GB/T 41387-2022 信息安全技術 智能家居通 用安全規(guī)范（正式版）

ICSCCS35.030信息安全技術智能家居通用安全規(guī)范國家市場監(jiān)督管理總局國家標準化管理委員會I Ⅲ 1 1 1 2 3 3 3 46.1硬件安全 46.2固件安全 4 56.4應用安全 66.5接口安全 76.6通信安全 76.7數(shù)據(jù)安全 7 77.1硬件安全 77.2固件安全 7 87.4應用安全 87.5接口安全 87.6通信安全 87.7數(shù)據(jù)安全 8 98.1硬件安全 98.2固件安全 9 98.4應用安全 98.5接口安全 98.6通信安全 98.7數(shù)據(jù)安全 9 9 99.2應用安全 99.3接口調用安全 Ⅱ9.4數(shù)據(jù)安全 9.5終端管理安全 10智能家居安全通用測試方法 10.1總體說明 10.2智能家居終端安全測試方法 10.3智能家居網關安全測試方法 10.4智能家居控制端安全測試方法 10.5智能家居應用服務平臺安全測試方法 附錄A(資料性)智能家居典型場景及安全風險分析 A.1智能家居典型應用場景 A.2智能家居安全風險 A.3智能家居參與方 ⅢGB/T41387—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中移(杭州)信息技術有限公司、中國移動通信集團有限公司、中國信息通信研究評測中心(工業(yè)和信息化部軟件與集成電路促進中心)、中國網絡安全審查技術與認證中心、北京京東尚科信息技術有限公司、聯(lián)想(北京)有限公司、北京百度網訊科技有限公司、阿里巴巴(北京)軟件服務有有限公司、深圳市優(yōu)點科技有限公司、OPPO廣東移動通信有限公司、華為技術有限公司、北京小米移動軟件有限公司、中國信息通信科技集團有限公司、杭州安恒信息技術股份有限公司、深圳市騰訊計算機系統(tǒng)有限公司。1GB/T41387—2022信息安全技術智能家居通用安全規(guī)范GB/T25069信息安全技術術語29234—201231168—201435273—202036633—201839579—202041388—2022信息安全技術信息安全技術信息安全技術個人信息安全規(guī)范公眾電信網智能家居應用技術要求信息安全技術可信執(zhí)行環(huán)境基本安全規(guī)范ISO/IEC27033-6信息技術安全技術網絡安全第6部分：無線IP網絡接入安全保護(Infor-3術語和定義GB/T25069、GB/T39579—2020和GB/T41388—2022界定的以及下列術語和定義適用于本智能家居終端smarthometerminal連接到家庭網絡的、協(xié)同提供智能家居業(yè)務的各種終端設備。2GB/T41387—20224縮略語API:應用編程接口(ApplicationProgrammingInterface)Bin:二進制文件(BinaryFile)CNNVD:國家信息安全漏洞庫(ChinaNationalVulnerabilityDatabaseofInformationSecurity)CNVD:國家信息安全漏洞共享平臺(ChinaNationaFTP:文件傳輸協(xié)議(FileTranIP:網絡之間互聯(lián)的協(xié)議(InternetProtocol)MAC:媒體存取控制位址(MediaAccessControlAddress)NFC:近場通信(NearFieldCommunication)URL:統(tǒng)一資源定位符(UniformResourceLocat3GB/T41387—2022Web:全球廣域網(WorldWideWeb)5智能家居系統(tǒng)組成及安全框架5.1智能家居系統(tǒng)組成智能家居快速發(fā)展，出現(xiàn)大量應用場景(典型應用場景見附錄A中的A.1)。