T∕TAF 107-2022 智能可穿戴設(shè)備安全 醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求與測試方法

1、ICS 33.050CCS M 30團體標準T/TAF 107-2022智能可穿戴設(shè)備安全 醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求與測試方法Security of smart wearable devicesSecurity technical requirements and testing methods for medical and health wearable devices2022-02-23 發(fā)布2022-02-23 實施電信終端產(chǎn)業(yè)協(xié)會 發(fā)布T/TAF 107-2022 PAGE * ROMAN III目次 HYPERLINK l _bookmark0 前言II HYPERLINK

2、l _bookmark1 引言III HYPERLINK l _bookmark2 范圍1 HYPERLINK l _bookmark3 規(guī)范性引用文件1 HYPERLINK l _bookmark4 術(shù)語和定義1 HYPERLINK l _bookmark5 縮略語2 HYPERLINK l _bookmark6 醫(yī)療健康可穿戴設(shè)備概況2 HYPERLINK l _bookmark7 醫(yī)療健康可穿戴設(shè)備分類及應(yīng)用場景2 HYPERLINK l _bookmark8 整體架構(gòu)2 HYPERLINK l _bookmark9 數(shù)據(jù)分類及定義3 HYPERLINK l _bookmark10 數(shù)據(jù)

3、分級3 HYPERLINK l _bookmark11 總體安全目標4 HYPERLINK l _bookmark12 安全風(fēng)險4 HYPERLINK l _bookmark13 安全目標4 HYPERLINK l _bookmark14 安全技術(shù)要求4 HYPERLINK l _bookmark15 個人信息保護安全要求4 HYPERLINK l _bookmark16 無線通信安全要求5 HYPERLINK l _bookmark17 傳輸安全要求5 HYPERLINK l _bookmark18 系統(tǒng)安全漏洞修復(fù)與更新要求6 HYPERLINK l _bookmark19 接口安全要求6

4、 HYPERLINK l _bookmark20 應(yīng)用軟件安全要求7 HYPERLINK l _bookmark21 管理客戶端安全要求7 HYPERLINK l _bookmark22 硬件安全要求7 HYPERLINK l _bookmark23 能耗保護安全能力要求8 HYPERLINK l _bookmark24 安全分級要求8 HYPERLINK l _bookmark25 測試方法9 HYPERLINK l _bookmark26 個人信息保護安全測試9 HYPERLINK l _bookmark27 無線通信安全測試10 HYPERLINK l _bookmark28 傳輸安全測

5、試10 HYPERLINK l _bookmark29 系統(tǒng)安全漏洞修復(fù)與更新測試12 HYPERLINK l _bookmark30 接口安全測試13 HYPERLINK l _bookmark31 應(yīng)用軟件安全測試14 HYPERLINK l _bookmark32 管理客戶端安全測試15 HYPERLINK l _bookmark33 硬件安全測試16 HYPERLINK l _bookmark34 能耗保護安全能力測試18前言本文件按照 GB/T 1.1-2020標準化工作導(dǎo)則 第 1 部分：標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承

6、擔(dān)識別專利的責(zé)任。本文件由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本文件起草單位：中國信息通信研究院、鄭州信大捷安信息技術(shù)股份有限公司、聯(lián)想（北京）有限公司、百度在線網(wǎng)絡(luò)技術(shù)（北京）有限公司。本文件主要起草人：徐曉娜、國煒、魏凡星、路曄綿、李煜光、杜云、寧華、劉為華、劉獻倫、李汝鑫、楊磊、吳月升、唐佳偉。引言隨著醫(yī)療健康可穿戴設(shè)備的應(yīng)用場景越來越豐富，智能手環(huán)/手表、智能眼鏡、家用血壓計、血糖儀等可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備已廣泛應(yīng)用于個人和家庭健康監(jiān)測，如果僅沿用通用的消費電子產(chǎn)品的測試標準和設(shè)備，已不能夠評價真實的使用環(huán)境、使用場景對結(jié)果可靠性的影響。同時，可聯(lián)網(wǎng)醫(yī)療健康可穿戴設(shè)備的數(shù)據(jù)和網(wǎng)絡(luò)安全成為了

7、當(dāng)前行業(yè)最為關(guān)注的問題?？陕?lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備當(dāng)前作為最貼近人體實時監(jiān)測健康數(shù)據(jù)的裝置，其監(jiān)測得到的數(shù)據(jù)大多屬于個人信息。然而，近幾年中相關(guān)行業(yè)出現(xiàn)了大量安全漏洞并發(fā)生數(shù)據(jù)泄露事件，可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備正日益成為數(shù)據(jù)和網(wǎng)絡(luò)安全違規(guī)的渠道。如果用戶數(shù)據(jù)安全得不到有效保障、設(shè)備網(wǎng)絡(luò)安全威脅得不到有效遏制， 這些風(fēng)險會給設(shè)備管理和運營方產(chǎn)生重大影響，同時也對用戶的數(shù)據(jù)安全及切身利益帶來極大危害。本文件從信息通信安全的角度制定可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求和測試方法，適用于相關(guān)產(chǎn)品設(shè)備生產(chǎn)廠商、方案商、行業(yè)用戶及測試實驗室等，可為國內(nèi)該領(lǐng)域產(chǎn)品提供技術(shù)參考， 為相關(guān)產(chǎn)品的評測提供依據(jù)

8、。T/TAF 107-2022 PAGE 18智能可穿戴設(shè)備安全 醫(yī)療健康可穿戴設(shè)備安全技術(shù)要求與測試方法范圍本文件規(guī)定了可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備信息安全技術(shù)要求和測試方法。本文件適用于可聯(lián)網(wǎng)的醫(yī)療健康可穿戴設(shè)備。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 34978-2017 信息安全技術(shù) 移動智能終端個人信息保護技術(shù)要求GB/T 35273 信息安全技術(shù) 個人信息安全規(guī)范術(shù)語和定義GB/T 25273界定的以及下列術(shù)語和定義適

