（高清版）GBT 41387-2022 信息安全技術(shù) 智能家居通 用安全規(guī)范

信息安全技術(shù)智能家居通用安全規(guī)范2022-04-15發(fā)布2022-11-01實施國家標(biāo)準(zhǔn)化管理委員會I 12規(guī)范性引用文件 13術(shù)語和定義 4縮略語 25智能家居系統(tǒng)組成及安全框架 35.1智能家居系統(tǒng)組成 35.2智能家居安全框架 36智能家居終端安全要求 46.1硬件安全 46.2固件安全 46.3操作系統(tǒng)安全 56.4應(yīng)用安全 66.5接口安全 76.6通信安全 76.7數(shù)據(jù)安全 77智能家居網(wǎng)關(guān)安全要求 77.1硬件安全 77.2固件安全 77.3操作系統(tǒng)安全 87.4應(yīng)用安全 87.5接口安全 87.6通信安全 87.7數(shù)據(jù)安全 88智能家居控制端安全要求 98.1硬件安全 98.2固件安全 98.3操作系統(tǒng)安全 98.4應(yīng)用安全 98.5接口安全 98.6通信安全 98.7數(shù)據(jù)安全 99智能家居應(yīng)用服務(wù)平臺安全要求 99.1平臺環(huán)境安全 99.2應(yīng)用安全 99.3接口調(diào)用安全 Ⅱ9.4數(shù)據(jù)安全 9.5終端管理安全 10智能家居安全通用測試方法 10.1總體說明 10.2智能家居終端安全測試方法 10.3智能家居網(wǎng)關(guān)安全測試方法 10.4智能家居控制端安全測試方法 10.5智能家居應(yīng)用服務(wù)平臺安全測試方法 23附錄A(資料性)智能家居典型場景及安全風(fēng)險分析 A.1智能家居典型應(yīng)用場景 A.2智能家居安全風(fēng)險 A.3智能家居參與方 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中移(杭州)信息技術(shù)有限公司、中國移動通信集團有限公司、中國信息通信研究院、公安部第三研究所、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、北京京東尚科信息技術(shù)有限公司、聯(lián)想(北京)有限公司、北京百度網(wǎng)訊科技有限公司、阿里巴巴(北京)軟件服務(wù)有限公司、海信集團控股股份有限公司、青島海爾科技有限公司、三六零科技集團有限公司、北京奇虎科技有限公司、深圳市優(yōu)點科技有限公司、OPPO廣東移動通信有限公司、華為技術(shù)有限公司、北京小米移動軟件有限公司、中國信息通信科技集團有限公司、杭州安恒信息技術(shù)股份有限公司、深圳市騰訊計算機系統(tǒng)有限公司。1信息安全技術(shù)智能家居通用安全規(guī)范本文件規(guī)定了智能家居安全通用技術(shù)要求和對應(yīng)測試評價方法。本文件適用于智能家居產(chǎn)品的安全設(shè)計和實現(xiàn)，智能家居的安全測試和管理也可參照使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件。不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T29234—2012基于公用電信網(wǎng)的寬帶客戶網(wǎng)絡(luò)安全技術(shù)要求GB/T31168—2014信息安全技術(shù)云計算服務(wù)安全能力要求GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T36633—2018信息安全技術(shù)網(wǎng)絡(luò)用戶身份鑒別技術(shù)指南GB/T39579—2020公眾電信網(wǎng)智能家居應(yīng)用技術(shù)要求GB/T41388—2022信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范ISO/IEC27033-6信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第6部分：無線IP網(wǎng)絡(luò)接入安全保護(Infor-mationtechnology—Securitytechniques—Networksecurity—Part6:SecuringwirelessIPnetworkaccess)3術(shù)語和定義GB/T25069、GB/T39579—2020和GB/T41388—2022界定的以及下列術(shù)語和定義適用于本文件。智能家居系統(tǒng)smarthomesystem利用家庭網(wǎng)絡(luò)技術(shù)將家庭中各種通信設(shè)備、家用電器、家庭安保等裝置連接到家庭智能化系統(tǒng)上進連接到家庭網(wǎng)絡(luò)的、協(xié)同提供智能家居業(yè)務(wù)的各種終端設(shè)備。2支持智能家居服務(wù)的軟硬件基礎(chǔ)設(shè)施，通過與智能家居終端、智能家居控制端協(xié)同，實現(xiàn)智能家居的應(yīng)用服務(wù)。與智能家居的用戶交互，根據(jù)接收的用戶指令或預(yù)先配置的任務(wù)，通過智能家居應(yīng)用服務(wù)平臺或智能家居網(wǎng)關(guān)向智能家居終端發(fā)出指令，實現(xiàn)智能家居應(yīng)用服務(wù)的設(shè)備。智能家居網(wǎng)關(guān)smarthomegateway在智能家居中實現(xiàn)外部廣域通信網(wǎng)絡(luò)和內(nèi)部家庭局域網(wǎng)絡(luò)連通，為智能家居終端分配通信地址，并實現(xiàn)智能家居終端、智能家居應(yīng)用服務(wù)平臺和智能家居控制端的網(wǎng)絡(luò)連接的設(shè)備。在智能家居設(shè)備中，通過安全芯片和芯片操作系統(tǒng)(COS)實現(xiàn)數(shù)據(jù)安全存儲、加解密運算等功能的安全模塊。與安全相關(guān)的信息，其被泄露或被修改后會危及智能家居安全性。注：例如后臺系統(tǒng)管理員鑒別信息、操作系統(tǒng)登錄鑒別信息、網(wǎng)絡(luò)設(shè)備鑒別信息等?；谟布壐綦x及安全啟動機制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機密性、完整性、真實性和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運行環(huán)境。其中，硬件級隔離是指基于硬件安全擴展機制，通過對計算資源的固定劃分或動態(tài)共享，保證隔離資源不被富執(zhí)行環(huán)境訪問的一種安全機制。4縮略語下列縮略語適用于本文件。API:應(yīng)用編程接口(ApplicationProgrammingInterface)Bin:二進制文件(BinaryFile)CNNVD:國家信息安全漏洞庫(ChinaNationalVulnerabilityDatabaseofInformationSecurity)CNVD:國家信息安全漏洞共享平臺(ChinaNationalVulnerabilityDatabase)FTP:文件傳輸協(xié)議(FileTransferProtocol)IP:網(wǎng)絡(luò)之間互聯(lián)的協(xié)議(InternetProtocol)MAC:媒體存取控制位址(MediaAccessControlAddress)NFC:近場通信(NearFieldCommunication)SSH:安全外殼協(xié)議(SecureShell)URL:統(tǒng)一資源定位符(UniformResourceLocator)3GB/T41387—2022Web:全球廣域網(wǎng)(WorldWideWeb)5智能家居系統(tǒng)組成及安全框架5.1智能家居系統(tǒng)組成智能家居快速發(fā)展，出現(xiàn)大量應(yīng)用場景(典型應(yīng)用場景見附錄A中的A.1)。智能家居系統(tǒng)主要由智能家居用戶、智能家居終端、智能家居控制端、智能家居網(wǎng)關(guān)、通信網(wǎng)絡(luò)和智能家居應(yīng)用服務(wù)平臺組成，智能家居系統(tǒng)組成如圖1所示，其中：a)智能家居用戶即實際使用智能家居服務(wù)的終端用戶；b)智能家居終端是實現(xiàn)智能家居應(yīng)用具體功能的設(shè)備，為智能家居用戶提供感知、數(shù)據(jù)采集及控制服務(wù)；c)智能家居控制端提供與智能家居用戶交互的界面，實現(xiàn)對智能家居終端的控制和管理，進而實現(xiàn)智能家居應(yīng)用；d)智能家居網(wǎng)關(guān)為智能家居環(huán)境提供網(wǎng)絡(luò)連接，并提供本地場景化服務(wù)和設(shè)備管理功能；e)通信網(wǎng)絡(luò)分為家庭局域網(wǎng)和廣域網(wǎng)，為智能家居提供數(shù)據(jù)通信連接能力；f)智能家居應(yīng)用服務(wù)平臺是智能家居服務(wù)承載的功能實體，通過與智能家居終端、智能家居控制端協(xié)同，實現(xiàn)智能家居的應(yīng)用服務(wù)。智能家居控制端智能家居控制端用戶智能家居網(wǎng)關(guān)智能家店應(yīng)用服務(wù)平臺圖例智能家居終端默認(rèn)連接方式可選連接方式使用關(guān)系家庭局域網(wǎng)注：“默認(rèn)連接方式”表示采用有線或無線利用網(wǎng)關(guān)實現(xiàn)網(wǎng)絡(luò)連接交互的方式，“可選連接方式”表示采用移動網(wǎng)絡(luò)或通過藍牙、紫蜂協(xié)議(ZigBee)、NFC等技術(shù)實現(xiàn)網(wǎng)絡(luò)連接交互的方式。圖1智能家居系統(tǒng)組成5.2智能家居安全框架在系統(tǒng)性分析智能家居系統(tǒng)各個環(huán)節(jié)安全風(fēng)險基礎(chǔ)上，本文件對智能家居安全框架進行了抽象，如圖2所示(具體分析見A.2和A.3)。凡涉及采用密碼技術(shù)解決機密性、完整性、真實性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。本文件主要考慮智能家居終端安全、智能家居網(wǎng)關(guān)安全、智能家居控制端安全和智能家居應(yīng)用服務(wù)平臺安全。