智能家居系統(tǒng)主要由智能家居用戶、智能家居終端、智能家居控制端、智能家居網關、通信網絡和智能家居應用服務平臺組成，智能家居系統(tǒng)組成如圖1所示，其中：a)智能家居用戶即實際使用智能家居服務的終端用戶；b)智能家居終端是實現(xiàn)智能家居應用具體功能的設備，為智能家居用戶提供感知、數(shù)據(jù)采集及控制服務；c)智能家居控制端提供與智能家居用戶交互的界面，實現(xiàn)對智能家居終端的控制和管理，進而實現(xiàn)智能家居應用；d)智能家居網關為智能家居環(huán)境提供網絡連接，并提供本地場景化服務和設備管理功能；e)通信網絡分為家庭局域網和廣域網，為智能家居提供數(shù)據(jù)通信連接能力；f)智能家居應用服務平臺是智能家居服務承載的功能實體，通過與智能家居終端、智能家居控制廣域網用戶服務平臺圖例家庭局域網圖1智能家居系統(tǒng)組成5.2智能家居安全框架在系統(tǒng)性分析智能家居系統(tǒng)各個環(huán)節(jié)安全風險基礎上，本文件對智能家居安全框架進行了抽象，如圖2所示(具體分析見A.2和A.3)。凡涉及采用密碼技術解決機密性、完整性、真實性、不可否認性需求的應遵循密碼相關國家標準和行業(yè)標準。本文件主要考慮智能家居終端安全、智能家居網關安全、智能家居控制端安全和智能家居應用服務平臺安全。4GB/T41387—2022智能家居終端智能家居終端硬件安全固件安全操作系統(tǒng)安全應用安全接口安全通信安全數(shù)據(jù)安全智能家居網關硬件安全固件安全操作系統(tǒng)安全通信網絡應用安全接口安全通信安全數(shù)據(jù)安全數(shù)據(jù)安全終端管理安全智能家居控制端硬件安全固件安全應用安全接口安全通信安全數(shù)據(jù)安全智能家居應用服務平臺接口調用安全操作系統(tǒng)安全家居應用服務平臺相互之間通過通信網絡進行通信的邏輯關系。圖2智能家居安全框架6智能家居終端安全要求對于物理安全要求包括：a)宜具備數(shù)據(jù)的物理保護機制，防止攻擊者通過去除芯片表面封裝層而獲取存儲器數(shù)據(jù)；b)宜具備在受到暴力移除或拆卸時的防護預警機制，如將預警信息上傳至智能家居應用服務平對于芯片安全要求包括：c)芯片宜使用拆卸存跡硬質涂層，防止直接觀察和探測芯片內容以及在拆卸或移動芯片后留下e)宜具備安全啟動硬件保護機制；f)宜具有硬件隨機數(shù)發(fā)生器、密g)宜具備只有在可信執(zhí)行環(huán)境內可訪問安全存儲區(qū)的功能。5GB/T41387—2022b)應對遠程下載的固件更新文件的來源進行校驗；d)應具備對固件升級文件完整性校驗機制；e)應確保固件升級失敗后固件的可用性；對于具備操作系統(tǒng)的智能家居終端要求包括：d)系統(tǒng)應對不同的應用進程及數(shù)據(jù)之間實施適當?shù)脑L問控制管理措施，不同應用程序的進程及數(shù)據(jù)不能非授權訪問；f)不應存在繞過正常鑒別機制直接進入到系統(tǒng)的隱秘通道，如：特定接口、特定客戶端、特殊URL等。對于具備操作系統(tǒng)的智能家居終端要求包括：d)應具備通過補丁或軟件升級的方式消除安全漏洞的功能。6GB/T41387—2022對于具備操作系統(tǒng)的智能家居終端要求包括：a)對于能夠安裝外部應用的系統(tǒng)，應提供對系統(tǒng)API的訪問控制功能機制，防止應用對系統(tǒng)接口的非授權調用；b)對于可配置服務的操作系統(tǒng)，應具備修改默認配置的功能，具體功能要求包含但不限于修改默及監(jiān)控；c)登錄口令宜具有一定復雜度要求，字符長度應不少于八位，且應由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；d)宜提供數(shù)據(jù)通信連接狀態(tài)的標志；e)對于支持遠程連接的設備，其操作系統(tǒng)應使用安全的通信協(xié)議保障通道安全，包括具備建立通道時的身份鑒別和傳輸數(shù)據(jù)的機密性與完整性保護機制；f)對于通過Web進行遠程管理的設備，對其進行管理和配置的行為應經過登錄身份鑒別，其登錄和退出過程需有日志記錄；記錄內容應至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄發(fā)起方的IP地址等信息。