9、用于本文件。3.1醫(yī)療健康可穿戴設(shè)備 medical and health wearable device通過傳感器、無線通信、多媒體等技術(shù)，以直接穿戴在身上（如手環(huán)、手表、眼鏡、服飾等）、表皮植入或搭載在移動通信設(shè)備上的應(yīng)用形式，進行人體各項生理體征數(shù)據(jù)測量采集的便攜式醫(yī)療或健康電子設(shè)備。3.2用戶基本信息 user basic information通常由用戶錄入，反映用戶個人基本情況的信息，包括個人基本資料、個人身份信息、個人生物識別信息、個人一般健康數(shù)據(jù)、疾病史等。注1：個人基本資料包括個人姓名、生日、性別、民族、國籍、家庭關(guān)系、住址、個人電話號碼、電子郵件地址等。注2：個人身份信息包

10、括身份證、軍官證、護照、駕駛證、工作證、出入證、社?？?、居住證等。注3：個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。注4：個人一般健康數(shù)據(jù)包括身高、體重等。3.3監(jiān)測診療數(shù)據(jù) monitoring & diagnosis data設(shè)備監(jiān)測采集的用戶生理、生化、體征等數(shù)據(jù)，包括血壓、血糖、心率、血氧飽和度、體溫、呼吸、睡眠等。3.4行為情緒數(shù)據(jù) behavioral & emotional data設(shè)備采集計算的用戶行為和情緒相關(guān)數(shù)據(jù)，包括步數(shù)、距離、消耗能量、行走軌跡、鍛煉時長、情緒變化。3.5環(huán)境數(shù)據(jù) environmental data設(shè)備采集的用戶所處環(huán)境

11、相關(guān)數(shù)據(jù)，包括溫度、濕度、紫外線指數(shù)、污染指數(shù)、地理位置、噪聲等。3.6體外數(shù)據(jù)采集傳感器 in vitro data acquisition sensor主要為MEMS（Micro-Electro-Mechanical System），包括加速度計、磁力計、觸控傳感器等。3.7體征數(shù)據(jù)傳感器 vital sign data sensor主要為生物傳感器，包括血糖傳感器、血壓傳感器、心電傳感器、肌電傳感器、體溫傳感器和腦電波傳感器等?？s略語APP：移動通信終端應(yīng)用程序（Application）CNNVD ： 國家信息安全漏洞庫（ China National Vulnerability Dat

12、abase of Information Security）CNVD：國家信息安全漏洞共享平臺（China National Vulnerability Database） WLAN：無線局域網(wǎng)（Wireless Local Area Network）醫(yī)療健康可穿戴設(shè)備概況醫(yī)療健康可穿戴設(shè)備分類及應(yīng)用場景醫(yī)療健康可穿戴設(shè)備主要應(yīng)用場景包括：輔助診斷、慢性疾病管理、康復(fù)護理、健康監(jiān)測等。根據(jù)應(yīng)用對象和場景的不同，可分為疾病監(jiān)測類可穿戴設(shè)備和運動健康類可穿戴設(shè)備：疾病監(jiān)測類可穿戴設(shè)備具有生命體征監(jiān)測等功能，常用于疾病的輔助診斷、慢病管理和康復(fù)護理等；運動健康類可穿戴設(shè)備具有人體健康態(tài)評估等功能，常

13、用于調(diào)節(jié)人體機能、增進健康。整體架構(gòu)醫(yī)療健康可穿戴設(shè)備的整體應(yīng)用架構(gòu)圖如圖1所示，主要包括醫(yī)療健康可穿戴設(shè)備、管理客戶端、云平臺。醫(yī)療健康可穿戴設(shè)備通過傳感器采集用戶數(shù)據(jù)，結(jié)合設(shè)備自身進行本地存儲或?qū)崟r、定期上傳。管理客戶端為用戶提供通過云平臺對醫(yī)療健康可穿戴設(shè)備進行遠程操作的接口，其應(yīng)對其臨時存儲或長久存儲的數(shù)據(jù)進行保護，并配合醫(yī)療健康可穿戴設(shè)備云平臺對數(shù)據(jù)傳輸進行保護，同時采用安全機制保障自身安全。云平臺通過網(wǎng)絡(luò)接入管理客戶端和醫(yī)療健康可穿戴設(shè)備，應(yīng)保證交互數(shù)據(jù)的傳輸安全，同時承擔(dān)管理客戶端對設(shè)備端接入、控制、授權(quán)等操作的認證功能，以及對所有操作的日志和審計功能。管理客戶端醫(yī)療健康可穿戴設(shè)

14、備云平臺用戶圖 1 醫(yī)療健康可穿戴設(shè)備應(yīng)用架構(gòu)數(shù)據(jù)分類及定義根據(jù)內(nèi)容的不同，醫(yī)療健康可穿戴設(shè)備的數(shù)據(jù)分為用戶數(shù)據(jù)和設(shè)備數(shù)據(jù)。用戶數(shù)據(jù)用戶數(shù)據(jù)為設(shè)備使用用戶的個人相關(guān)數(shù)據(jù)，包括用戶基本信息、監(jiān)測診療數(shù)據(jù)、行為情緒數(shù)據(jù)和環(huán)境數(shù)據(jù)。設(shè)備數(shù)據(jù)設(shè)備數(shù)據(jù)為設(shè)備運行狀況相關(guān)的數(shù)據(jù)，包括用于監(jiān)視、控制設(shè)備運行設(shè)備維修方面的數(shù)據(jù)。數(shù)據(jù)分級為使醫(yī)療健康可穿戴設(shè)備對其設(shè)備和應(yīng)用中處理的數(shù)據(jù)提供完善的安全保護機制，基于泄露對用戶隱私造成的影響，將醫(yī)療健康可穿戴設(shè)備的數(shù)據(jù)分為2級，分別是敏感級數(shù)據(jù)、一般級數(shù)據(jù)，分級具體內(nèi)容見表1。表 1 用戶數(shù)據(jù)分級級別定義數(shù)據(jù)類別舉例敏感級一旦泄露對用戶生命、財產(chǎn)、健康等產(chǎn)生嚴重影響

