功，不滿足復雜度要求的鑒別信息不能設置成功； 5) 執(zhí)行登錄操作，輸入鑒別數(shù)據(jù)，檢查平臺是否僅顯示輸入的鑒別數(shù)據(jù)的字符數(shù)，但不顯示鑒別數(shù)據(jù)本身； 6) 使用授權用戶和非授權用戶分別登錄平臺，檢查是否僅允許授權用戶能夠查閱和修改鑒別數(shù)據(jù)； 7) 以錯誤的鑒別信息嘗試登錄平臺，檢查是否被拒絕進入平臺，繼續(xù)進行一定次數(shù)的登錄嘗試，驗證在達到允許的鑒別失敗嘗試次數(shù)后，平臺是否使該用戶賬號或登錄點失效； 8) 以授權用戶身份登錄平臺后停止操作，檢查經(jīng)過一段時間間隔后，該用戶能否繼續(xù)執(zhí)行授權操作。 b) 結(jié)果判定： 1) 智能家居應用服務平臺不能新建相同用戶標識的用戶，用戶標識與用戶的審計事件進行了關聯(lián)； 2) 平臺僅允許輸入正確的鑒別信息才能登錄平臺并執(zhí)行相關操作； 3) 平臺提供了鑒別信息復雜度檢查功能，僅滿足復雜度要求的鑒別信息能夠設置成功； 4) 平臺僅顯示輸入的鑒別數(shù)據(jù)的字符數(shù)，不顯示鑒別數(shù)據(jù)本身； 5) 平臺僅允許授權用戶能夠查閱和修改鑒別數(shù)據(jù)； 6) 錯誤鑒別信息的用戶不能登錄平臺，在登錄鑒別嘗試失敗連續(xù)達到指定次數(shù)后，用戶賬號或登錄點失效； 7) 在達到一定的用戶不活動的時間間隔之后，平臺終止交互式會話，不能繼續(xù)執(zhí)行授權操作； 1）-7）項均滿足為“符合”，其他情況為“不符合”。 6.2.3.2　 訪問控制 訪問控制的測試評價方法與預期結(jié)果如下： a) 測試評價方法： 1) 查看產(chǎn)品說明文檔有關訪問控制的相關描述，檢查是否支持基于用戶角色或權限、IP等安全屬性的訪問控制； 2) 以授權用戶身份登錄智能家居應用服務平臺，驗證設置的基于用戶角色或權限、IP等安全屬性的訪問控制功能是否有效。 b) 結(jié)果判定： 1) 能夠設置基于用戶角色或權限、IP等安全屬性的訪問控制策略，并且有效。 1）項滿足為“符合”，其他情況為“不符合”。 6.2.3.3　 安全審計 安全審計的測試評價方法與預期結(jié)果如下： a) 測試評價方法： 1) 以授權用戶身份登錄智能家居應用服務平臺執(zhí)行5.1.3.3安全審計要求a）中相關的操作，查看審計記錄，檢查平臺是否對操作進行了審計記錄； 2) 查看審計記錄內(nèi)容中是否包括事件發(fā)生的日期和時間、事件類型、主體身份標識、事件描述及結(jié)果等信息； 3) 以授權用戶身份登錄平臺，查看平臺是否為僅授權用戶提供讀取審計記錄的功能，并且審計記錄便于用戶理解； 4) 以授權用戶身份登錄平臺，以一定的條件對審計數(shù)據(jù)進行查詢或排序操作，檢查查詢或排序結(jié)果是否正確； 5) 分別以授權用戶和非授權用戶身份執(zhí)行刪除審計記錄的操作，驗證平臺是否僅允許授權用戶執(zhí)行刪除審計記錄的操作，是否能夠防止修改審計記錄的操作； 6) 檢查審計記錄是否存儲在永久性存儲介質(zhì)中，不斷執(zhí)行可審計操作將審計數(shù)據(jù)空間寫滿，查看平臺是否采取相應的措施，如：忽略可審計事件或覆蓋所存儲的最早的審計記錄等。 b) 結(jié)果判定： 1) 智能家居應用服務平臺對支持的事件發(fā)生產(chǎn)生了審計記錄； 2) 審計記錄內(nèi)容中包括事件發(fā)生的日期和時間、事件類型、主體身份標識、事件描述及結(jié)果等信息； 3) 僅授權用戶能夠讀取審計記錄，審計記錄的內(nèi)容便于用戶理解； 4) 根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的結(jié)果正確； 5) 審計記錄不能被修改，只有授權用戶才能夠刪除審計記錄； 6) 審計記錄存儲在永久性存儲介質(zhì)中，當審計空間已滿時，平臺采取相應的措施。 1）-6）項均滿足為“符合”，其他情況為“不符合”。 