4智能家居終端智能家居終端硬件安全固件安全操作系統(tǒng)安全應(yīng)用安全接口安全通信安全數(shù)據(jù)安全平臺環(huán)境安全應(yīng)用安全智能家居網(wǎng)關(guān)硬件安全固件安全操作系統(tǒng)安全通信網(wǎng)絡(luò)應(yīng)用安全接口安全通信安全數(shù)據(jù)安全數(shù)據(jù)安全終端管理安全智能家居控制端硬件安全固件安全操作系統(tǒng)安全應(yīng)用安全接口安全通信安全數(shù)據(jù)安全智能家居應(yīng)用服務(wù)平臺接口調(diào)用安全注：“通信網(wǎng)絡(luò)”包含家庭局域網(wǎng)和廣域網(wǎng)。雙箭頭連線表示智能家居終端、智能家居網(wǎng)關(guān)、智能家居控制端和智能家居應(yīng)用服務(wù)平臺相互之間通過通信網(wǎng)絡(luò)進行通信的邏輯關(guān)系。圖2智能家居安全框架6智能家居終端安全要求6.1硬件安全對于物理安全要求包括：a)宜具備數(shù)據(jù)的物理保護機制，防止攻擊者通過去除芯片表面封裝層而獲取存儲器數(shù)據(jù)；b)宜具備在受到暴力移除或拆卸時的防護預(yù)警機制，如將預(yù)警信息上傳至智能家居應(yīng)用服務(wù)平臺等方式。對于芯片安全要求包括：a)對于具備安全元件的芯片，應(yīng)具備固件芯片的物理寫保護的功能，防止固件被篡改；b)宜具備安全域隔離功能，提供可信執(zhí)行環(huán)境；c)芯片宜使用拆卸存跡硬質(zhì)涂層，防止直接觀察和探測芯片內(nèi)容以及在拆卸或移動芯片后留下證據(jù)；d)對于具備安全元件的芯片，宜具備側(cè)信道攻擊防護機制；e)宜具備安全啟動硬件保護機制；f)宜具有硬件隨機數(shù)發(fā)生器、密鑰生成和加解密運算技術(shù)，加解密運算宜僅在可信執(zhí)行環(huán)境內(nèi)部處理；g)宜具備只有在可信執(zhí)行環(huán)境內(nèi)可訪問安全存儲區(qū)的功能。對于固件安全要求包括：a)應(yīng)具備固件更新機制，且更新前宜向用戶進行確認(rèn)；5b)應(yīng)對遠(yuǎn)程下載的固件更新文件的來源進行校驗；c)應(yīng)確保固件下載傳輸通道可信，防止中間人劫持或者嗅探；d)應(yīng)具備對固件升級文件完整性校驗機制；e)應(yīng)確保固件升級失敗后固件的可用性；f)應(yīng)確保固件不能通過物理接口提取出來，如串口讀取等；g)應(yīng)具備對固件中的關(guān)鍵代碼及重要數(shù)據(jù)進行防逆向、防調(diào)試和防篡改的功能；h)不應(yīng)將登錄用戶名、口令等登錄憑證明文存儲在設(shè)備固件中。6.3操作系統(tǒng)安全6.3.1操作系統(tǒng)集成安全對于具備操作系統(tǒng)的智能家居終端在進行操作系統(tǒng)集成時，要求包括：a)操作系統(tǒng)進行服務(wù)裁剪時，應(yīng)符合模塊最小化原則，僅保留必須的模塊；b)操作系統(tǒng)宜進行安全加固，具備防逆向、防調(diào)試和防篡改的功能。6.3.2操作系統(tǒng)權(quán)限控制對于具備操作系統(tǒng)的智能家居終端要求包括：a)對于支持多個用戶賬號的系統(tǒng)，用戶權(quán)限分配應(yīng)遵循最小權(quán)限原則，普通用戶只擁有系統(tǒng)賦予的最小權(quán)限，禁止越權(quán)操作；b)系統(tǒng)應(yīng)具備遠(yuǎn)程控制請求的身份鑒別機制，避免非法用戶或應(yīng)用控制系統(tǒng)；c)系統(tǒng)在安裝應(yīng)用時需要獲得用戶授權(quán)，應(yīng)拒絕安裝被用戶拒絕的應(yīng)用；應(yīng)用安裝時，權(quán)限分配采取授權(quán)最小化原則，系統(tǒng)應(yīng)能禁止所有未被允許權(quán)限的使用；d)系統(tǒng)應(yīng)對不同的應(yīng)用進程及數(shù)據(jù)之間實施適當(dāng)?shù)脑L問控制管理措施，不同應(yīng)用程序的進程及數(shù)據(jù)不能非授權(quán)訪問；e)系統(tǒng)不應(yīng)預(yù)留任何未公開賬號，所有賬號應(yīng)可被操作系統(tǒng)管理；f)不應(yīng)存在繞過正常鑒別機制直接進入到系統(tǒng)的隱秘通道，如：特定接口、特定客戶端、特殊URL等。6.3.3操作系統(tǒng)安全啟動對于具備操作系統(tǒng)的智能家居終端，在進行操作系統(tǒng)啟動時，宜提供安全啟動機制進行系統(tǒng)的真實性和完整性驗證，當(dāng)安全驗證通過后，系統(tǒng)方能正常啟動。6.3.4操作系統(tǒng)更新安全對于具備操作系統(tǒng)的智能家居終端要求包括：a)應(yīng)具備操作系統(tǒng)更新機制，且更新前宜得到用戶確認(rèn)；b)更新時，應(yīng)對更新文件的來源和完整性進行校驗；c)更新失敗時，應(yīng)保證系統(tǒng)的可用性并給予用戶相應(yīng)的提示，且安全屬性與升級前一致；d)應(yīng)具備通過補丁或軟件升級的方式消除安全漏洞的功能。6.3.5操作系統(tǒng)配置安全對于具備調(diào)試功能的智能家居終端，在進行操作系統(tǒng)配置時，應(yīng)限制調(diào)試進程在操作系統(tǒng)中的訪問權(quán)限和操作權(quán)限，防止權(quán)限設(shè)置過高導(dǎo)致權(quán)限濫用。66.3.6服務(wù)配置安全對于具備操作系統(tǒng)的智能家居終端要求包括：a)對于能夠安裝外部應(yīng)用的系統(tǒng)，應(yīng)提供對系統(tǒng)API的訪問控制功能機制，防止應(yīng)用對系統(tǒng)接口的非授權(quán)調(diào)用；b)對于可配置服務(wù)的操作系統(tǒng)，應(yīng)具備修改默認(rèn)配置的功能，具體功能要求包含但不限于修改默認(rèn)身份和鑒別信息、服務(wù)啟用和禁用、應(yīng)用訪問限制和應(yīng)用后臺刷新、數(shù)據(jù)上傳、數(shù)據(jù)下載限制及監(jiān)控；c)登錄口令宜具有一定復(fù)雜度要求，字符長度應(yīng)不少于八位，且應(yīng)由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；d)宜提供數(shù)據(jù)通信連接狀態(tài)的標(biāo)志；e)對于支持遠(yuǎn)程連接的設(shè)備，其操作系統(tǒng)應(yīng)使用安全的通信協(xié)議保障通道安全，包括具備建立通道時的身份鑒別和傳輸數(shù)據(jù)的機密性與完整性保護機制；f)對于通過Web進行遠(yuǎn)程管理的設(shè)備，對其進行管理和配置的行為應(yīng)經(jīng)過登錄身份鑒別，其登錄和退出過程需有日志記錄；記錄內(nèi)容應(yīng)至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄發(fā)起方的IP地址等信息。6.3.7操作系統(tǒng)安全審計對于具備操作系統(tǒng)的智能家居終端要求包括：a)應(yīng)具備記錄用戶對設(shè)備操作的功能，記錄包括但不限于用戶對設(shè)備操作時所使用的賬號、操作時間、操作內(nèi)容以及操作結(jié)果；b)宜自動將設(shè)備異常關(guān)機、重啟、文件系統(tǒng)損壞等異常狀態(tài)下產(chǎn)生的告警信息記入日志；c)對于具備文件系統(tǒng)的操作系統(tǒng)，應(yīng)具備按賬號分配日志文件讀取的功能，防止日志文件被非法讀取，且對于日志文件的刪除操作僅允許管理員賬號進行處理；d)應(yīng)具備在日志分配的存儲空間耗盡時，能夠按照操作系統(tǒng)的設(shè)置采取措施的功能。例如，報警并丟棄未記錄的信息、暫停日志錄入、覆蓋以前的日志等。智能家居終端上的應(yīng)用安全要求包括：a)應(yīng)具備防偽冒、防篡改、防逆向和防調(diào)試的功能；b)應(yīng)具備防范越權(quán)操控和身份偽冒的功能；c)對設(shè)備密碼、設(shè)備鑒別信息等關(guān)鍵安全信息進行加密處理，不應(yīng)在日志和配置文件中明文記錄關(guān)鍵安全信息；d)如需與智能家居應(yīng)用服務(wù)平臺或其他終端應(yīng)用進行數(shù)據(jù)交互，則在傳輸之前應(yīng)進行雙向鑒別，并且應(yīng)通過安全的網(wǎng)絡(luò)傳輸協(xié)議進行通信，保護通信內(nèi)容的機密性和完整性；e)應(yīng)具備防止對身份驗證數(shù)據(jù)進行暴力攻擊破解的功能；f)應(yīng)具備對輸入數(shù)據(jù)格式的檢驗過濾機制；g)宜支持設(shè)備一機一密配置，密鑰與設(shè)備唯一標(biāo)識綁定，防止設(shè)備偽造；h)對于使用傳統(tǒng)Bin應(yīng)用編譯宜在編譯過程采用安全編譯選項，降低內(nèi)存攻擊漏洞的影響；i)應(yīng)確保應(yīng)用不使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并應(yīng)具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能；j)宜具備應(yīng)用安全事件的實時監(jiān)測和應(yīng)用審計機制。76.5接口安全6.5.1硬件接口安全對于硬件接口安全要求包括：a)對于具有console接口的設(shè)備，應(yīng)配置用戶名、口令等方式進行鑒別，禁止直接登錄，口令字符長度應(yīng)不少于八位，且應(yīng)由大小寫字母、數(shù)字、特殊符號中的兩種或兩種以上類型組成；b)對于使用無線和有線外圍接口的設(shè)備，宜通過指示燈或顯示屏等方式，提供數(shù)據(jù)傳輸狀態(tài)的監(jiān)控功能，不同的傳輸狀態(tài)應(yīng)有所差異；c)具有調(diào)試功能的接口，應(yīng)在出廠時設(shè)置為默認(rèn)關(guān)閉；d)宜具備防暴力破解的功能；e)宜支持一機一密鑒別機制。