15、個人身份信息、個人生物特征信息、疾病史等表 1 用戶數(shù)據(jù)分級（續(xù)）級別定義數(shù)據(jù)類別舉例一般級一旦泄露對用戶生命、財產(chǎn)、健康產(chǎn)生較少或可控的影響、或不會產(chǎn)生影響一般的個人健康數(shù)據(jù)、監(jiān)測診療數(shù)據(jù)、行為情緒數(shù)據(jù)、環(huán)境數(shù)據(jù)、設(shè)備數(shù)據(jù)等總體安全目標安全風(fēng)險醫(yī)療健康可穿戴設(shè)備會產(chǎn)生大量與人體健康等密切相關(guān)的數(shù)據(jù)，在為人們提供便捷服務(wù)的同時， 面臨的主要安全風(fēng)險是數(shù)據(jù)泄露和被篡改，數(shù)據(jù)一旦泄露或被篡改，會給設(shè)備管理和運營方產(chǎn)生重大影響，同時也對用戶的數(shù)據(jù)安全及切身利益帶來極大危害。醫(yī)療健康可穿戴設(shè)備面臨的安全風(fēng)險包括本地安全風(fēng)險和遠程安全風(fēng)險，其中本地安全風(fēng)險主要有用戶數(shù)據(jù)竊取、固件被非法讀取或篡改、本地數(shù)

16、據(jù)偽造等；遠程安全風(fēng)險主要有遠程接入安全、遠程非法升級、通信數(shù)據(jù)泄露、遠程指令重放和偽造等。安全目標用戶數(shù)據(jù)安全目標醫(yī)療健康可穿戴設(shè)備應(yīng)具有足夠的防護措施，保證用戶數(shù)據(jù)在設(shè)備端、云平臺和通信過程中的機密性、完整性和防重放保護。醫(yī)療健康可穿戴設(shè)備應(yīng)確保只有合法用戶通過設(shè)定的方法和權(quán)限進行訪問、控制，并確保用戶數(shù)據(jù)的安全。本地安全目標醫(yī)療健康可穿戴設(shè)備在固件存儲、固件升級等方面應(yīng)有足夠的防護，保證固件安全、固件升級包的完整性和來源可靠性。醫(yī)療健康可穿戴設(shè)備應(yīng)具有足夠的安全防護措施，保證設(shè)備軟硬件安全。遠程安全目標醫(yī)療健康可穿戴設(shè)備與云平臺、醫(yī)療健康可穿戴設(shè)備與管理客戶端、醫(yī)療健康可穿戴設(shè)備與網(wǎng)關(guān)之

17、間應(yīng)具有足夠的通信加密機制，保證通信數(shù)據(jù)的機密性、完整性和防重放要求。醫(yī)療健康可穿戴設(shè)備與云平臺、醫(yī)療健康可穿戴設(shè)備與管理客戶端、醫(yī)療健康可穿戴設(shè)備與網(wǎng)關(guān)之間應(yīng)具備身份認證和權(quán)限控制機制。安全技術(shù)要求個人信息保護安全要求個人信息保護安全要求包括但不限于：醫(yī)療健康可穿戴設(shè)備對用戶數(shù)據(jù)中用戶基本信息的收集通常應(yīng)在提供相應(yīng)服務(wù)的同時進行。出于業(yè)務(wù)需要而必須事先收集相關(guān)數(shù)據(jù)，應(yīng)向用戶明示事先收集的目的和范圍，并且只有在用戶同意的情況下方可繼續(xù)。醫(yī)療健康可穿戴設(shè)備應(yīng)向用戶提供關(guān)閉數(shù)據(jù)采集功能；疾病監(jiān)測類可穿戴設(shè)備在關(guān)閉數(shù)據(jù)采集功能前，應(yīng)對用戶身份進行認證；醫(yī)療健康可穿戴設(shè)備在將用戶數(shù)據(jù)存儲在終端內(nèi)部時，

18、敏感級信息應(yīng)與監(jiān)測診療數(shù)據(jù)分開存儲。存儲敏感級數(shù)據(jù)時，應(yīng)采用加密形式保存；醫(yī)療健康可穿戴設(shè)備若通過網(wǎng)絡(luò)接口傳輸用戶數(shù)據(jù)，應(yīng)對數(shù)據(jù)進行加密，確保信息在網(wǎng)絡(luò)傳輸過程中的安全；醫(yī)療健康可穿戴設(shè)備終端不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息的行為。若將用戶基本信息存儲在終端內(nèi)部，終端設(shè)備應(yīng)提供相應(yīng)選項，允許用戶修改或徹底物理刪除已存儲的用戶基本信息。無線通信安全要求協(xié)議一致性要求所采用WLAN、藍牙、ZigBee等無線通信協(xié)議應(yīng)支持設(shè)備授權(quán)認證、加密傳輸?shù)劝踩珨U展功能。協(xié)議健壯性要求應(yīng)具備非法報文處理能力，當(dāng)接收到非法報文時應(yīng)能夠正確處理，防止非預(yù)期的異常情況發(fā)生。傳輸

19、安全要求傳輸完整性要求傳輸完整性要求包括但不限于：醫(yī)療健康可穿戴設(shè)備各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，除傳輸數(shù)據(jù)主體外，應(yīng)附加用于對數(shù)據(jù)進行完整性校驗的校驗信息；醫(yī)療健康可穿戴設(shè)備各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可根據(jù)傳輸不同分類級別的數(shù)據(jù)采用不同的數(shù)據(jù)完整性校驗方法；醫(yī)療健康可穿戴設(shè)備各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用密碼機制保證數(shù)據(jù)傳輸完整性，采用的密碼機制應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標準、行業(yè)標準要求；在檢測到傳輸數(shù)據(jù)的完整性遭到破壞時，應(yīng)采取措施恢復(fù)或重新獲取數(shù)據(jù)。傳輸機密性要求傳輸機密性要求包括但不限于：醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用密碼機制對