6.3.7操作系統(tǒng)安全審計對于具備操作系統(tǒng)的智能家居終端要求包括：a)應具備記錄用戶對設備操作的功能，記錄包括但不限于用戶對設備操作時所使用的賬號、操作b)宜自動將設備異常關機、重啟、文件系統(tǒng)損壞等異常狀態(tài)下產生的告警信息記入日志；c)對于具備文件系統(tǒng)的操作系統(tǒng)，應具備按賬號分配日志文件讀取的功能，防止日志文件被非法讀取，且對于日志文件的刪除操作僅允許管理員賬號進行處理；d)應具備在日志分配的存儲空間耗盡時，能夠按照操作系統(tǒng)的設置采取措施的功能。例如，報警6.4應用安全智能家居終端上的應用安全要求包括：b)應具備防范越權操控和身份偽冒的功能；c)對設備密碼、設備鑒別信息等關鍵安全信息進行加密處理，不應在日志和配置文件中明文記錄關鍵安全信息；d)如需與智能家居應用服務平臺或其他終端應用進行數(shù)據(jù)交互，則在傳輸之前應進行雙向鑒別，并且應通過安全的網絡傳輸協(xié)議進行通信，保護通信內容的機密性和完整性；e)應具備防止對身份驗證數(shù)據(jù)進行暴力攻擊破解的功能；f)應具備對輸入數(shù)據(jù)格式的檢驗過濾機制；g)宜支持設備一機一密配置，密鑰與設備唯一標識綁定，防止設備偽造；h)對于使用傳統(tǒng)Bin應用編譯宜在編譯過程采用安全編譯選項，降低內存攻擊漏洞的影響；i)應確保應用不使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并應具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能；j)宜具備應用安全事件的實時監(jiān)測和應用審計機制。7GB/T41387—2022d)宜具備防暴力破解的功能；e)宜支持一機一密鑒別機制。對于端口安全要求包括：a)端口開放應遵循最小化原則，默認關閉非必須使用的端口，如遠程登錄協(xié)議(Tc)宜具備防暴力破解的功能；d)宜支持一機一密鑒別機制。對于通信安全要求包括：b)對于使用有線網絡技術的智能家居終端，通信安全應符合GB/T29234—2012中的規(guī)定；對于數(shù)據(jù)安全要求包括：b)應具備存儲過程中對關鍵安全信息的機密性和完整性保護機制；現(xiàn)或記錄非授權應用訪問數(shù)據(jù)；d)智能家居終端的個人信息安全，應符合GB/T35273—2020中第5章～第8章的要求。智能家居網關應符合6.1硬件安全要求。智能家居網關應符合6.2固件安全要求。8GB/T41387—2022智能家居網關應符合6.3操作系統(tǒng)安全要求。7.4應用安全智能家居網關應用安全要求包括：a)應符合6.4應用安全的要求；b)對于支持本地Web管理功能的網關，其Web管理應用應具備防護外部攻擊功能，支持啟動安c)應對安裝包的完整性和來源的真實性進行校驗，不應自動安裝第三方應用軟件。7.5接口安全智能家居網關應符合6.5接口安全要求。對于智能家居網關接入安全，應符合6.6通信安全的要求。a)宜具備對接入的智能家居終端通過MAC地址等方式進行標記和過濾的功能；b)宜具備對接入的智能家居終端進行網絡接入權限控制的功能，包括黑白名單控制、限速控c)宜具備通過頻段、信道劃分等安全域劃分方式對接入的智能家居終端進行安全隔離的功能。智能家居網關應支持安全傳輸通道功能。智能家居網關的網絡攻擊防護要求包括：a)智能家居網關宜能夠對接入的智能家居終端開放端口進行識別，對其中存在風險服務具備告b)智能家居網關應具備對智能家居終端接收到的Telnet等異常外部請求行為的檢測、告警及連c)智能家居網關宜具備防止用戶偽造源的組播的功能；d)智能家居網關應具備拒絕服務攻擊源流量處置機制；式進行防火墻配置及防護策略下發(fā)；f)智能家居網關宜具備對通過其傳輸?shù)牧髁窟M行惡意URL/IP和僵尸、木馬和蠕蟲等病毒文件智能家居網關應符合6.7數(shù)據(jù)安全的要求。9GB/T41387—20228智能家居控制端安全要求8.1硬件安全對于使用專用硬件設備的智能家居控制端，其硬件安全應符合6.1硬件安全的要求。