對于端口安全要求包括：a)端口開放應(yīng)遵循最小化原則，默認(rèn)關(guān)閉非必須使用的端口，如遠(yuǎn)程登錄協(xié)議(Telnet)、SSH等服務(wù)端口；對于必須使用的端口，使用后應(yīng)關(guān)閉；b)系統(tǒng)應(yīng)提示用戶所有開放的端口，并告知對業(yè)務(wù)影響，用戶可自主選擇對服務(wù)端口開放或關(guān)閉的配置功能，避免存在用戶未知且無法關(guān)閉的服務(wù)端口；c)宜具備防暴力破解的功能；d)宜支持一機一密鑒別機制。6.6通信安全對于通信安全要求包括：a)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居終端，通信安全應(yīng)符合ISO/IEC27033-6中的規(guī)定；b)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居終端，通信安全應(yīng)符合GB/T29234—2012中的規(guī)定；c)通信配對時應(yīng)對密鑰進行加密傳輸，防止密鑰泄露。6.7數(shù)據(jù)安全對于數(shù)據(jù)安全要求包括：a)數(shù)據(jù)傳輸時，應(yīng)用或系統(tǒng)應(yīng)具備對數(shù)據(jù)機密性和完整性保護機制，且用于傳輸加密的密鑰不應(yīng)硬編碼在代碼中；b)應(yīng)具備存儲過程中對關(guān)鍵安全信息的機密性和完整性保護機制；c)對于能夠安裝第三方應(yīng)用的系統(tǒng)，應(yīng)具備對第三方應(yīng)用軟件訪問數(shù)據(jù)權(quán)限的控制功能，能夠發(fā)現(xiàn)或記錄非授權(quán)應(yīng)用訪問數(shù)據(jù)；d)智能家居終端的個人信息安全，應(yīng)符合GB/T35273—2020中第5章～第8章的要求。7智能家居網(wǎng)關(guān)安全要求7.1硬件安全智能家居網(wǎng)關(guān)應(yīng)符合6.1硬件安全要求。7.2固件安全智能家居網(wǎng)關(guān)應(yīng)符合6.2固件安全要求。87.3操作系統(tǒng)安全智能家居網(wǎng)關(guān)應(yīng)符合6.3操作系統(tǒng)安全要求。7.4應(yīng)用安全智能家居網(wǎng)關(guān)應(yīng)用安全要求包括：a)應(yīng)符合6.4應(yīng)用安全的要求；b)對于支持本地Web管理功能的網(wǎng)關(guān)，其Web管理應(yīng)用應(yīng)具備防護外部攻擊功能，支持啟動安全策略，如限制連續(xù)的非法登錄嘗試次數(shù)；c)應(yīng)對安裝包的完整性和來源的真實性進行校驗，不應(yīng)自動安裝第三方應(yīng)用軟件。7.5接口安全智能家居網(wǎng)關(guān)應(yīng)符合6.5接口安全要求。7.6通信安全7.6.1接入安全對于智能家居網(wǎng)關(guān)接入安全，應(yīng)符合6.6通信安全的要求。7.6.2智能家居終端接入控制智能家居終端連接智能家居網(wǎng)關(guān)時，對智能家庭網(wǎng)關(guān)要求包括：a)宜具備對接入的智能家居終端通過MAC地址等方式進行標(biāo)記和過濾的功能；b)宜具備對接入的智能家居終端進行網(wǎng)絡(luò)接入權(quán)限控制的功能，包括黑白名單控制、限速控制等；c)宜具備通過頻段、信道劃分等安全域劃分方式對接入的智能家居終端進行安全隔離的功能。7.6.3通信傳輸安全智能家居網(wǎng)關(guān)應(yīng)支持安全傳輸通道功能。智能家居網(wǎng)關(guān)的網(wǎng)絡(luò)攻擊防護要求包括：a)智能家居網(wǎng)關(guān)宜能夠?qū)尤氲闹悄芗揖咏K端開放端口進行識別，對其中存在風(fēng)險服務(wù)具備告b)智能家居網(wǎng)關(guān)應(yīng)具備對智能家居終端接收到的Telnet等異常外部請求行為的檢測、告警及連接阻斷的功能；c)智能家居網(wǎng)關(guān)宜具備防止用戶偽造源的組播的功能；d)智能家居網(wǎng)關(guān)應(yīng)具備拒絕服務(wù)攻擊源流量處置機制；e)智能家居網(wǎng)關(guān)應(yīng)具備防火墻功能，能夠根據(jù)策略對特定連接做阻斷、限速，能夠通過遠(yuǎn)程的方式進行防火墻配置及防護策略下發(fā)；f)智能家居網(wǎng)關(guān)宜具備對通過其傳輸?shù)牧髁窟M行惡意URL/IP和僵尸、木馬和蠕蟲等病毒文件的檢測、告警和攔截功能。智能家居網(wǎng)關(guān)應(yīng)符合6.7數(shù)據(jù)安全的要求。9GB/T41387—20228智能家居控制端安全要求8.1硬件安全對于使用專用硬件設(shè)備的智能家居控制端，其硬件安全應(yīng)符合6.1硬件安全的要求。8.2固件安全對于使用專用硬件設(shè)備，且具備固件的智能家居控制端，其固件安全應(yīng)符合6.2固件安全要求。8.3操作系統(tǒng)安全對于使用專用硬件設(shè)備，且具備操作系統(tǒng)的智能家居控制端，其操作系統(tǒng)安全應(yīng)符合6.3操作系統(tǒng)安全要求。8.4應(yīng)用安全智能家居控制端上的應(yīng)用安全要求包括：a)應(yīng)具備防偽冒、防篡改、防逆向和防調(diào)試的功能；b)應(yīng)具備防范越權(quán)操控和身份偽冒的功能；c)在日志和配置文件中的用戶鑒別信息等關(guān)鍵安全信息應(yīng)進行加密處理；d)與智能家居終端進行數(shù)據(jù)交互，應(yīng)通過安全網(wǎng)絡(luò)協(xié)議傳輸；e)與智能家居應(yīng)用服務(wù)平臺進行數(shù)據(jù)交互，應(yīng)通過安全網(wǎng)絡(luò)協(xié)議進行傳輸，且在傳輸之前應(yīng)進行雙向鑒別；f)應(yīng)具備防止對身份驗證數(shù)據(jù)進行暴力攻擊破解的功能；g)應(yīng)具備在卸載應(yīng)用時能夠刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件的功能；h)控制端應(yīng)用應(yīng)確保不使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并應(yīng)具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能。8.5接口安全對于智能家居控制端的接口安全，應(yīng)符合6.5接口安全要求。8.6通信安全對于智能家居控制端的通信安全，應(yīng)符合6.6通信安全要求。8.7數(shù)據(jù)安全對于智能家居控制端的數(shù)據(jù)安全，應(yīng)符合6.7數(shù)據(jù)安全要求。9智能家居應(yīng)用服務(wù)平臺安全要求9.1平臺環(huán)境安全對于智能家居應(yīng)用服務(wù)平臺環(huán)境安全，應(yīng)符合GB/T31168—2014中的規(guī)定。9.2應(yīng)用安全9.2.1身份鑒別智能家居應(yīng)用服務(wù)平臺的身份鑒別要求包括。a)應(yīng)對使用智能家居應(yīng)用服務(wù)平臺應(yīng)用的用戶進行身份鑒別，并應(yīng)符合GB/T36633—2018中的安全要求。b)應(yīng)對應(yīng)用服務(wù)平臺的應(yīng)用進行身份鑒別，應(yīng)符合如下安全要求：1)構(gòu)建應(yīng)用標(biāo)識體系，為每個應(yīng)用分配唯一的身份標(biāo)識；2)應(yīng)對接入平臺的應(yīng)用進行身份鑒別，只有通過身份鑒別的應(yīng)用才能接入應(yīng)用服務(wù)平臺執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；3)應(yīng)為不同的應(yīng)用分配不同的密鑰，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰管理功能；4)對接口的調(diào)用都應(yīng)經(jīng)過鑒權(quán)，限定可操作的資源范圍、操作權(quán)限。c)應(yīng)對接入應(yīng)用服務(wù)平臺的設(shè)備進行身份鑒別，應(yīng)符合如下安全要求：1)應(yīng)構(gòu)建設(shè)備標(biāo)識體系，為每個智能家居終端分配唯一的身份標(biāo)識，并與設(shè)備信息進行關(guān)2)應(yīng)通過預(yù)置密鑰、密鑰協(xié)商等方式，為每個設(shè)備分配唯一的設(shè)備密鑰，并支持密鑰的生成、3)應(yīng)對接入平臺的設(shè)備進行身份鑒別，只有通過身份鑒別的設(shè)備才能接入應(yīng)用服務(wù)平臺進行后續(xù)應(yīng)用操作，身份鑒別的方式包括驗證PIN碼等有效驗證用戶身份的信息；4)設(shè)備鑒別過程如需使用隨機數(shù)機制，應(yīng)使用系統(tǒng)真隨機生成，如/dev/urandom、/dev/ran-dom等隨機算法，確保不可預(yù)測，不應(yīng)使用srand等偽隨機算法(時間做種子);5)對于支持應(yīng)用賬號綁定的設(shè)備，宜通過對原賬號解綁后才可進行重新綁定，不宜通過設(shè)備重置方式進行賬號重新綁定。d)應(yīng)具備對訪問應(yīng)用服務(wù)平臺的平臺管理人員進行身份鑒別的功能，其宜采用兩種或兩種以上多因素身份鑒別技術(shù)進行身份鑒別，其中至少一種鑒別技術(shù)應(yīng)使用密碼技術(shù)來實現(xiàn)。智能家居應(yīng)用服務(wù)平臺的權(quán)限控制要求包括：a)應(yīng)支持用戶分級分組，并根據(jù)不同用戶等級、分組授予不同的業(yè)務(wù)訪問權(quán)限，只允許獲得授權(quán)的用戶訪問指定的數(shù)據(jù)及內(nèi)容、執(zhí)行相應(yīng)應(yīng)用操作；b)應(yīng)根據(jù)不同的應(yīng)用等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，調(diào)用指定的應(yīng)用能c)應(yīng)根據(jù)不同的設(shè)備類型或等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的設(shè)備，訪問指定的數(shù)據(jù)及信息、執(zhí)行對應(yīng)的操作。