20、傳輸數(shù)據(jù)進行加密；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間對于敏感級數(shù)據(jù)的傳輸，應(yīng)采用有必要安全強度的加密算法對數(shù)據(jù)進行加密；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在傳輸加密數(shù)據(jù)時，應(yīng)每次采用不同密鑰的加密傳輸方式；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間傳輸數(shù)據(jù)時的加密算法應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標準、行業(yè)標準要求；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，若涉及密鑰管理，密鑰管理策略應(yīng)能夠解決周期密鑰更新、密鑰撤銷和密鑰分發(fā)等問題。傳輸抗重放要求傳輸抗重放要求包括但不限于：醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用機制防止數(shù)據(jù)包或報文的重排或重放；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間

21、在進行數(shù)據(jù)傳輸時，可使用序列碼或時間戳實現(xiàn)抗重放攻擊功能；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可在數(shù)據(jù)中加入與當(dāng)前事件有關(guān)的一次性隨機數(shù)。系統(tǒng)安全漏洞修復(fù)與更新要求安全防護要求系統(tǒng)安全防護能力包括但不限于：宜支持對病毒、木馬的查殺，攔截惡意軟件的攻擊；不應(yīng)存在已知或在CNVD、CNNVD等平臺公布6個月以上的高危及以上等級漏洞。安全更新要求系統(tǒng)應(yīng)具備更新機制，更新前應(yīng)向用戶提示更新內(nèi)容的簡要說明，供用戶判斷和選擇。安全更新要求包括但不限于：系統(tǒng)更新時，應(yīng)對更新文件的來源和完整性進行校驗，并應(yīng)具有原始數(shù)據(jù)備份能力，能夠進行必要的回滾操作，避免更新失敗導(dǎo)致系統(tǒng)失效；系統(tǒng)更新失敗時，應(yīng)

22、保證系統(tǒng)的可用性并給予用戶相應(yīng)的提示；系統(tǒng)應(yīng)具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的能力。接口安全要求業(yè)務(wù)接口安全要求應(yīng)具備防止越權(quán)攻擊能力，避免未經(jīng)授權(quán)的訪問。身份鑒別要求身份鑒別要求包括但不限于：應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應(yīng)提供并啟用用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄嘗試次數(shù)等措施；應(yīng)支持對異常登錄行為的審計功能。訪問控制要求訪問控制要求包括但不限于：應(yīng)實現(xiàn)用戶權(quán)限最小化管理，使用分權(quán)原則，避免發(fā)生權(quán)限被濫用等情況；疾病

23、監(jiān)測類可穿戴設(shè)備如具備多種用戶角色，應(yīng)對設(shè)備作用用戶（被監(jiān)測者）和設(shè)備操作用戶（醫(yī)護人員等）進行角色分離設(shè)置，在對角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)。網(wǎng)絡(luò)端口安全要求網(wǎng)絡(luò)端口安全要求包括但不限于：不應(yīng)存在未經(jīng)聲明的外圍網(wǎng)絡(luò)端口。設(shè)備網(wǎng)絡(luò)端口不應(yīng)泄露敏感Banner信息，防止攻擊者獲取后降低攻擊難度。應(yīng)用軟件安全要求應(yīng)用軟件簽名認證機制要求醫(yī)療健康可穿戴設(shè)備運行的應(yīng)用軟件應(yīng)采用認證簽名機制，未經(jīng)認證簽名的應(yīng)用軟件僅當(dāng)用戶進行確認后才能執(zhí)行下一步操作。預(yù)置應(yīng)用軟件安全要求預(yù)置應(yīng)用軟件不應(yīng)存在后門等隱藏接口，不應(yīng)存在已知或在CNVD、CNNVD等平臺公布6個月以上的高危及以上等級漏

24、洞，不應(yīng)含有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為。管理客戶端安全要求訪問控制要求客戶端APP應(yīng)能對訪問者進行身份驗證，只接受通過認證的用戶的訪問，同時應(yīng)對敏感級數(shù)據(jù)進行訪問權(quán)限控制。數(shù)據(jù)安全保護要求應(yīng)加密存儲敏感級數(shù)據(jù)，敏感級數(shù)據(jù)存儲路徑應(yīng)設(shè)置嚴格的訪問控制機制，避免數(shù)據(jù)泄露。用于加密的密鑰應(yīng)采取防護機制進行保存，避免被直接獲取。應(yīng)禁止日志數(shù)據(jù)包含與用戶數(shù)據(jù)相關(guān)的信息。反逆向保護要求應(yīng)采取代碼混淆、加殼等防護措施，實現(xiàn)客戶端APP反編譯保護。反盜版保護要求應(yīng)采取簽名機制，防止客戶端APP被重打包。防篡改攻擊要求應(yīng)對程序的完整性、參數(shù)內(nèi)容的完整性和有效性進行檢查，以防御篡改攻擊。硬件

25、安全要求硬件功能安全要求硬件功能實現(xiàn)應(yīng)與提供給用戶的說明文檔相一致，不應(yīng)存在未聲明或隱藏的功能。例如應(yīng)關(guān)閉隱藏調(diào)試功能，防止廠商在未獲得用戶授權(quán)的情況下獲得對芯片內(nèi)部的訪問或芯片功能更改的能力。硬件設(shè)計安全要求硬件設(shè)計安全要求包括但不限于：硬件內(nèi)部模塊的安全屬性和芯片間通信協(xié)議等安全實現(xiàn)應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標準、行業(yè)標準要求，隨機數(shù)熵源應(yīng)達到相關(guān)標準要求；硬件資源支持密碼算法的安全性應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標準、行業(yè)標準要求，密鑰的產(chǎn)生、分發(fā)、使用、存儲、銷毀應(yīng)有相應(yīng)安全保障機制；對于安全等級要求高的疾病監(jiān)測類可穿戴設(shè)備，宜采用符合相關(guān)國家標準、行業(yè)標準要求的硬件安全模