6.2.3.4　 安全管理 安全管理的測試評價方法與預期結(jié)果如下： a) 測試評價方法： 1) 查看授權用戶所能執(zhí)行的操作與其角色的授權操作是否一致； 2) 修改該用戶的角色為系統(tǒng)允許的其他角色后，查看用戶所能執(zhí)行的操作與修改后的角色的授權操作是否一致； 3) 以授權用戶和非授權用戶登錄平臺，分別嘗試執(zhí)行5.1.3.4安全管理b)中的安全功能數(shù)據(jù)管理操作，驗證是否只有授權用戶能夠執(zhí)行上述操作； 4) 設置組件間時間同步的策略，驗證各組件是否能夠進行時間同步； 5) 以授權用戶身份登錄平臺，執(zhí)行設備遠程管理功能，包括設備注冊、遠程功能的鎖定及解鎖等，檢查操作是否成功； 6) 查看產(chǎn)品說明文檔有關智能家居設備身份標識的相關描述，檢查平臺是否使用隨機化數(shù)據(jù)標識設備，并且標識具有唯一性。 b) 結(jié)果判定： 1) 平臺提供維護安全角色及其權限的功能，能夠把用戶與角色進行關聯(lián)； 2) 平臺僅允許授權用戶執(zhí)行5.1.3.4安全管理b)中的安全功能數(shù)據(jù)管理操作； 3) 平臺能夠為不同組件之間提供時間同步； 4) 平臺提供對設備遠程管理功能，包括設備注冊、遠程功能的鎖定及解鎖； 5) 平臺使用隨機化數(shù)據(jù)標識智能家居設備身份，身份標識具有唯一性。 1）-5）項均滿足為“符合”，其他情況為“不符合”。 6.2.3.5　 數(shù)據(jù)保護 數(shù)據(jù)保護的測試評價方法與預期結(jié)果如下： a) 測試評價方法： 1) 以授權用戶身份登錄智能家居應用服務平臺，執(zhí)行修改系統(tǒng)配置、修改安全策略等操作，同時使用抓包工具截取數(shù)據(jù)進行分析，查看數(shù)據(jù)是否不為明文； 2) 查看產(chǎn)品說明文檔有關重要數(shù)據(jù)存儲完整性和保密性的相關描述，驗證相關保護措施是否有效； 3) 查看產(chǎn)品說明文檔有關數(shù)據(jù)有效性檢驗相關描述，驗證相關數(shù)據(jù)有效性檢驗功能是否有效。 b) 預期結(jié)果： 1) 獲取的安全功能數(shù)據(jù)不為明文； 2) 重要數(shù)據(jù)存儲完整性和保密性保護措施有效； 3) 數(shù)據(jù)有效性檢驗功能有效。 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.2.4　 通信安全 通信安全的測試評價方法與預期結(jié)果如下： a) 測試評價方法： 1) 查看產(chǎn)品說明文檔中有關智能家居設備、應用服務平臺、控制端等組件之間通信和數(shù)據(jù)傳輸安全所采取措施的描述，驗證通信雙方在建立連接之前，是否進行了雙向身份驗證； 2) 驗證產(chǎn)品說明文檔中描述的通信和數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo措施是否有效； 3) 查看產(chǎn)品說明文檔中有關確保通信雙方傳輸數(shù)據(jù)防重放有關措施，驗證措施是否有效； 4) 檢查各組件之間會話超時，是否需要進行重新身份驗證。 b) 預期結(jié)果： 1) 智能家居設備、應用服務平臺、控制端等組件之間通信雙方在建立連接之前，進行了雙向身份驗證； 2) 通信和數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员Ｗo措施有效； 3) 通信雙方傳輸數(shù)據(jù)防重放有關措施有效； 4) 各組件之間會話超時，需要進行重新身份驗證。 1）-4）項均滿足為“符合”，其他情況為“不符合”。 6.2.5　 個人信息保護 個人信息保護的檢測方法和結(jié)果判定如下： a) 檢測方法： 1) 檢查智能家居產(chǎn)品是否存在收集個人信息的行為，在終端或系統(tǒng)上構造個人信息； 2) 若存在收集個人信息的行為，則判斷其是否向用戶明示收集目的和范圍，且征得了用戶同意； 3) 檢查產(chǎn)品是否提供數(shù)據(jù)采集關閉功能； 4) 檢查產(chǎn)品是否在用戶同意后開啟通話錄音、本地錄音、拍照/攝像、定位等操作； 5) 檢查產(chǎn)品是否在用戶同意后讀取用戶本機號碼、通訊錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等。 