9.3接口調(diào)用安全對于智能家居服務(wù)平臺間的接口調(diào)用安全要求包括：a)應(yīng)具備平臺與平臺之間的合法性校驗機制，防止應(yīng)用服務(wù)平臺冒用和越權(quán)訪問；b)被調(diào)用應(yīng)用服務(wù)平臺應(yīng)具備針對源IP地址范圍進行授權(quán)的功能，調(diào)用該平臺時除提供靜態(tài)口令外還需要對IP地址范圍進行授權(quán)；c)被調(diào)用平臺應(yīng)具備對所調(diào)用資源記錄完整操作日志的功能；d)對于用戶訪問權(quán)限有要求的接口，應(yīng)具備訪問控制(例如，黑/白名單)機制，以便對非法用戶訪問進行攔截；e)應(yīng)具備惡意攻擊的識別與阻斷功能。9.4數(shù)據(jù)安全9.4.1數(shù)據(jù)傳輸安全智能家居應(yīng)用服務(wù)平臺之間的數(shù)據(jù)傳輸要求包括：a)應(yīng)具備與智能家居終端、智能家居控制端、其他平臺之間的數(shù)據(jù)傳輸機密性保護機制；b)應(yīng)具備與智能家居終端、智能家居控制端、其他平臺之間的數(shù)據(jù)完整性保護機制，如使用哈希算法、時間戳、計數(shù)器等，防止未授權(quán)的第三方對數(shù)據(jù)進行修改、破壞和消息重放等。9.4.2數(shù)據(jù)訪問控制智能家居應(yīng)用服務(wù)平臺的數(shù)據(jù)訪問控制要求包括：a)應(yīng)具備權(quán)限控制功能，如在虛擬化系統(tǒng)上對于數(shù)據(jù)庫設(shè)置不同的訪問策略，保證用戶僅能對該系統(tǒng)對應(yīng)的數(shù)據(jù)庫進行權(quán)限以內(nèi)的相關(guān)操作，不能訪問其他未被授權(quán)的系統(tǒng)數(shù)據(jù)；b)應(yīng)具備對涉及關(guān)鍵安全信息的文件進行權(quán)限控制的功能，只允許具有相應(yīng)權(quán)限的用戶訪問；c)對數(shù)據(jù)的上傳下載操作，應(yīng)具備限制用戶向上跨目錄訪問的功能，只允許其訪問指定目錄下的文件。智能家居應(yīng)用服務(wù)平臺的數(shù)據(jù)存儲安全要求包括：a)應(yīng)具備密鑰安全存儲功能，如將密鑰存儲在加密機或特定代理內(nèi)部，保證密鑰不被泄露；b)應(yīng)具備數(shù)據(jù)完整性保護功能，對關(guān)鍵安全信息進行完整性檢測，確保關(guān)鍵安全信息在損壞和丟失時能夠及時發(fā)現(xiàn)；c)應(yīng)具備完備的數(shù)據(jù)備份和恢復(fù)功能，一旦發(fā)生數(shù)據(jù)丟失或破壞，可以利用備份恢復(fù)數(shù)據(jù)，保證數(shù)據(jù)在故障發(fā)生后不會丟失；d)應(yīng)具備對各類數(shù)據(jù)和文件進行歸檔和對臨時數(shù)據(jù)及文件進行定期自動清理的功能；e)當(dāng)數(shù)據(jù)刪除后系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫等資源所在存儲空間被釋放或重新分配時，應(yīng)具備數(shù)據(jù)的完全清除和不可恢復(fù)的功能。9.4.4個人信息安全智能家居應(yīng)用服務(wù)平臺的個人信息安全，應(yīng)符合GB/T35273—2020中第5章～第10章的要求。9.5終端管理安全對于智能家居應(yīng)用服務(wù)平臺終端管理安全要求包括：a)應(yīng)具備設(shè)備的信息安全上報和指令安全下發(fā)功能，保證上報信息和下發(fā)指令的完整性和機密性；b)應(yīng)具備固件安全升級功能，確保固件升級文件的完整性和機密性，并應(yīng)支持對升級后的固件來源的真實性進行驗證。10智能家居安全通用測試方法測試方法與技術(shù)要求一一對應(yīng)，在技術(shù)要求中，每條技術(shù)要求對應(yīng)的測試評價由檢測方法、預(yù)期結(jié)果和結(jié)果判定組成。10.2智能家居終端安全測試方法物理安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)核查芯片內(nèi)是否設(shè)置光敏檢測電路、溫度檢測電路、電壓電路檢測、溫度檢測電路以及頻率檢測電路等模塊，對芯片工作環(huán)境進行監(jiān)控，當(dāng)攻擊者通過去除芯片表面封裝層而試圖獲取存儲器數(shù)據(jù)時，檢測模塊是否會產(chǎn)生警告信息；或者核查是否對芯片內(nèi)部總線以及存儲器等重要敏感電路部分添加物理保護層；或者核查是否具有抗功耗分析攻擊的能力；2)通過暴力移除或者拆卸操作，驗證智能家居終端是否具有防護預(yù)警機制，如將預(yù)警信息上傳至智能家居應(yīng)用服務(wù)平臺等方式。b)預(yù)期結(jié)果：1)芯片具備數(shù)據(jù)的物理保護機制，防止攻擊者通過去除芯片表面封裝層而獲取存儲器數(shù)據(jù)；2)智能家居終端具備在受到暴力移除或拆卸時的防護預(yù)警機制，如將預(yù)警信息上傳至智能家居應(yīng)用服務(wù)平臺等方式。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。芯片安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)對于具備安全元件的芯片，嘗試篡改芯片內(nèi)部固件數(shù)據(jù)，驗證固件芯片是否具有物理寫保護的功能；2)審查廠商提交的文檔，查看芯片是否具有安全域隔離功能，提供可信執(zhí)行環(huán)境；3)審查廠商提交的文檔，查看芯片是否使用拆卸存跡硬質(zhì)涂層，可以防止直接觀察和探測芯片內(nèi)容以及拆卸或移動芯片后留下證據(jù)；4)審查廠商提交的文檔，查看出廠前是否擦除主控芯片表面的型號、廠商等信息，增加破解難度；5)審查廠商提交的文檔，查看是否具備安全啟動硬件保護機制；6)審查廠商提交的文檔，查看是否具有硬件真隨機數(shù)、硬件加密密鑰和加解密技術(shù)，硬件加密密鑰只在可信執(zhí)行環(huán)境內(nèi)部處理；7)審查廠商提交的文檔，查看是否具備只有可信執(zhí)行環(huán)境可訪問安全存儲區(qū)的功能。b)預(yù)期結(jié)果：1)具備安全元件的芯片，固件芯片具有物理寫保護的功能，防止固件被篡改；2)芯片具有安全域隔離功能，提供可信執(zhí)行環(huán)境；3)芯片使用拆卸存跡硬質(zhì)涂層，防止直接觀察和探測芯片內(nèi)容，以及拆卸或移動芯片后留下證據(jù)；4)出廠前擦除主控芯片表面的型號、廠商等信息，增加破解難度；5)具備安全啟動硬件保護機制；6)具備硬件真隨機數(shù)、硬件加密密鑰和加解密技術(shù)，硬件加密密鑰只在可信執(zhí)行環(huán)境內(nèi)部處理；7)具備只有可信執(zhí)行環(huán)境可訪問安全存儲區(qū)的功能。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。固件安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看是否具備固件更新機制，嘗試進行固件更新，檢查是否具備向用戶進行確認(rèn)的功能；2)在升級服務(wù)器中添加用于測試的新版本固件，啟動固件升級，檢查固件升級前是否對固件升級包驗證來源的真實性；3)審查廠商提交的文檔，查看固件下載鏈路是否可防止中間人劫持或者嗅探；4)修改固件升級文件的內(nèi)容，在授權(quán)的條件下，進行系統(tǒng)更新，檢查是否可以通過完整性校5)嘗試推送不正確的固件給設(shè)備，使升級失敗，驗證設(shè)備是否可以恢復(fù)到可用的版本；6)通過設(shè)備上各類物理接口連接到設(shè)備，并嘗試進行固件讀取，檢測固件是否能通過物理接口讀取的手段提取出來；7)檢查固件的安全設(shè)計文檔，確認(rèn)固件中的關(guān)鍵代碼及重要數(shù)據(jù)是否具備防逆向、防調(diào)試和防篡改等功能；8)檢查固件的安全設(shè)計文檔，查看其是否存在將登錄用戶名、口令等登錄憑證明文存儲在設(shè)備固件中的情況。b)預(yù)期結(jié)果：1)具備固件更新機制，且更新前向用戶進行確認(rèn)；2)固件升級前對固件升級包來源的真實性進行驗證；3)固件下載鏈路可以確?？尚?，能夠防止中間人劫持或者嗅探；4)修改固件升級文件的內(nèi)容，在授權(quán)的條件下，進行系統(tǒng)更新，不能通過完整性校驗，更新失??；5)推送不正確的固件給設(shè)備，使升級失敗，設(shè)備可以恢復(fù)到可用的版本；6)固件不能通過物理接口等手段提取出來；7)固件中的關(guān)鍵代碼及重要數(shù)據(jù)具備防逆向、防調(diào)試和防篡改等功能；8)不存在將登錄用戶名、口令等登錄憑證明文存儲在設(shè)備固件中的情況。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。操作系統(tǒng)集成安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看操作系統(tǒng)進行服務(wù)剪裁時，是否滿足模塊最小化原則，且僅保留必要的模塊；2)核查操作系統(tǒng)是否進行安全加固，是否具有防逆向、防調(diào)試和防篡改的功能。b)預(yù)期結(jié)果：1)操作系統(tǒng)進行服務(wù)剪裁時，滿足模塊最小化原則，僅保留必須的模塊；2)操作系統(tǒng)進行安全加固，具備防逆向、防調(diào)試和防篡改的功能。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。