26、塊進行密鑰等數(shù)據(jù)的保護；應(yīng)關(guān)閉不必要的下載、調(diào)試端口。芯片安全能力要求芯片安全能力要求包括但不限于：應(yīng)具備容錯能力，能夠防御由針對芯片的故障注入攻擊所導(dǎo)致的功能失效；對于支持安全模塊的芯片，應(yīng)具備固件芯片的物理寫保護的功能，防止固件被篡改；對于支持安全模塊的芯片，宜具備側(cè)信道攻擊防護能力；宜具備安全啟動硬件保護能力；宜具備安全域隔離功能，提供可信執(zhí)行環(huán)境；芯片宜使用拆卸存跡硬質(zhì)涂層，防止直接觀察、探測芯片內(nèi)部，并在企圖拆卸或移動芯片后留下證據(jù)；應(yīng)開啟芯片的讀保護功能，防止固件被讀取后進行逆向、篡改。能耗保護安全能力要求應(yīng)具備抗能耗攻擊能力，避免由于惡意的能耗攻擊，導(dǎo)致設(shè)備電池電量快速耗盡而功能

27、失效。安全分級要求根據(jù)醫(yī)療健康可穿戴設(shè)備的安全技術(shù)要求的強弱，將產(chǎn)品分為基礎(chǔ)級和增強級，具體安全技術(shù)要求的等級劃分如表2所示，其中增強級需同時滿足基礎(chǔ)級和增強級要求。表 2 用戶數(shù)據(jù)分級安全技術(shù)要求基礎(chǔ)級增強級個人信息保護安全要求7.1 a)、c)-e)7.1 b)無線通信安全要求7.2傳輸安全要求7.3.1 a)-c);7.3.1 d);7.3.2 a)、c)-e);7.3.2 b)7.3.3系統(tǒng)安全漏洞修復(fù)與更新要求7.4.1 b)-d);7.4.27.4.1 a);接口安全要求7.5.1-7.5.2；7.5.3 b)7.5.3 a);7.5.4應(yīng)用軟件安全要求7.6管理客戶端安全7.7硬

28、件安全要求7.8.1;7.8.2 c);7.8.2 a)、b)、d);7.8.3 a)-f)7.8.4 g)能耗保護安全能力7.9測試方法個人信息保護安全測試測試目的7.1 個人信息保護安全要求要求醫(yī)療健康可穿戴設(shè)備對用戶數(shù)據(jù)中用戶基本信息的收集通常應(yīng)在提供相應(yīng)服務(wù)的同時進行。出于業(yè)務(wù)需要而必須事先收集相關(guān)數(shù)據(jù)，應(yīng)向用戶明示事先收集的目的和范圍，并且只有在用戶同意的情況下方可繼續(xù)。醫(yī)療健康可穿戴設(shè)備應(yīng)向用戶提供關(guān)閉數(shù)據(jù)采集功能；疾病監(jiān)測類可穿戴設(shè)備在關(guān)閉數(shù)據(jù)采集功能前，應(yīng)對用戶身份進行認證；醫(yī)療健康可穿戴設(shè)備在將用戶數(shù)據(jù)存儲在終端內(nèi)部時，敏感級信息應(yīng)與監(jiān)測診療數(shù)據(jù)分開存儲。存儲敏感級信息時，應(yīng)

29、采用加密形式保存；醫(yī)療健康可穿戴設(shè)備若通過網(wǎng)絡(luò)接口傳輸用戶數(shù)據(jù)，應(yīng)對數(shù)據(jù)進行加密，確保信息在網(wǎng)絡(luò)傳輸過程中的安全；醫(yī)療健康可穿戴設(shè)備終端不應(yīng)有未向用戶明示且未經(jīng)用戶同意，擅自修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息的行為。若將用戶基本信息存儲在終端內(nèi)部，終端設(shè)備應(yīng)提供相應(yīng)選項，允許用戶修改或徹底物理刪除已存儲的用戶基本信息。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查設(shè)備及控制端應(yīng)用是否存在收集用戶基本信息的行為，若存在收集用戶基本信息的行為，判斷其在收集前是否向用戶明示收集的目的和范圍，且征得了用戶同意；檢查設(shè)備及控制端應(yīng)用是否具備關(guān)閉數(shù)據(jù)采集功能，針對疾病監(jiān)測類可穿戴設(shè)備，檢查是否在關(guān)閉數(shù)據(jù)采集功能操

30、作前對用戶身份進行認證；檢查存儲在終端內(nèi)部的用戶數(shù)據(jù)，是否將用戶基本信息與監(jiān)測診療數(shù)據(jù)分開存儲；讀取設(shè)備上存儲的數(shù)據(jù)，查看敏感級信息是否是加密存儲；抓包查看傳輸?shù)臄?shù)據(jù)是否進行了加密；檢查設(shè)備及控制端應(yīng)用在修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息之前是否向用戶明示且經(jīng)用戶同意；檢查設(shè)備及控制端應(yīng)用是否提供修改或刪除已存儲的用戶基本信息的選項。預(yù)期結(jié)果設(shè)備及控制端應(yīng)用不存在收集用戶基本信息的行為；若存在收集用戶基本信息的行為，則收集前明示用戶收集目的和范圍，并在收集前經(jīng)過了用戶同意；具備關(guān)閉數(shù)據(jù)采集功能，疾病監(jiān)測類可穿戴設(shè)備在關(guān)閉數(shù)據(jù)采集功能操作前對用戶身份進行認證；用戶基本信息與監(jiān)測診療數(shù)據(jù)在終端內(nèi)部