8.2固件安全對于使用專用硬件設備，且具備固件的智能家居控制端，其固件安全應符合6.2固件安全要求。8.3操作系統(tǒng)安全對于使用專用硬件設備，且具備操作系統(tǒng)的智能家居控制端，其操作系統(tǒng)安全應符合6.3操作系統(tǒng)安全要求。8.4應用安全智能家居控制端上的應用安全要求包括：b)應具備防范越權操控和身份偽冒的功能；c)在日志和配置文件中的用戶鑒別信息等關鍵安全信息應進行加密處理；d)與智能家居終端進行數(shù)據(jù)交互，應通過安全網絡協(xié)議傳輸；e)與智能家居應用服務平臺進行數(shù)據(jù)交互，應通過安全網絡協(xié)議進行傳輸，且在傳輸之前應進行雙向鑒別；f)應具備防止對身份驗證數(shù)據(jù)進行暴力攻擊破解的功能；g)應具備在卸載應用時能夠刪除安裝和使用過程中產生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件的功能；h)控制端應用應確保不使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并應具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的功能。8.5接口安全對于智能家居控制端的接口安全，應符合6.5接口安全要求。8.6通信安全對于智能家居控制端的通信安全，應符合6.6通信安全要求。8.7數(shù)據(jù)安全對于智能家居控制端的數(shù)據(jù)安全，應符合6.7數(shù)據(jù)安全要求。9智能家居應用服務平臺安全要求9.1平臺環(huán)境安全對于智能家居應用服務平臺環(huán)境安全，應符合GB/T31168—2014中的規(guī)定。9.2應用安全智能家居應用服務平臺的身份鑒別要求包括。GB/T41387—2022a)應對使用智能家居應用服務平臺應用的用戶進行身份鑒別，并應符合GB/T36633—2018中的安全要求。b)應對應用服務平臺的應用進行身份鑒別，應符合如下安全要求：1)構建應用標識體系，為每個應用分配唯一的身份標識；2)應對接入平臺的應用進行身份鑒別，只有通過身份鑒別的應用才能接入應用服務平臺執(zhí)行后續(xù)的業(yè)務調用；4)對接口的調用都應經過鑒權，限定可操作的資源范圍、操作權限。c)應對接入應用服務平臺的設備進行身份鑒別，應符合如下安全要求：1)應構建設備標識體系，為每個智能家居終端分配唯一的身份標識，并與設備信息進行關2)應通過預置密鑰、密鑰協(xié)商等方式，為每個設備分配唯一的設備密鑰，并支持密鑰的生成、3)應對接入平臺的設備進行身份鑒別，只有通過身份鑒別的設備才能接入應用服務平臺進行后續(xù)應用操作，身份鑒別的方式包括驗證PIN碼等有效驗證用戶身份的信息；4)設備鑒別過程如需使用隨機數(shù)機制，應使用系統(tǒng)真隨機生成，如/dev/urandom、/dev/ran-dom等隨機算法，確保不可預測，不應使用srand等偽隨機算法(時間做種子);5)對于支持應用賬號綁定的設備，宜通過對原賬號解綁后才可進行重新綁定，不宜通過設備重置方式進行賬號重新綁定。d)應具備對訪問應用服務平臺的平臺管理人員進行身份鑒別的功能，其宜采用兩種或兩種以上多因素身份鑒別技術進行身份鑒別，其中至少一種鑒別技術應使用密碼技術來實現(xiàn)。9.2.2權限控制智能家居應用服務平臺的權限控制要求包括：a)應支持用戶分級分組，并根據(jù)不同用戶等級、分組授予不同的業(yè)務訪問權限，只允許獲得授權的用戶訪問指定的數(shù)據(jù)及內容、執(zhí)行相應應用操作；b)應根據(jù)不同的應用等級授予不同的應用訪問權限，只允許獲得授權的應用，調用指定的應用能c)應根據(jù)不同的設備類型或等級授予不同的應用訪問權限，只允許獲得授權的設備，訪問指定的9.3接口調用安全對于智能家居服務平臺間的接口調用安全要求包括：a)應具備平臺與平臺之間的合法性校驗機制，防止應用服務平臺冒用和越權訪問；b)被調用應用服務平臺應具備針對源IP地址范圍進行授權的功能，調用該平臺時除提供靜態(tài)口令外還需要對IP地址范圍進行授權；c)被調用平臺應具備對所調用資源記錄完整操作日志的功能；d)對于用戶訪問權限有要求的接口，應具備訪問控制(例如，黑/白名單)機制，以便對非法用戶訪問進行攔截；e)應具備惡意攻擊的識別與阻斷功能。