操作系統(tǒng)權(quán)限控制的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)創(chuàng)建多個用戶賬戶，驗證用戶權(quán)限分配是否遵循最小權(quán)限原則，普通用戶是否只擁有系統(tǒng)賦予的最小權(quán)限，嘗試越權(quán)操作，該越權(quán)操作是否被禁止；2)申請遠(yuǎn)程控制，驗證系統(tǒng)是否具有身份鑒別機制，是否可以禁止非法用戶或應(yīng)用控制3)在系統(tǒng)上申請安裝應(yīng)用，驗證是否需要獲得用戶授權(quán)才能安裝；如果用戶拒絕安裝該應(yīng)用，系統(tǒng)是否拒絕安裝應(yīng)用；在應(yīng)用安裝時，驗證權(quán)限分配是否采取授權(quán)最小化原則，系統(tǒng)是否禁止所有未被允許權(quán)限的使用；4)當(dāng)不同的應(yīng)用進程或數(shù)據(jù)之間進行訪問時，驗證系統(tǒng)是否具有訪問控制機制，不同應(yīng)用程序的進程及數(shù)據(jù)是否禁止隨意互訪；5)審查廠商提交的文檔，查看系統(tǒng)是否禁止預(yù)留任何的未公開賬號，所有賬號都必須可被操作系統(tǒng)管理；6)審查廠商提交的文檔，查看是否禁止存在繞過正常鑒別機制直接進入到系統(tǒng)的隱秘通道，b)預(yù)期結(jié)果：1)對于支持多個用戶賬戶的系統(tǒng)，用戶權(quán)限分配遵循最小權(quán)限原則，普通用戶只擁有系統(tǒng)賦予的最小權(quán)限，禁止越權(quán)操作；2)申請遠(yuǎn)程控制，系統(tǒng)對遠(yuǎn)程控制的請求進行身份鑒別，可以防止非法用戶或應(yīng)用控制系統(tǒng)；3)系統(tǒng)在應(yīng)用安裝時需要獲得用戶授權(quán)，且系統(tǒng)拒絕安裝被用戶拒絕的應(yīng)用；應(yīng)用安裝時，權(quán)限分配采取授權(quán)最小化原則，系統(tǒng)可以禁止所有未被允許權(quán)限的使用；4)系統(tǒng)對不同的應(yīng)用進程及數(shù)據(jù)之間實施適當(dāng)?shù)脑L問控制管理，不同應(yīng)用程序的進程及數(shù)據(jù)不能隨意互訪；5)系統(tǒng)禁止預(yù)留任何的未公開賬號，所有賬號都必須可被操作系統(tǒng)管理；6)禁止存在繞過正常鑒別機制直接進入到系統(tǒng)的隱秘通道，如：特定接口、特定客戶端、特殊c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。操作系統(tǒng)安全啟動的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：審查廠商提交的文檔，查看智能家居終端設(shè)備是否具有安全啟動機制；在非授權(quán)的條件下修改啟動分區(qū)，重新啟動操作系統(tǒng)；檢查修改的代碼是否可以通過真實性和完整性驗證。b)預(yù)期結(jié)果：智能家居終端設(shè)備具有安全啟動機制，在非授權(quán)的條件下修改啟動分區(qū)，重新啟動操作系統(tǒng)，修改后的代碼不能通過真實性和完整性驗證，系統(tǒng)無法正常啟動。滿足為“符合”,其他情況為若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。操作系統(tǒng)更新安全機制的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看是否具備操作系統(tǒng)更新機制，嘗試進行操作系統(tǒng)更新，檢查是否具備向用戶進行確認(rèn)的功能；2)修改更新文件的來源，在授權(quán)的條件下，進行系統(tǒng)更新，檢查是否可以通過校驗，完成更新；修改更新文件的內(nèi)容，在授權(quán)的條件下，進行系統(tǒng)更新，檢查是否可以通過完整性校3)嘗試推送不正確的操作系統(tǒng)，使升級失敗，驗證是否可以恢復(fù)到可用的版本；4)審查廠商提交的文檔，查看操作系統(tǒng)是否具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的功能。b)預(yù)期結(jié)果：1)具備操作系統(tǒng)更新機制，且更新前宜得到用戶確認(rèn)；2)修改更新文件的來源，在授權(quán)的條件下，進行系統(tǒng)更新，未通過校驗，更新失敗；修改更新3)推送不正確的操作系統(tǒng)，使升級失敗，設(shè)備可以恢復(fù)到可用的版本；4)操作系統(tǒng)具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的功能。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。操作系統(tǒng)配置安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：審查廠商提交的文檔，查看具備調(diào)試功能的設(shè)備，是否限制調(diào)試進程在操作系統(tǒng)中的訪問權(quán)限和操作權(quán)限；使用調(diào)試進程，進行非授權(quán)的訪問，檢查是否可以訪問成功；使用調(diào)試進程，進行非授權(quán)操作，檢查是否操作成功。b)預(yù)期結(jié)果：對具備調(diào)試功能的設(shè)備，限制調(diào)試進程在操作系統(tǒng)中的訪問權(quán)限和操作權(quán)限；使用調(diào)試進程，c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。服務(wù)配置安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看對于能夠安裝外部應(yīng)用的系統(tǒng)，是否提供對系統(tǒng)API的訪問控制機制，防止應(yīng)用對系統(tǒng)接口的非授權(quán)調(diào)用；2)審查廠商提交的文檔，查看對于可配置服務(wù)的系統(tǒng)，是否具備修改默認(rèn)配置的功能，具體功能要求包含但不限于修改默認(rèn)身份和鑒別信息、服務(wù)啟用和禁用、應(yīng)用訪問限制和應(yīng)用后臺刷新、數(shù)據(jù)上傳、數(shù)據(jù)下載限制及監(jiān)控；嘗試修改服務(wù)的默認(rèn)配置，是否包含修改默認(rèn)身份和鑒別信息、服務(wù)啟用和禁用、應(yīng)用訪問限制和應(yīng)用后臺刷新、數(shù)據(jù)上傳、數(shù)據(jù)下載限制及監(jiān)控，但不限于這些功能；3)將少于八位的弱口令設(shè)置為系統(tǒng)登錄口令，驗證是否設(shè)置成功；檢查登錄口令是否由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；4)進行數(shù)據(jù)通信時，檢查是否有標(biāo)志顯示連接狀態(tài)；5)對于支持遠(yuǎn)程連接的設(shè)備，驗證系統(tǒng)所使用通信協(xié)議是否可保障鑒別信息、用戶個人信息等敏感數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾?，且是否未使用SSL2.0.0、SSL3.0和TLS1.0等已曝存在高危漏洞風(fēng)險的協(xié)議版本；在建立通道時，是否進行身份鑒別；在傳輸數(shù)據(jù)時，是否對數(shù)據(jù)進行機密性與完整性的驗證；6)通過Web進行遠(yuǎn)程管理的設(shè)備，對其進行管理和配置時，是否經(jīng)過身份鑒別；在登錄和退出的過程，是否有日志記錄，記錄內(nèi)容是否至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄發(fā)起方的IP地址等信息。b)預(yù)期結(jié)果：1)對于能夠安裝外部應(yīng)用的系統(tǒng)，提供對系統(tǒng)API的訪問控制機制；2)對于可配置服務(wù)的系統(tǒng)，具備修改默認(rèn)配置的功能，具體功能要求包含但不限于修改默認(rèn)身份鑒別信息、服務(wù)啟用和禁用、應(yīng)用訪問限制和應(yīng)用后臺刷新、數(shù)據(jù)上傳、數(shù)據(jù)下載限制及監(jiān)控；3)將少于八位的弱口令設(shè)置為系統(tǒng)登錄口令，設(shè)置不成功；登錄口令由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；4)進行數(shù)據(jù)通信時，有標(biāo)志顯示連接狀態(tài)；5)對支持遠(yuǎn)程連接的設(shè)備，系統(tǒng)使用安全的通信協(xié)議保障通道安全；在建立通道時，應(yīng)進行身份鑒別；在傳輸數(shù)據(jù)時，對數(shù)據(jù)進行機密性與完整性的驗證；6)通過Web進行遠(yuǎn)程管理的設(shè)備，對其進行管理和配置時，應(yīng)經(jīng)過身份鑒別；日志記錄登錄/退出的過程，記錄內(nèi)容至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄發(fā)起方的IP地址等信息。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。操作系統(tǒng)安全審計的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)當(dāng)用戶對設(shè)備進行操作時，檢查是否進行了日志記錄，記錄內(nèi)容是否至少包含用戶對設(shè)備操作時所使用的賬號、操作時間、操作內(nèi)容以及操作結(jié)果；2)檢查設(shè)備在異常關(guān)機、重啟、文件系統(tǒng)損壞時產(chǎn)生的告警信息，是否自動記入日志；3)對于具備文件系統(tǒng)的系統(tǒng)，檢查是否具備按賬號分配日志文件讀取的功能，嘗試使用其他合法賬戶讀取現(xiàn)在賬戶的日志文件，檢查是否可以讀?。皇褂梅浅壒芾韱T賬戶對日志文件進行刪除操作，檢查是否刪除成功；4)檢查設(shè)備當(dāng)為日志分配的存儲空間耗盡時，是否按操作系統(tǒng)的設(shè)置決定采取的措施，例如，報警并丟棄未記錄的信息、暫停日志錄入、覆蓋以前的日志等。b)預(yù)期結(jié)果：1)當(dāng)用戶對設(shè)備進行操作時，設(shè)備對其進行了日志記錄，記錄內(nèi)容至少包含用戶對設(shè)備操作時所使用的賬號、操作時間、操作內(nèi)容以及操作結(jié)果；2)設(shè)備在異常關(guān)機、重啟、文件系統(tǒng)損壞時產(chǎn)生的告警信息，自動記入日志；3)對于具備文件系統(tǒng)的系統(tǒng)，具備按賬號分配日志文件讀取的功能，使用其他合法賬戶讀取現(xiàn)在賬戶的日志文件，讀取失?。皇褂梅浅壒芾韱T賬戶對日志文件進行刪除操作，刪除失??