31、分開存儲；敏感級信息加密存儲；傳輸?shù)臄?shù)據(jù)進行了加密；在修改、刪除、轉(zhuǎn)移或拷貝用戶基本信息之前向用戶明示且經(jīng)用戶同意；g) 提供修改或刪除已存儲的用戶基本信息的選項。實測結(jié)果與預(yù)期結(jié)果一致。備注無。無線通信安全測試協(xié)議一致性測試測試目的7.2.1 協(xié)議一致性要求要求所采用 WLAN、藍牙、ZigBee 等無線通信協(xié)議應(yīng)支持設(shè)備授權(quán)認證、加密傳輸?shù)劝踩珨U展功能。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查設(shè)備所用通信協(xié)議配置信息，查看是否支持設(shè)備授權(quán)認證、加密傳輸?shù)劝踩珨U展功能。預(yù)期結(jié)果支持設(shè)備授權(quán)認證、加密傳輸?shù)劝踩珨U展功能。實測結(jié)果與預(yù)期結(jié)果一致。備注無。協(xié)議健壯性測試測試目的7.2.2 協(xié)議健壯性

32、要求要求應(yīng)具備非法報文處理能力，當(dāng)接收到非法報文時應(yīng)能夠正確處理，防止非預(yù)期的異常情況發(fā)生。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查設(shè)備所用通信協(xié)議配置信息，查看是否具備非法報文處理機制。預(yù)期結(jié)果具備非法報文處理機制。實測結(jié)果與預(yù)期結(jié)果一致。備注無。傳輸安全測試傳輸完整性測試測試目的7.3.1 傳輸完整性要求要求醫(yī)療健康可穿戴設(shè)備各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，除傳輸數(shù)據(jù)主體外，應(yīng)附加用于對數(shù)據(jù)進行完整性校驗的校驗信息；醫(yī)療健康可穿戴設(shè)備各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可根據(jù)傳輸不同分類級別的數(shù)據(jù)采用不同的數(shù)據(jù)完整性校驗方法；醫(yī)療健康可穿戴設(shè)備各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用密碼機制

33、保證數(shù)據(jù)傳輸完整性，采用的密碼機制應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標準、行業(yè)標準要求；在檢測到傳輸數(shù)據(jù)的完整性遭到破壞時，應(yīng)采取措施恢復(fù)或重新獲取數(shù)據(jù)。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查是否具有傳輸數(shù)據(jù)的完整性校驗機制；檢查不同分類級別的數(shù)據(jù)是否采用不同的數(shù)據(jù)校驗方法；檢查數(shù)據(jù)傳輸時是否具有密碼機制，抓包查看傳輸?shù)臄?shù)據(jù)是否進行了加密，檢查傳輸數(shù)據(jù)的加密算法；d) 抓包獲取傳輸?shù)臄?shù)據(jù)，破壞其完整性，并發(fā)送完整性被破壞的數(shù)據(jù)， 檢查是否采取措施恢復(fù)或重新獲取數(shù)據(jù)。預(yù)期結(jié)果具有傳輸數(shù)據(jù)的完整性校驗機制；不同分類級別的數(shù)據(jù)采用不同的數(shù)據(jù)校驗方法；數(shù)據(jù)傳輸時具有密碼機制，傳輸?shù)臄?shù)據(jù)進行了加密，加密

34、算法符合要求；可以恢復(fù)或重新獲取數(shù)據(jù)。實測結(jié)果與預(yù)期結(jié)果一致。備注無。傳輸機密性測試測試目的7.3.2 傳輸機密性要求要求醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用密碼機制對傳輸數(shù)據(jù)進行加密；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間對于敏感級數(shù)據(jù)的傳輸，應(yīng)采用有必要安全強度的加密算法對數(shù)據(jù)進行加密；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在傳輸加密數(shù)據(jù)時，應(yīng)采用不同密鑰的加密傳輸方式；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間傳輸數(shù)據(jù)時的加密算法應(yīng)符合有關(guān)法律、行政法規(guī)和相關(guān)國家標準、行業(yè)標準要求；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，若涉及密鑰管理，密鑰管理策略應(yīng)能夠解決周期密鑰更新、密鑰撤

35、銷和密鑰分發(fā)等問題。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查數(shù)據(jù)傳輸時是否具有密碼機制，抓包查看傳輸?shù)臄?shù)據(jù)是否進行了加密；檢查敏感級數(shù)據(jù)傳輸時的加密算法；檢查數(shù)據(jù)傳輸時否每次采用不同密鑰的加密傳輸方式；檢查傳輸數(shù)據(jù)的加密算法是否符合要求；檢查文檔，若涉及密鑰管理，查看是否保證密鑰更新、密鑰撤銷和密鑰分發(fā)等環(huán)節(jié)的安全性。預(yù)期結(jié)果數(shù)據(jù)傳輸時具有密碼機制，抓包查看傳輸?shù)臄?shù)據(jù)進行了加密；敏感級數(shù)據(jù)傳輸時的加密算法符合要求；具備每次采用不同密鑰的加密傳輸方式；傳輸數(shù)據(jù)的加密算法符合要求；密鑰管理方案能保證密鑰更新、密鑰撤銷和密鑰分發(fā)等環(huán)節(jié)的安全性。實測結(jié)果與預(yù)期結(jié)果一致。備注無。傳輸抗重放測試測試目的7.