6) 檢查智能家居產(chǎn)品是否可以修改存儲的個人信息； 7) 若產(chǎn)品可以修改個人信息，嘗試修改終端個人信息，查看是否明示了個人信息的加工目的和范圍； 8) 采用授權的方式修改個人信息； 9) 采用非授權的方式修改個人信息； 10) 查看產(chǎn)品上存儲的個人信息數(shù)據(jù)，檢查是否采用了匿名化處理。 11) 若個人信息進行共享或轉(zhuǎn)讓時，測嘗試轉(zhuǎn)移個人信息，查看是否與約定目的和用途相同，傳輸前是否經(jīng)過雙向驗證過程； 12) 檢查產(chǎn)品是否在用戶同意后讀取并傳送用戶通訊錄、通話記錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等； 13) 使用抓包工具檢查網(wǎng)絡傳輸數(shù)據(jù)。 14) 檢查智能家居產(chǎn)品是否提供自動刪除或授權手動刪除所有個人信息選項，可刪除所有個人信息； 15) 嘗試使用授權用戶刪除所有個人信息，并檢查刪除后產(chǎn)品狀態(tài)； 16) 嘗試恢復所有個人信息數(shù)據(jù)，檢查信息是否徹底刪除； 17) 執(zhí)行智能家居產(chǎn)品翻新操作，檢查存儲器中個人信息數(shù)據(jù)是否完全清除； b) 結(jié)果判定： 1) 產(chǎn)品不存在收集個人信息的行為；若存在收集個人信息的行為，則收集前明示用戶收集目的和范圍，并在收集前經(jīng)過了用戶同意； 2) 產(chǎn)品提供數(shù)據(jù)采集關閉功能； 3) 產(chǎn)品應在用戶同意后開啟通話錄音、本地錄音、拍照/攝像、定位等操作； 4) 產(chǎn)品應在用戶同意后讀取用戶本機號碼、通訊錄、上網(wǎng)記錄、日程表數(shù)據(jù)、定位信息等； 5) 智能家居產(chǎn)品個人信息文件，非授權實體禁止訪問； 6) 智能家居產(chǎn)品內(nèi)個人信息數(shù)據(jù)，采用了匿名化處理； 7) 智能家居產(chǎn)品無轉(zhuǎn)移個人信息行為，或者若可以轉(zhuǎn)移個人信息，則在轉(zhuǎn)移前明示了個人信息轉(zhuǎn)移目的和范圍，且與實際情況相符，且轉(zhuǎn)移數(shù)據(jù)前經(jīng)過了雙方身份認證和授權； 8) 智能家居產(chǎn)品提供給授權用戶個人信息刪除選項； 9) 若產(chǎn)品授權用戶可刪除所有個人信息，且所有個人信息在刪除后無法恢復； 1）-9）項均滿足為“符合”，其他情況為“不符合”。 6.3　 安全保障評價 6.3.1　 開發(fā) 6.3.1.1　 安全架構 安全架構描述的檢測方法和結(jié)果判定如下： a) 檢測方法： 檢查安全構架文檔等證據(jù)是否準確描述安全構架的要求。 b) 結(jié)果判定： 1) 開發(fā)者提供了產(chǎn)品安全功能安全架構的描述； 2) 開發(fā)者提供的產(chǎn)品安全功能安全架構的描述滿足證據(jù)的內(nèi)容和形式的要求。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.1.2　 功能規(guī)范 功能規(guī)范的測試方法和判定結(jié)果如下： a) 檢測方法： 檢查功能規(guī)范文檔等證據(jù)是否準確描述功能規(guī)范的要求。 b) 判定結(jié)果： 1) 開發(fā)者提供了產(chǎn)品功能規(guī)范文檔； 2) 功能規(guī)范文檔的內(nèi)容滿足要求。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.1.3　 產(chǎn)品設計 產(chǎn)品設計檢測方法和判定結(jié)果如下： a) 檢測方法： 檢查產(chǎn)品設計文檔等證據(jù)是否準確描述產(chǎn)品設計的要求。 b) 判定結(jié)果： 1) 開發(fā)者提供了產(chǎn)品設計文檔； 2) 設計文檔的內(nèi)容滿足要求。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.2　 指導性文檔 檢測方法和判定結(jié)果如下： a) 檢測方法： 檢查產(chǎn)品管理員指南、用戶指南等文檔是否準確描述操作用戶指南的要求。 b) 判定結(jié)果： 1) 開發(fā)者提供了管理員指南、用戶指南文檔； 2) 文檔的內(nèi)容滿足要求。