；4)當(dāng)為日志分配的存儲空間耗盡時，可按操作系統(tǒng)用戶的設(shè)置采取措施，包括報警并丟棄未記錄的信息、暫停日志錄入、覆蓋以前的日志等。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。應(yīng)用安全的檢測方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)使用交互式反匯編軟件等反編譯工具，檢測應(yīng)用是否具備防偽冒、防篡改、防逆向和防調(diào)試的功能；2)嘗試越權(quán)操作，檢查是否可以操作；嘗試非法身份操作，檢查是否可以操作；3)檢查在日志和配置文件中，是否明文記錄設(shè)備密碼、設(shè)備鑒別信息等關(guān)鍵安全信息；4)與智能家居應(yīng)用服務(wù)平臺進行數(shù)據(jù)交互時，檢查在傳輸之前是否進行雙向鑒別，并且在通信時是否采用安全網(wǎng)絡(luò)協(xié)議；5)檢查是否具有防止身份驗證數(shù)據(jù)被暴力攻擊的功能；6)檢查是否具備對輸入數(shù)據(jù)格式的檢驗機制，輸入不安全的數(shù)據(jù)，是否會進行過濾處理。7)審查廠商提交的文檔，查看是否支持設(shè)備一機一密配置，密鑰與設(shè)備唯一標(biāo)識綁定，防止設(shè)備偽造；8)檢測使用傳統(tǒng)Bin應(yīng)用編譯在編譯過程中是否采用安全編譯選項，以降低內(nèi)存攻擊漏洞9)檢查應(yīng)用是否使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，驗證其是否具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能；10)審查廠商提交的文檔，查看是否具備應(yīng)用安全事件的實時監(jiān)測和應(yīng)用審計機制。b)預(yù)期結(jié)果：1)應(yīng)用具備防偽冒、防篡改、防逆向和防調(diào)試的功能；2)對應(yīng)用進行越權(quán)操作，操作失??；使用非法身份操作，操作失??；3)在日志和配置文件中，對設(shè)備密碼、設(shè)備鑒別信息等關(guān)鍵安全信息進行加密存儲；4)與智能家居應(yīng)用服務(wù)平臺進行數(shù)據(jù)交互時，在傳輸之前進行雙向鑒別，并且在通信時采用安全網(wǎng)絡(luò)協(xié)議；5)具備防止身份驗證數(shù)據(jù)被暴力攻擊的功能；6)具備對輸入數(shù)據(jù)格式的檢驗機制，輸入不安全的數(shù)據(jù)，會進行過濾處理；7)支持設(shè)備一機一密配置，密鑰與設(shè)備唯一標(biāo)識綁定，防止設(shè)備偽造；8)對于使用傳統(tǒng)Bin應(yīng)用編譯宜在編譯過程采用安全編譯選項，降低內(nèi)存攻擊漏洞的影響；9)應(yīng)用未使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能；10)具備應(yīng)用安全事件的實時監(jiān)測和應(yīng)用審計機制。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。硬件接口安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)對于具有console接口的設(shè)備，檢查用戶是否需要配置用戶名、口令等方式鑒別才能進行登錄，是否已禁止直接登錄；口令是否符合長度不少于八位，并使用大小寫字母、數(shù)字、特殊符號等方式兩種或兩種以上組成的復(fù)雜口令；2)使用無線和有線外圍接口傳輸數(shù)據(jù)，驗證是否具有通過指示燈或顯示屏等方式監(jiān)控數(shù)據(jù)傳輸狀態(tài)的功能，在不同的傳輸狀態(tài)，監(jiān)控顯示是否有差異；3)檢查具備調(diào)試功能的接口，在出廠時是否設(shè)置為默認(rèn)關(guān)閉；4)使用暴力破解工具對硬件接口進行暴力破解，檢測其是否具備防暴力破解的功能；5)審查廠商提交的文檔，查看硬件接口是否支持一機一密鑒別機制。b)預(yù)期結(jié)果：1)對于具有console接口的設(shè)備，用戶需要配置用戶名、口令等方式得到鑒別授權(quán)，才能進行登錄，已禁止直接登錄；口令使用大小寫字母、數(shù)字、特殊符號等方式兩種或兩種以上組成的復(fù)雜口令；2)對于使用無線和有線外圍接口的設(shè)備，通過指示燈或顯示屏等方式，提供數(shù)據(jù)傳輸狀態(tài)的監(jiān)控功能，不同的傳輸狀態(tài)有所差異；3)具備調(diào)試功能的接口，在出廠時設(shè)置為默認(rèn)關(guān)閉；4)硬件接口具備防暴力破解的功能；5)硬件接口支持一機一密鑒別機制。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。端口安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看系統(tǒng)服務(wù)授權(quán)是否遵循最小化原則，是否默認(rèn)關(guān)閉遠(yuǎn)Telnet和SSH服務(wù)端口；在授權(quán)的條件下，調(diào)用Telnet接口，檢查是否可以調(diào)用；在授權(quán)條件2)檢查系統(tǒng)是否提示用戶所有開放的端口，并告知對業(yè)務(wù)影響，檢查用戶是否可自主選擇對服務(wù)端口開放或關(guān)閉的配置功能；3)使用暴力破解工具對端口進行暴力破解，檢測其是否具備防暴力破解的功能；4)審查廠商提交的文檔，查看端口是否支持一機一密鑒別機制。b)預(yù)期結(jié)果：1)系統(tǒng)服務(wù)授權(quán)遵循最小化原則，默認(rèn)關(guān)閉Telnet和SSH服務(wù)端口；在授權(quán)的條件下，調(diào)2)系統(tǒng)應(yīng)提示用戶所有開放的端口，并告知對業(yè)務(wù)影響，用戶可自主選擇對服務(wù)端口開放或關(guān)閉的配置功能，避免存在用戶未知且無法關(guān)閉的服務(wù)端口。3)端口具備防暴力破解的功能；4)端口支持一機一密鑒別機制。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。通信安全的檢測方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居終端，查看客戶是否能提供ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入對應(yīng)項的符合性證明；2)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居終端，查看客戶是否提供GB/T29234—2012中對于有線網(wǎng)絡(luò)接入對應(yīng)項的符合性證明；3)檢查智能家居終端在通信配對時是否對密鑰進行有效的加密傳輸。b)預(yù)期結(jié)果：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居終端，客戶提供的證明，符合ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入的安全要求；2)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居終端，客戶提供的證明，符合GB/T29234—2012中對于有線網(wǎng)絡(luò)接入的安全要求；3)在通信配對時對密鑰進行加密傳輸。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。數(shù)據(jù)安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看在數(shù)據(jù)傳輸時，應(yīng)用或系統(tǒng)是否具備對敏感數(shù)據(jù)進行保護的功能，保障關(guān)鍵安全信息的機密性、完整性和有效性，用于傳輸加密的密鑰不是硬編碼在代碼中；掃描設(shè)備的通信端口，檢查是否能獲取敏感信息；2)對于數(shù)據(jù)庫連接密碼、FTP服務(wù)口令、登錄口令、外部系統(tǒng)接口鑒別口令等關(guān)鍵安全信息，檢查是否具備機密性和完整性保護機制；3)對于能夠安裝第三方應(yīng)用的系統(tǒng)，檢查是否具備對第三方應(yīng)用軟件訪問數(shù)據(jù)權(quán)限的控制功能，進行非授權(quán)訪問數(shù)據(jù)，是否能夠發(fā)現(xiàn)或記錄該操作；4)查看廠商是否能提供GB/T35273—2020中第5章～第8章對應(yīng)項的符合性證明。b)預(yù)期結(jié)果：1)在數(shù)據(jù)傳輸時，應(yīng)用或系統(tǒng)具備對敏感數(shù)據(jù)進行保護的功能，保障關(guān)鍵安全信息的機密性、完整性和有效性，用于傳輸加密的密鑰不是硬編碼在代碼中；掃描設(shè)備的通信端口，不能獲取敏感信息；2)對于數(shù)據(jù)庫連接密碼、FTP服務(wù)口令、登錄口令、外部系統(tǒng)接口鑒別口令等關(guān)鍵安全信息，具備機密性和完整性保護機制；3)對于能夠安裝第三方應(yīng)用的系統(tǒng)，具備對第三方應(yīng)用軟件訪問數(shù)據(jù)權(quán)限的控制功能，進行非授權(quán)訪問數(shù)據(jù)，能夠發(fā)現(xiàn)或記錄該操作；4)廠商提供的證明，符合GB/T35273—2020中第5章～第8章對應(yīng)項的要求。c)結(jié)果判定：若智能家居終端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。10.3智能家居網(wǎng)關(guān)安全測試方法硬件安全的測試方法、預(yù)期結(jié)果和結(jié)果判定參照10.2.1。固件安全的測試方法、預(yù)期結(jié)果和結(jié)果判定參照10.2.2。操作系統(tǒng)安全的測試方法、預(yù)期結(jié)果和結(jié)果判定參照10.2.3。