GB/T41387—2022智能家居應用服務平臺之間的數(shù)據(jù)傳輸要求包括：智能家居應用服務平臺的數(shù)據(jù)訪問控制要求包括：b)應具備對涉及關鍵安全信息的文件進行權限控制的功能，只允許具有相應權限的用戶訪問；文件。智能家居應用服務平臺的數(shù)據(jù)存儲安全要求包括：失時能夠及時發(fā)現(xiàn)；數(shù)據(jù)在故障發(fā)生后不會丟失；d)應具備對各類數(shù)據(jù)和文件進行歸檔和對臨時數(shù)據(jù)及文件進行定期自動清理的功能；數(shù)據(jù)的完全清除和不可恢復的功能。智能家居應用服務平臺的個人信息安全，應符合GB/T35273—2020中第5章～第10章的要求。9.5終端管理安全對于智能家居應用服務平臺終端管理安全要求包括：a)應具備設備的信息安全上報和指令安全下發(fā)功能，保證上報信息和下發(fā)指令的完整性和機源的真實性進行驗證。GB/T41387—202210.2智能家居終端安全測試方法物理安全的測試方法、預期結果和結果判定如下。a)檢測方法：1)核查芯片內是否設置光敏檢測電路、溫度檢測電路、電壓電路檢測、溫度檢測電路以及頻率檢測電路等模塊，對芯片工作環(huán)境進行監(jiān)控，當攻擊者通過去除芯片表面封裝層而試圖獲取存儲器數(shù)據(jù)時，檢測模塊是否會產生警告信息；或者核查是否對芯片內部總線以及存儲器等重要敏感電路部分添加物理保護層；或者核查是否具有抗功耗分析攻擊的能力；2)通過暴力移除或者拆卸操作，驗證智能家居終端是否具有防護預警機制，如將預警信息上傳至智能家居應用服務平臺等方式。b)預期結果：1)芯片具備數(shù)據(jù)的物理保護機制，防止攻擊者通過去除芯片表面封裝層而獲取存儲器數(shù)據(jù)；2)智能家居終端具備在受到暴力移除或拆卸時的防護預警機制，如將預警信息上傳至智能家居應用服務平臺等方式。c)結果判定：芯片安全的測試方法、預期結果和結果判定如下。a)檢測方法：1)對于具備安全元件的芯片，嘗試篡改芯片內部固件數(shù)據(jù)，驗證固件芯片是否具有物理寫保護的功能；2)審查廠商提交的文檔，查看芯片是否具有安全域隔離功能，提供可信執(zhí)行環(huán)境；3)審查廠商提交的文檔，查看芯片是否使用拆卸存跡硬質涂層，可以防止直接觀察和探測芯片內容以及拆卸或移動芯片后留下證據(jù)；4)審查廠商提交的文檔，查看出廠前是否擦除主控芯片表面的型號、廠商等信息，增加破解5)審查廠商提交的文檔，查看是否具備安全啟動硬件保護機制；6)審查廠商提交的文檔，查看是否具有硬件真隨機數(shù)、硬件加密密鑰和加解密技術，硬件加密密鑰只在可信執(zhí)行環(huán)境內部處理；7)審查廠商提交的文檔，查看是否具備只有可信執(zhí)行環(huán)境可訪問安全存儲區(qū)的功能。b)預期結果：1)具備安全元件的芯片，固件芯片具有物理寫保護的功能，防止固件被篡改；2)芯片具有安全域隔離功能，提供可信執(zhí)行環(huán)境；3)芯片使用拆卸存跡硬質涂層，防止直接觀察和探測芯片內容，以及拆卸或移動芯片后留下4)出廠前擦除主控芯片表面的型號、廠商等信息，增加破解難度；5)具備安全啟動硬件保護機制；6)具備硬件真隨機數(shù)、硬件加密密鑰和加解密技術，硬件加密密鑰只在可信執(zhí)行環(huán)境內部GB/T41387—20227)具備只有可信執(zhí)行環(huán)境可訪問安全存儲區(qū)的功能。測評結束。a)檢測方法：用戶進行確認的功能；升級包驗證來源的真實性；3)審查廠商提交的文檔，查看固件下載鏈路是否可防止中間人劫持或者嗅探；b)預期結果：1)具備固件更新機制，且更新前向用戶進行確認；2)固件升級前對固件升級包來源的真實性進行驗證；5)推送不正確的固件給設備，使升級失敗，設備可以恢復到可用的版本；6)固件不能通過物理接口等手段提取出來；8)不存在將登錄用戶名、口令等登錄憑證明文存儲在設備固件中的情況。