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.3　 生命周期支持 6.3.3.1　 配置管理能力 檢測方法和判定結(jié)果如下： a) 檢測方法： 1) 檢查配置管理文檔是否準確描述配置管理的要求； 2) 現(xiàn)場檢查是否使用了配置管理系統(tǒng)，且現(xiàn)場檢查的配置項在配置管理系統(tǒng)中均作出唯一性的標識。 b) 判定結(jié)果： 1) 開發(fā)者提供了配置管理文檔； 2) 配置文檔的內(nèi)容滿足要求。 3) 使用了配置管理系統(tǒng)，且現(xiàn)場檢查的配置項在配置管理系統(tǒng)中均作出唯一性的標識。 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.3.3.2　 配置管理范圍 檢測方法和判定結(jié)果如下： a) 檢測方法： 1) 檢查是開發(fā)者提供的配置項列表； 2) 檢查文檔內(nèi)容是否包括了組成智能家居產(chǎn)品的全部配置項及相應的開發(fā)者。 b) 判定結(jié)果： 1) 開發(fā)者提供了配置項列表； 2) 文檔的內(nèi)容涵蓋組成智能家居產(chǎn)品的全部配置項及相應的開發(fā)者。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.3.3　 交付程序 檢測方法和判定結(jié)果如下： a) 檢測方法： 1) 檢查交付文檔是否準確描述交付程序的要求； 2) 現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付TOE?。 b) 判定結(jié)果： 1) 開發(fā)者提供了交付文檔； 2) 交付文檔的內(nèi)容滿足要求。 3) 現(xiàn)場檢查使用了配置管理系統(tǒng)，且現(xiàn)場檢查的配置項在配置管理系統(tǒng)中均作出唯一性的標識。 1）-3）項均滿足為“符合”，其他情況為“不符合”。 6.3.4　 測試 6.3.4.1　 覆蓋 檢測方法和判定結(jié)果如下： a) 檢測方法： 檢查開發(fā)者應提供測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標識的測試與功能范圍中所描述的智能家居產(chǎn)品的安全功能間的對應性。 b) 判定結(jié)果： 1) 開發(fā)者提供了測試覆蓋文檔； 2) 覆蓋文檔的內(nèi)容滿足要求。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.4.2　 功能測試 檢測方法和判定結(jié)果如下： a) 檢測方法： 1) 檢查開發(fā)者提供的測試文檔，是否包括測試計劃、預期測試結(jié)果和實際測試結(jié)果； 2) 檢查測試計劃是否標識了要測試的安全功能，是否描述了每個安全功能的測試方案； 3) 檢查實際測試結(jié)果是否表明每個被測試的安全功能能按照規(guī)定進行運作。 b) 判定結(jié)果： 1) 開發(fā)者提供了測試文檔； 2) 測試文檔的內(nèi)容滿足要求。 1）-2）項均滿足為“符合”，其他情況為“不符合”。 6.3.4.3　 獨立測試-抽樣 檢測方法和判定結(jié)果如下： a) 檢測方法： 1) 檢查開發(fā)者提供的測試資源； 2) 檢查并測試開發(fā)者提供的測試集合是否與其自測功能時使用的測試集合相一致。 b) 判定結(jié)果： 1) 開發(fā)者提供的資源滿足要求； 1）項滿足為“符合”，其他情況為“不符合”。 6.3.5　 脆弱性評定 檢測方法和判定結(jié)果如下： a) 檢測方法： 1) 檢查開發(fā)者提供的脆弱性分析文檔，是否對所標識的安全功能進行了強度分析； 2) 從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機制定義的安全強度級別，對智能家居產(chǎn)品進行脆弱性分信息。 b) 判定結(jié)果： 1) 開發(fā)者提供了脆弱性分析文檔 2) 通過實施的測試確認明顯的脆弱性都已被處置。 1）-2）項滿足為“符合”，其他情況為“不符合”。 