應(yīng)用安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)檢測方法參照10.2.4;2)審查廠商提交的文檔，查看對于支持本地Web管理網(wǎng)關(guān)的應(yīng)用，是否滿足登錄錯誤次數(shù)限制等安全要求；嘗試錯誤登錄，達到規(guī)定錯誤次數(shù)時，驗證設(shè)備是否采取相應(yīng)安全措施；3)檢查是否對安裝包的完整性和來源的真實性進行校驗，以及是否存在自動安裝第三方應(yīng)用軟件。b)預(yù)期結(jié)果：1)預(yù)期結(jié)果參考10.2.4;2)對于支持本地Web管理網(wǎng)關(guān)的應(yīng)用，滿足登錄錯誤次數(shù)限制等安全要求；3)對安裝包的完整性和來源的真實性進行校驗，且不存在自動安裝第三方應(yīng)用軟件。c)結(jié)果判定：若智能家居網(wǎng)關(guān)滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。接口安全的測試方法、預(yù)期結(jié)果和結(jié)果判定參照10.2.5。接入安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)測試方法：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居網(wǎng)關(guān)，通信安全應(yīng)符合ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入的安全要求；2)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居網(wǎng)關(guān)，通信安全應(yīng)符合GB/T29234—2012中對于寬帶有線網(wǎng)絡(luò)接入的安全要求；3)檢查智能家居網(wǎng)關(guān)在通信配對時是否對配對產(chǎn)生的密鑰進行有效的加密傳輸。b)預(yù)期結(jié)果：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居網(wǎng)關(guān)，客戶提供的證明，符合ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入的安全要求；2)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居網(wǎng)關(guān)，客戶提供的證明，符合GB/T29234—2012中對于寬帶有線網(wǎng)絡(luò)接入的安全要求；3)在通信配對時對配對產(chǎn)生的密鑰進行加密傳輸。c)結(jié)果判定：若智能家居網(wǎng)關(guān)滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。智能家居終端接入控制的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)測試方法：1)審查廠商提交的文檔，查看是否具備通過MAC地址等方式進行智能家居終端綁定標(biāo)記和過濾的功能；2)審查廠商提交的文檔，查看是否支持對接入的智能家居終端進行網(wǎng)絡(luò)接入權(quán)限控制，包括黑白名單控制、限速控制、訪問時長控制等；嘗試設(shè)置黑白名單控制、限速控制、訪問時長控制等；3)審查廠商提交的文檔，查看是否支持通過安全域劃分、頻段、信道劃分等安全域劃分方式對接入的智能家居終端進行安全隔離。b)預(yù)期結(jié)果：1)具備通過MAC地址等方式進行智能家居終端綁定標(biāo)記和過濾的功能；2)支持對接入的智能家居終端進行網(wǎng)絡(luò)接入權(quán)限控制，包括黑白名單控制、限速控制、訪問時長控制等；可以設(shè)置黑白名單控制、限速控制、訪問時長控制等；3)支持通過安全域劃分、頻段、信道劃分等安全域劃分方式對接入的智能家居終端進行安全隔離。c)結(jié)果判定：若智能家居網(wǎng)關(guān)滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。通信傳輸安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)測試方法：審查廠商提交的文檔，查看智能家居網(wǎng)關(guān)是否支持安全傳輸通道能力。b)預(yù)期結(jié)果：智能家居網(wǎng)關(guān)支持安全傳輸通道能力。c)結(jié)果判定：若智能家居網(wǎng)關(guān)滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。網(wǎng)絡(luò)攻擊防護的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)測試方法：1)嘗試在智能家居網(wǎng)關(guān)中，接入非法終端，驗證其是否可以識別存在風(fēng)險的服務(wù)，并告警和2)嘗試對家庭設(shè)備Telnet請求，驗證智能家居網(wǎng)關(guān)是否可以檢測到這種異常行為并進行告警及連接阻斷；3)嘗試進行用戶偽造源的組播，驗證智能家居網(wǎng)關(guān)是否可以阻止這種行為；4)審查廠商提交的文檔，查看智能家居網(wǎng)關(guān)是否具備拒絕服務(wù)攻擊源流量清洗功能，并對內(nèi)部輸出的異常流量進行檢測和處置；5)審查廠商提交的文檔，查看智能家居網(wǎng)關(guān)是否支持防火墻功能，能夠根據(jù)策略對特定連接做阻斷、限速，能夠通過遠(yuǎn)程的方式進行防火墻配置及防護策略下發(fā)；6)嘗試對通過智能家居網(wǎng)關(guān)傳輸?shù)牧髁窟M行惡意URL/IP、僵尸、木馬和蠕蟲等病毒文件攻b)預(yù)期結(jié)果：1)在智能家居網(wǎng)關(guān)中，接人非法終端，其可以識別存在風(fēng)險的服務(wù)，并告警和屏蔽，如Telnet、SSH等服務(wù)；2)對家庭設(shè)備Telnet請求，智能家居網(wǎng)關(guān)可以檢測到這種異常行為并進行告警及連接阻斷；3)進行用戶偽造源的組播，智能家居網(wǎng)關(guān)可以組織這種行為；4)智能家居網(wǎng)關(guān)具備拒絕服務(wù)攻擊源流量清洗功能，并對內(nèi)部輸出的異常流量進行檢測和處置；5)智能家居網(wǎng)關(guān)支持防火墻功能，能夠根據(jù)策略對特定連接做阻斷、限速，能夠通過遠(yuǎn)程的方式進行防火墻配置及防護策略下發(fā)；6)對通過智能家居網(wǎng)關(guān)傳輸?shù)牧髁窟M行惡意URL/IP、僵尸、木馬和蠕蟲等病毒文件攻擊，其可以檢測、告警和攔截。c)結(jié)果判定：若智能家居網(wǎng)關(guān)滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要求”,測評結(jié)束。數(shù)據(jù)安全的測試方法、預(yù)期結(jié)果和結(jié)果判定參照10.2.7。10.4智能家居控制端安全測試方法10.4.1不包含應(yīng)用安全的安全控制端應(yīng)用安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)測試方法：1)使用交互式反匯編軟件等反編譯工具，檢測應(yīng)用是否具備防偽冒、防篡改、防逆向和防調(diào)試的功能；2)嘗試越權(quán)操作，檢查是否可以操作；嘗試非法身份操作，檢查是否可以操作；3)檢查在日志和配置文件中，是否明文記錄用戶密碼、用戶鑒別信息；4)檢查與智能家居終端之間通信數(shù)據(jù)是否通過安全網(wǎng)絡(luò)協(xié)議傳輸；5)與智能家居應(yīng)用服務(wù)平臺進行數(shù)據(jù)交互時，檢查其是否采用安全網(wǎng)絡(luò)協(xié)議傳輸，且在傳輸之前是否進行雙向鑒別；6)檢查是否具有防止身份驗證數(shù)據(jù)被暴力破解的功能；7)卸載應(yīng)用，檢查是否刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件；8)檢查控制端應(yīng)用是否使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，驗證其是否具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能。b)預(yù)期結(jié)果：1)控制端應(yīng)用具備防偽冒、防篡改、防逆向和防調(diào)試的功能；2)越權(quán)操作，不可以被執(zhí)行；非法身份操作，不可以被執(zhí)行；3)在日志和配置文件中，不存在明文記錄設(shè)備密碼、設(shè)備鑒別信息；4)與智能家居終端進行數(shù)據(jù)交互，通過安全網(wǎng)絡(luò)協(xié)議傳輸；5)與智能家居應(yīng)用服務(wù)平臺進行數(shù)據(jù)交互時，其通過安全網(wǎng)絡(luò)協(xié)議傳輸，且在傳輸之前進行雙向鑒別；6)具有防止身份驗證數(shù)據(jù)被暴力破解的功能；7)卸載應(yīng)用時，應(yīng)用會刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件；8)控制端應(yīng)用未使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能。c)結(jié)果判定：若智能家居控制端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要10.5智能家居應(yīng)用服務(wù)平臺安全測試方法平臺環(huán)境安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：查看客戶是否能提供GB/T31168—2014中對應(yīng)項的符合性證明。b)預(yù)期結(jié)果：客戶提供的證明，符合GB/T31168—2014中的要求。c)結(jié)果判定：若智能家居應(yīng)用服務(wù)平臺滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符身份鑒別的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)查看客戶是否能提供GB/T36633—2018中對應(yīng)項的符合性證明。