36、3.3 傳輸抗重放要求要求a) 醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用機制防止數(shù)據(jù)包或報文的重排或重放；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可使用序列碼或時間戳實現(xiàn)抗重放攻擊；醫(yī)療健康可穿戴設(shè)備各執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可在數(shù)據(jù)中加入與當(dāng)前事件有關(guān)的一次性隨機數(shù)。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查數(shù)據(jù)傳輸是否具有抗重放保護措施；若有，抓包傳輸?shù)臄?shù)據(jù)并將之重放，查看數(shù)據(jù)接收方的處理是否滿足抗重放保護要求；檢查是否使用序列碼或時間戳實現(xiàn)抗重放攻擊；檢查是否使用隨機數(shù)。預(yù)期結(jié)果具備抗重放保護機制，數(shù)據(jù)接收方可識別重放數(shù)據(jù)并將其丟棄；使用序列碼或時間戳實現(xiàn)抗重

37、放攻擊；使用隨機數(shù)。實測結(jié)果與預(yù)期結(jié)果一致。備注無。系統(tǒng)安全漏洞修復(fù)與更新測試安全防護測試測試目的7.4.1 安全防護要求要求宜支持對病毒、木馬的查殺，攔截惡意軟件的攻擊；不應(yīng)存在已知或在 CNVD、CNNVD 等平臺公布 6 個月以上的高危及以上等級漏洞。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查是否支持對病毒、木馬的查殺，攔截惡意軟件的攻擊；使用漏掃工具查看是否存在已知或在 CNVD、CNNVD 等平臺公布 6 個月以上的高危及以上等級漏洞。注：對于 6 個月以上仍未公布漏洞修復(fù)方法的情況，可采取一定的補救措施，降低安全風(fēng)險。預(yù)期結(jié)果支持對病毒、木馬的查殺，攔截惡意軟件的攻擊；不存在已知或在

38、CNVD、CNNVD 等平臺公布 6 個月以上的高危及以上等級漏洞。實測結(jié)果與預(yù)期結(jié)果一致。備注無。安全更新測試測試目的7.4.2 安全更新要求要求系統(tǒng)更新時，應(yīng)對更新文件的來源和完整性進行校驗，并應(yīng)具有原始數(shù)據(jù)備份能力，能夠進行必要的回滾操作，避免更新失敗導(dǎo)致系統(tǒng)失效；系統(tǒng)更新失敗時，應(yīng)保證系統(tǒng)的可用性并給予用戶相應(yīng)的提示；系統(tǒng)應(yīng)具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的能力。預(yù)置條件保證設(shè)備正常運行。測試步驟a) 啟動系統(tǒng)更新，檢查系統(tǒng)更新前是否對系統(tǒng)更新包、更新版本進行完整性校驗并驗證來源可靠性；嘗試使系統(tǒng)更新失敗，驗證設(shè)備是否恢復(fù)到更新前可用的版本，并給予用戶相應(yīng)提示；檢

39、查系統(tǒng)是否具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的能力。預(yù)期結(jié)果能安全更新系統(tǒng)；統(tǒng)更新失敗后，設(shè)備保持更新前系統(tǒng)版本，并提示用戶；具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的能力。實測結(jié)果與預(yù)期結(jié)果一致。備注無。接口安全測試業(yè)務(wù)接口安全測試測試目的7.5.1 業(yè)務(wù)接口安全要求要求應(yīng)具備防止越權(quán)攻擊能力，避免未經(jīng)授權(quán)的訪問。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查是否具備防止越權(quán)攻擊能力，嘗試進行未授權(quán)訪問，檢查是否能成功訪問。預(yù)期結(jié)果具備防止越權(quán)攻擊能力，未授權(quán)訪問失敗。實測結(jié)果與預(yù)期結(jié)果一致。備注無。身份鑒別測試測試目的7.5.2 身份鑒別要求要求應(yīng)提供專用的登錄控

40、制模塊對登錄用戶進行身份標識和鑒別；應(yīng)提供并啟用用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；應(yīng)提供并啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄嘗試次數(shù)等措施；應(yīng)支持對異常登錄行為的審計功能。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查是否具備專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；檢查是否具備并啟用用戶身份標識唯一和鑒別信息復(fù)雜度檢查；檢查是否具備并啟用登錄失敗處理功能；檢查是否具備對異常登錄行為的審計功能。預(yù)期結(jié)果具備專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；具備并啟用用戶身份標識唯一和鑒別信息復(fù)雜度檢查措施；登錄失

41、敗后，能夠結(jié)束會話、限制非法登錄次數(shù)等措施；具備對異常登錄行為的審計功能。實測結(jié)果與預(yù)期結(jié)果一致。備注無。訪問控制測試測試目的7.5.3 訪問控制要求要求應(yīng)實現(xiàn)用戶權(quán)限最小化管理，使用分權(quán)原則，避免發(fā)生權(quán)限被濫用等情況；疾病監(jiān)測類可穿戴設(shè)備如具備多種用戶角色，應(yīng)對設(shè)備作用用戶（患者）和設(shè)備操作用戶（醫(yī)護人員）進行角色分離設(shè)置，在對角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查是否實現(xiàn)用戶權(quán)限最小化管理，使用分權(quán)原則；若設(shè)備有多種用戶角色，檢查是否進行了角色分離設(shè)置，并具備角色權(quán)限控制機制。預(yù)期結(jié)果具備用戶權(quán)限最小化管理機制，使用分權(quán)原則；若設(shè)備有多

42、種用戶角色，進行了角色分離設(shè)置，并具備角色權(quán)限控制機制。實測結(jié)果與預(yù)期結(jié)果一致。備注無。網(wǎng)絡(luò)端口安全測試測試目的7.5.4 網(wǎng)絡(luò)端口安全要求要求不應(yīng)存在未經(jīng)聲明的外圍網(wǎng)絡(luò)端口；設(shè)備網(wǎng)絡(luò)端口不應(yīng)泄露敏感 Banner 信息，防止攻擊者獲取后降低攻擊難度。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查是否存在未經(jīng)聲明的外圍網(wǎng)絡(luò)端口；檢查設(shè)備網(wǎng)絡(luò)端口是否泄露敏感 Banner 信息。預(yù)期結(jié)果不存在未經(jīng)聲明的外圍網(wǎng)絡(luò)端口；設(shè)備網(wǎng)絡(luò)端口未泄露敏感 Banner 信息。實測結(jié)果與預(yù)期結(jié)果一致。備注無。應(yīng)用軟件安全測試應(yīng)用軟件簽名認證機制測試測試目的7.6.1 應(yīng)用軟件簽名認證機制要求要求醫(yī)療健康可穿戴設(shè)備運行的應(yīng)