c)結果判定：GB/T41387—2022b)預期結果：c)結果判定：a)檢測方法：2)申請遠程控制，驗證系統(tǒng)是否具有身份鑒別機制，是否可以禁止非法用戶或應用控制3)在系統(tǒng)上申請安裝應用，驗證是否需要獲得用戶授權才能安裝；如果用戶拒絕安裝該應是否禁止所有未被允許權限的使用；序的進程及數(shù)據(jù)是否禁止隨意互訪；6)審查廠商提交的文檔，查看是否禁止存在繞過正常鑒別機制直接進入到系統(tǒng)的隱秘通道，b)預期結果：2)申請遠程控制，系統(tǒng)對遠程控制的請求進行身份鑒別，可以防止非法用戶或應用控制3)系統(tǒng)在應用安裝時需要獲得用戶授權，且系統(tǒng)拒絕安裝被用戶拒絕的應用；應用安裝時，4)系統(tǒng)對不同的應用進程及數(shù)據(jù)之間實施適當?shù)脑L問控制管理，不同應用程序的進程及數(shù)據(jù)不能隨意互訪；5)系統(tǒng)禁止預留任何的未公開賬號，所有賬號都必須可被操作系統(tǒng)管理；c)結果判定：測評結束。GB/T41387—2022a)檢測方法：b)預期結果：智能家居終端設備具有安全啟動機制，在非授權的條件下修改啟動分區(qū)，重新啟c)結果判定：測評結束。a)檢測方法：4)審查廠商提交的文檔，查看操作系統(tǒng)是否具備通過補丁或軟件升級的方式消除高危及以b)預期結果：1)具備操作系統(tǒng)更新機制，且更新前宜得到用戶確認；3)推送不正確的操作系統(tǒng)，使升級失敗，設備可以恢復到可用的版本；4)操作系統(tǒng)具備通過補丁或軟件升級的方式消除高危及以上等級安全漏洞的功能。c)結果判定：a)檢測方法：b)預期結果：對具備調試功能的設備，限制調試進程在操作系統(tǒng)中的訪問權限和操作權限；使c)結果判定：GB/T41387—2022測評結束。服務配置安全的測試方法、預期結果和結果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看對于能夠安裝外部應用的系統(tǒng)，是否提供對系統(tǒng)API的訪問控制機制，防止應用對系統(tǒng)接口的非授權調用；2)審查廠商提交的文檔，查看對于可配置服務的系統(tǒng)，是否具備修改默認配置的功能，具體功能要求包含但不限于修改默認身份和鑒別信息、服務啟用和禁用、應用訪問限制和應用3)將少于八位的弱口令設置為系統(tǒng)登錄口令，驗證是否設置成功；檢查登錄口令是否由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；4)進行數(shù)據(jù)通信時，檢查是否有標志顯示連接狀態(tài)；5)對于支持遠程連接的設備，驗證系統(tǒng)所使用通信協(xié)議是否可保障鑒別信息、用戶個人信息等敏感數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕沂欠裎词褂肧SL2.0.0、SSL3.0和TLS1.0等已曝數(shù)據(jù)進行機密性與完整性的驗證；6)通過Web進行遠程管理的設備，對其進行管理和配置時，是否經過身份鑒別；在登錄和退時間以及遠程登錄發(fā)起方的IP地址等信息。b)預期結果：1)對于能夠安裝外部應用的系統(tǒng)，提供對系統(tǒng)API的訪問控制機制；2)對于可配置服務的系統(tǒng)，具備修改默認配置的功能，具體功能要求包含但不限于修改默認及監(jiān)控；3)將少于八位的弱口令設置為系統(tǒng)登錄口令，設置不成功；登錄口令由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；4)進行數(shù)據(jù)通信時，有標志顯示連接狀態(tài)；5)對支持遠程連接的設備，系統(tǒng)使用安全的通信協(xié)議保障通道安全；在建立通道時，應進行6)通過Web進行遠程管理的設備，對其進行管理和配置時，應經過身份鑒別；日志記錄登錄/退出的過程，記錄內容至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄發(fā)起方的IP地址等信息。