2)應(yīng)用服務(wù)平臺的應(yīng)用進行身份鑒別，檢測方法如下：i)審查廠商提交的文檔，查看是否構(gòu)建應(yīng)用標(biāo)識體系，為每個應(yīng)用分配唯一的身份標(biāo)識；ii)嘗試將非法應(yīng)用接入到平臺，檢查平臺是否進行身份鑒別，是否只有通過身份鑒別的應(yīng)用才能接入應(yīng)用服務(wù)平臺執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；iii)審查廠商提交的文檔，查看是否為不同的應(yīng)用分配不同的密鑰，并支持密鑰的生成、iv)審查廠商提交的文檔，查看對接口的調(diào)用是否都要經(jīng)過鑒權(quán)，限定可操作的資源范3)接入應(yīng)用服務(wù)的設(shè)備進行身份鑒別，檢測方法如下：i)審查廠商提交的文檔，查看是否構(gòu)建設(shè)備標(biāo)識體系，為每個智能家居終端分配唯一的ii)審查廠商提交的文檔，查看是否通過預(yù)置密鑰、密鑰個人化協(xié)商等方式，為每個設(shè)備分配唯一的設(shè)備密鑰，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰管理功能；iii)嘗試將設(shè)備接入平臺，檢查平臺是否對其進行身份鑒別，是否只有通過身份鑒別的設(shè)備才能接入應(yīng)用服務(wù)平臺進行后續(xù)應(yīng)用操作；iv)審查廠商提交的文檔，查看設(shè)備鑒別過程中如需使用隨機數(shù)機制，是否使用系統(tǒng)真隨機生成，如/dev/urandom、/dev/random,確保不可預(yù)測；v)對于支持應(yīng)用賬號綁定的設(shè)備，嘗試通過設(shè)備重置方式進行賬號重新綁定，檢查是否原賬號解綁后才可進行重新綁定。4)審查廠商提交的文檔，查看對訪問應(yīng)用服務(wù)平臺的平臺管理人員是否進行身份鑒別，是否采用兩種或兩種以上組合身份鑒別技術(shù)進行身份鑒別，其中至少一種鑒別技術(shù)使用密碼技術(shù)來實現(xiàn)；嘗試平臺管理員訪問應(yīng)用服務(wù)平臺，檢查是否進行身份鑒別。b)預(yù)期結(jié)果：1)客戶提供的證明，符合GB/T36633—2018中的要求。2)應(yīng)用服務(wù)平臺的應(yīng)用進行身份鑒別，預(yù)期結(jié)果如下：i)構(gòu)建應(yīng)用標(biāo)識體系，為每個應(yīng)用分配唯一的身份標(biāo)識；ii)將非法應(yīng)用，接入到平臺，平臺進行應(yīng)用身份鑒別，只有通過身份鑒別的應(yīng)用才能接入應(yīng)用服務(wù)平臺執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；iii)為不同的應(yīng)用分配不同的密鑰，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰管理功能；iv)對接口的調(diào)用都要經(jīng)過鑒權(quán)，限定可操作的資源范圍、操作權(quán)限。3)接入應(yīng)用服務(wù)的設(shè)備進行身份鑒別，預(yù)期結(jié)果如下：i)構(gòu)建設(shè)備標(biāo)識體系，為每個智能家居終端分配唯一的身份標(biāo)識，并與設(shè)備信息進行關(guān)ii)通過預(yù)置密鑰、密鑰個人化協(xié)商等方式，為每個設(shè)備分配唯一的設(shè)備密鑰，并支持密iii)將設(shè)備接入平臺，檢查平臺對其進行身份鑒別，只有通過身份鑒別的設(shè)備才能接入應(yīng)用服務(wù)平臺進行后續(xù)應(yīng)用操作；iv)設(shè)備鑒別過程中如需使用隨機數(shù)機制，使用系統(tǒng)真隨機生成，如/dev/urandom、/dev/random;v)對于支持應(yīng)用賬號綁定的設(shè)備，通過設(shè)備重置方式進行賬號重新綁定，原賬號解綁后才可進行重新綁定。4)對訪問應(yīng)用服務(wù)平臺的平臺管理人員進行身份鑒別，采用兩種或兩種以上組合身份鑒別技術(shù)進行身份鑒別，其中至少一種鑒別技術(shù)使用密碼技術(shù)來實現(xiàn)別。c)結(jié)果判定：若智能家居應(yīng)用服務(wù)平臺滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符權(quán)限控制的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看是否支持用戶分級分組，并根據(jù)不同用戶等級、分組授予不同的業(yè)務(wù)訪問權(quán)限，是否只允許獲得授權(quán)的用戶，訪問指定的數(shù)據(jù)及內(nèi)容、執(zhí)行相應(yīng)應(yīng)用操作；驗證是否只允許獲得授權(quán)的用戶，訪問指定的數(shù)據(jù)及內(nèi)容、執(zhí)行相應(yīng)應(yīng)用操作；2)審查廠商提交的文檔，查看是否根據(jù)不同的應(yīng)用等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，調(diào)用指定的應(yīng)用能力、執(zhí)行對應(yīng)的操作，驗證是否根據(jù)不同的應(yīng)用等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，調(diào)用指定的應(yīng)用能力、執(zhí)行對應(yīng)的操作；3)審查廠商提交的文檔，查看是否根據(jù)不同的設(shè)備類型或等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的設(shè)備，訪問指定的數(shù)據(jù)及信息、執(zhí)行對應(yīng)的操作，驗證是否根據(jù)不同的設(shè)備類型或等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，訪問指定的數(shù)據(jù)及信b)預(yù)期結(jié)果：1)支持用戶分級分組，并根據(jù)不同用戶等級、分組授予不同的業(yè)務(wù)訪問權(quán)限，只允許獲得授權(quán)的用戶，訪問指定的數(shù)據(jù)及內(nèi)容、執(zhí)行相應(yīng)應(yīng)用操作；2)根據(jù)不同的應(yīng)用等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，調(diào)用指定的應(yīng)用3)根據(jù)不同的設(shè)備類型或等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的設(shè)備，訪問指定的數(shù)據(jù)及信息、執(zhí)行對應(yīng)的操作。c)結(jié)果判定：若智能家居應(yīng)用服務(wù)平臺滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符接口調(diào)用安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看是否具備平臺與平臺之間的合法性校驗功能，防止應(yīng)用服務(wù)平臺冒用和越權(quán)訪問；嘗試使用非法應(yīng)用服務(wù)平臺，查看是否可以訪問合法平臺；2)查看被調(diào)用應(yīng)用服務(wù)平臺應(yīng)是否具備針對源IP地址范圍進行授權(quán)的功能，驗證調(diào)用該平臺時，驗證是否除提供靜態(tài)口令外還需要對IP地址范圍進行授權(quán)；3)嘗試合法平臺調(diào)用另一合法平臺的資源，查看被調(diào)用平臺是否具備對調(diào)用平臺所調(diào)用的資源記錄完整操作日志的功能；4)審查廠商提交的文檔，查看對于用戶訪問權(quán)限有要求的接口，是否具備訪問控制(如，黑/白名單)機制，以便對非法用戶訪問進行攔截；嘗試非法用戶訪問接口，查看是否被攔截；5)審查廠商提交的文檔，是否具備惡意攻擊的識別與阻斷功能。b)預(yù)期結(jié)果：1)具備平臺與平臺之間的合法性校驗功能；使用非法應(yīng)用服務(wù)平臺，不可以訪問合法平臺；2)被調(diào)用應(yīng)用服務(wù)平臺應(yīng)具備針對源IP地址范圍進行授權(quán)的功能；3)合法平臺調(diào)用另一合法平臺的資源，被調(diào)用平臺具備對調(diào)用平臺所調(diào)用的資源記錄完整操作日志的功能；4)對于用戶訪問權(quán)限有要求的接口，具備訪問控制(如，黑/白名單)機制，對非法用戶訪問進行攔截；5)具備惡意攻擊的識別與阻斷功能。c)結(jié)果判定：若智能家居應(yīng)用服務(wù)平臺滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符數(shù)據(jù)傳輸安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)驗證智能家居應(yīng)用服務(wù)平臺與智能家居終端、智能家居控制端、其他平臺之間的關(guān)鍵安全信息是否進行加密保護；2)驗證智能家居應(yīng)用服務(wù)平臺與智能家居終端、智能家居控制端、其他平臺之間的關(guān)鍵安全信息傳輸是否進行完整性校驗。b)預(yù)期結(jié)果：1)對智能家居應(yīng)用服務(wù)平臺與智能家居終端、智能家居控制端、其他平臺之間的關(guān)鍵安全信息進行加密保護；2)對智能家居應(yīng)用服務(wù)平臺與智能家居終端、智能家居控制端、其他平臺之間的關(guān)鍵安全信息傳輸時進行完整性校驗。c)結(jié)果判定：若智能家居應(yīng)用服務(wù)平臺滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符數(shù)據(jù)訪問控制的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)檢查是否支持權(quán)限控制功能，在虛擬化系統(tǒng)上對于數(shù)據(jù)庫設(shè)置不同的訪問策略，嘗試用戶對該系統(tǒng)對應(yīng)的數(shù)據(jù)庫進行權(quán)限以外的相關(guān)操作，檢查是否可以訪問其他未被授權(quán)的系統(tǒng)數(shù)據(jù)；2)驗證包含關(guān)鍵安全信息的