43、用軟件應(yīng)采用認證簽名機制，未經(jīng)認證簽名的應(yīng)用軟件僅當(dāng)用戶進行確認后才能執(zhí)行下一步操作。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查應(yīng)用軟件是否采用認證簽名機制，安裝未經(jīng)認證簽名的應(yīng)用軟件，查看是否需要用戶進行確認后才能執(zhí)行下一步操作。預(yù)期結(jié)果具備認證簽名機制，安裝未經(jīng)認證簽名的應(yīng)用軟件，需要用戶進行確認后才能執(zhí)行下一步操作。實測結(jié)果與預(yù)期結(jié)果一致。備注無。預(yù)置應(yīng)用軟件安全測試測試目的7.6.2 預(yù)置應(yīng)用軟件安全要求要求預(yù)置應(yīng)用軟件不應(yīng)存在后門等隱藏接口，不應(yīng)存在已知或在 CNVD、CNNVD等平臺公布 6 個月以上的高危及以上等級漏洞，不應(yīng)含有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為。預(yù)置條

44、件保證設(shè)備正常運行。測試步驟檢查預(yù)置應(yīng)用軟件是否存在后門等隱藏接口；漏掃查看是否存在已知或在 CNVD、CNNVD 等平臺公布 6 個月以上的高危及以上等級漏洞；檢查是否含有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為。預(yù)期結(jié)果不存在后門等隱藏接口；不存在高危及以上等級已知或在 CNVD、CNNVD 等平臺公布 6 個月以上的漏洞；未含有非授權(quán)收集或泄露用戶信息、非法數(shù)據(jù)外傳等惡意行為實測結(jié)果與預(yù)期結(jié)果一致。備注無。管理客戶端安全測試訪問控制測試測試目的7.7.1 訪問控制要求要求客戶端 APP 應(yīng)能對訪問者進行身份驗證，只接受通過認證的用戶的訪問，同時應(yīng)對敏感級數(shù)據(jù)進行訪問權(quán)限控制。預(yù)置

45、條件保證設(shè)備正常運行。測試步驟檢查客戶端 APP 是否對訪問者進行身份驗證，嘗試未認證用戶訪問， 檢查是否訪問成功；檢查客戶端 APP 是否對敏感級數(shù)據(jù)進行訪問權(quán)限控制。預(yù)期結(jié)果客戶端 APP 對訪問者進行身份驗證，未認證用戶訪問失敗；訪問敏感級數(shù)據(jù)有權(quán)限控制。實測結(jié)果與預(yù)期結(jié)果一致。備注無。數(shù)據(jù)安全保護測試測試目的7.7.2 數(shù)據(jù)安全保護要求要求應(yīng)加密存儲敏感級數(shù)據(jù)，敏感級數(shù)據(jù)存儲路徑應(yīng)設(shè)置嚴格的訪問控制機制，避免數(shù)據(jù)泄露。用于加密的密鑰應(yīng)采取防護機制進行保存，避免被直接獲??；應(yīng)禁止日志數(shù)據(jù)包含與用戶數(shù)據(jù)相關(guān)的信息。預(yù)置條件保證設(shè)備正常運行。測試步驟讀取客戶端 APP 存儲的數(shù)據(jù)，檢查敏感級

46、數(shù)據(jù)是否為加密存儲，加密的密鑰是否具備防護機制進行保存；檢查客戶端 APP 是否具備敏感級數(shù)據(jù)的存儲路徑的訪問控制機制；查看日志數(shù)據(jù)是否包含與用戶數(shù)據(jù)相關(guān)的信息。預(yù)期結(jié)果敏感級數(shù)據(jù)為加密存儲，加密密鑰具備防護機制進行保存；具備敏感級數(shù)據(jù)的存儲路徑的訪問控制機制；日志數(shù)據(jù)不包含與用戶數(shù)據(jù)相關(guān)的信息。實測結(jié)果與預(yù)期結(jié)果一致。備注無。反逆向保護測試測試目的7.7.3 反逆向保護要求要求應(yīng)采取代碼混淆、加殼等防護措施，實現(xiàn)客戶端 APP 反編譯保護。預(yù)置條件保證設(shè)備正常運行。測試步驟使用工具查看客戶端 APP 代碼是否采取代碼混淆、加殼等防護措施。預(yù)期結(jié)果采取代碼混淆、加殼等防護措施。實測結(jié)果與預(yù)期結(jié)

47、果一致。備注無。反盜版保護測試測試目的7.7.4 反盜版保護要求要求應(yīng)采取簽名機制，防止客戶端 APP 被重打包。預(yù)置條件保證設(shè)備正常運行。測試步驟檢查 APP 是否具備簽名信息。預(yù)期結(jié)果具備簽名信息。實測結(jié)果與預(yù)期結(jié)果一致。備注無。防篡改攻擊測試測試目的7.7.5 防篡改攻擊要求要求應(yīng)對程序的完整性、參數(shù)內(nèi)容的完整性和有效性進行檢查，以防御篡改攻擊。預(yù)置條件保證設(shè)備正常運行。測試步驟將程序文件進行，破壞原程序文件的完整性，生成完整性被破壞的程序文件；將步驟 1 生成的程序文件拷貝到客戶端上，查看 APP 是否能正常安裝啟動。預(yù)期結(jié)果不能正常安裝啟動。實測結(jié)果與預(yù)期結(jié)果一致。備注無。硬件安全測試硬件功能安全測試測試目的7.8.1 硬件功能安全要求要求硬件功能實現(xiàn)應(yīng)與提供給用戶的說明文檔相一致，不應(yīng)存在未聲明或隱藏的功能。例如應(yīng)關(guān)閉隱藏調(diào)試功能，防止廠商在未