附　錄　A （資料性附錄） 典型應用場景 本附錄描述了智能家居產(chǎn)品的典型應用場景，智能家居設備可參考但不局限于此應用場景。 智能家居設備采用了“控制端應用-智能家居應用服務平臺-智能家居設備”的系統(tǒng)架構，這個環(huán)節(jié)中存在三個基本角色：控制端應用（用戶），智能家居應用服務平臺、智能家居設備。用戶通過控制端應用對智能家居設備進行遠程控制，智能家居設備通過無線網(wǎng)絡等方式直接或者間接接入到智能家居應用服務平臺，其主要架構如下圖2所示。 智能家居設備通常由控制端應用進行配網(wǎng)操作，并連接智能家居應用服務平臺進行激活。之后由控制端應用發(fā)起，三者互相交互實現(xiàn)用戶和智能家居產(chǎn)品的綁定操作。此時該用戶為智能家居設備的主控制用戶，主控制用戶可以在控制端應用中將設備控制權限授權給其他用戶。 用戶在對設備進行遠程控制時，通過控制端應用向智能家居應用服務平臺發(fā)送控制指令，平臺在檢測控制指令的合法性，驗證權限后，將指令下發(fā)給智能家居產(chǎn)品執(zhí)行。 圖A.1智能家居典型應用場景  附　錄　B （資料性附錄） 智能家居產(chǎn)品威脅分析 智能家居產(chǎn)品涉及智能家居設備、控制端應用和智能家居應用服務平臺三類關鍵角色，其安全威脅主要來自智能家居產(chǎn)品自身威脅，三類角色通信過程中安全威脅，控制端應用和智能家居應用服務平臺業(yè)務相關安全威脅等。 威脅來源 描述 智能家居設備 1) 偽造身份攻擊 2) 非授權讀取 3) 惡意代碼攻擊 4) 設備配置泄露、篡改、丟失 5) 仿冒設備 6) 審計數(shù)據(jù)丟失 控制端應用 1) 拒絕服務攻擊，重放攻擊，中間人攻擊； 2) 仿冒用戶訪問 3) 非授權綁定； 4) 配置數(shù)據(jù)泄露篡改、破壞； 5) 應用反編譯，動態(tài)調(diào)試，重打包。 6) 業(yè)務邏輯漏洞 智能家居應用服務平臺軟件 1) 拒絕服務攻擊； 2) 仿冒用戶訪問； 3) 非授權控制，非授權訪問； 4) 用戶數(shù)據(jù)泄露； 5) 審計失效 6) 軟件漏洞 7) 業(yè)務邏輯漏洞 通信安全 1) 通信數(shù)據(jù)泄露、篡改、丟失 2) 拒絕服務攻擊，重放攻擊，中間人攻擊； 3) 虛假路由； 4) 通信協(xié)議漏洞 個人信息保護 1) 信息泄露、篡改、丟失 2) 過度采集 3) 信息濫用 24 附　錄　C （資料性附錄） 智能家居個人信息分類 智能家居上的個人信息可劃分為信息通信類、使用記錄類、賬戶設置類、媒體影音類、傳感采集類、金融支付類和設備信息類共7種類型。 1）信息通信類 信息通信類數(shù)據(jù)是指用戶用于發(fā)起或接受通信以及在通信過程中產(chǎn)生的個人數(shù)據(jù)，例如：通訊錄、即時通信消息等。 2）使用記錄類 使用記錄類數(shù)據(jù)是指用戶在使用過程中間接產(chǎn)生的、反映用戶操作記錄的數(shù)據(jù)，例如：日志數(shù)據(jù)、瀏覽記錄等。 3）賬戶設置類 賬戶設置類數(shù)據(jù)是指與特定用戶相關聯(lián)的登錄信息，以及僅限于該用戶訪問或適用于該用戶的賬戶配置，例如：認證數(shù)據(jù)、配置數(shù)據(jù)等。 4）媒體影音類 媒體影音類數(shù)據(jù)是指用戶借助智能家居系統(tǒng)創(chuàng)作產(chǎn)生，或者在外部生成并通過存儲卡、網(wǎng)絡傳輸、無線外圍接口傳輸或計算機同步等方式進入終端的各類多媒體數(shù)據(jù)，例如：照片數(shù)據(jù)、音視頻數(shù)據(jù)。 5）傳感采集類 傳感采集類數(shù)據(jù)是指系統(tǒng)傳感功能采集到的、反映周邊環(huán)境和使用者體征狀況的數(shù)據(jù)，例如：位置數(shù)據(jù)、生物特征數(shù)據(jù)、健康數(shù)據(jù)等。 6）金融支付類 金融支付類數(shù)據(jù)是指用戶借助智能家居系統(tǒng)參與金融交易或支付活動而產(chǎn)生的數(shù)據(jù)，例如：交易記錄、支付數(shù)據(jù)等。 7）設備信息類 設備信息類數(shù)據(jù)是指可唯一識別特定終端的硬件標識信息，以及反映用戶使用偏好的軟件信息，例如：設備標識數(shù)據(jù)等。