測評結束。操作系統(tǒng)安全審計的測試方法、預期結果和結果判定如下。a)檢測方法：1)當用戶對設備進行操作時，檢查是否進行了日志記錄，記錄內容是否至少包含用戶對設備GB/T41387—20224)檢查設備當為日志分配的存儲空間耗盡時，是否按操作系統(tǒng)的設置決定采取的措施，例b)預期結果：c)結果判定：a)檢測方法：信時是否采用安全網絡協(xié)議；5)檢查是否具有防止身份驗證數(shù)據(jù)被暴力攻擊的功能；8)檢測使用傳統(tǒng)Bin應用編譯在編譯過程中是否采用安全編譯選項，以降低內存攻擊漏洞9)檢查應用是否使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，驗證其是否具備根據(jù)新曝光漏洞自動或手動安裝升級補丁的10)審查廠商提交的文檔，查看是否具備b)預期結果：1)應用具備防偽冒、防篡改、防逆向和防調試的功能；3)在日志和配置文件中，對設備密碼、設備鑒別信息等關鍵安全信息進行加密存儲；GB/T41387—20224)與智能家居應用服務平臺進行數(shù)據(jù)交互時，在傳輸之前進行雙向鑒別，并且在通信時采用安全網絡協(xié)議；5)具備防止身份驗證數(shù)據(jù)被暴力攻擊的功能；6)具備對輸入數(shù)據(jù)格式的檢驗機制，輸入不安全的數(shù)據(jù)，會進行過濾處理；7)支持設備一機一密配置，密鑰與設備唯一標識綁定，防止設備偽造；8)對于使用傳統(tǒng)Bin應用編譯宜在編譯過程采用安全編譯選項，降低內存攻擊漏洞的影響；9)應用未使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三10)具備應用安全事件的實時監(jiān)測和應用審計機制。c)結果判定：測評結束。a)檢測方法：殊符號等方式兩種或兩種以上組成的復雜口令；2)使用無線和有線外圍接口傳輸數(shù)據(jù)，驗證是否具有通過指示燈或顯示屏等方式監(jiān)控數(shù)據(jù)3)檢查具備調試功能的接口，在出廠時是否設置為默認關閉；4)使用暴力破解工具對硬件接口進行暴力破解，檢測其是否具備5)審查廠商提交的文檔，查看硬件接口是否支持一機一密鑒別機制。b)預期結果：1)對于具有console接口的設備，用戶需要配置用戶名、口令等方式得到鑒別授權，才能進成的復雜口令；2)對于使用無線和有線外圍接口的設備，通過指示燈或顯示屏等方式，提供數(shù)據(jù)傳輸狀態(tài)的3)具備調試功能的接口，在出廠時設置為默認關閉；4)硬件接口具備防暴力破解的功能；5)硬件接口支持一機一密鑒別機制。c)結果判定：測評結束。a)檢測方法：1)審查廠商提交的文檔，查看系統(tǒng)服務授權是否遵循最小化原則，是否默認關閉遠TelnetGB/T41387—20223)使用暴力破解工具對端口進行暴力破解，檢測其是否具備防暴3)端口具備防暴力破解的功能；4)端口支持一機一密鑒別機制。c)結果判定：測評結束。a)檢測方法：1)對于使用無線接入網絡技術的智能家居終端，查看客戶是否能提供ISO/IEC27033-6中對于無線IP網絡接入對應項的符合性證明；2)對于使用有線網絡技術的智能家居終端，查看客戶是否提供GB/T29234—2012中對于有線網絡接入對應項的符合性證明；3)檢查智能家居終端在通信配對時是否對密鑰進行有效的加密傳輸。b)預期結果：1)對于使用無線接入網絡技術的智能家居終端，客戶提供的證明，符合ISO/IEC27033-6中對于無線IP網絡接入的安全要求；3)在通信配對時對密鑰進行加密傳輸。c)結果判定：測評結束。a)檢測方法：2)對于數(shù)據(jù)庫連接密碼、FTP服務口令、登錄口令、外部系統(tǒng)接口鑒別口令等關鍵安全信GB/T41387—20223)對于能夠安裝第三方應用的系統(tǒng)，檢查是否具備對第三方應用軟件訪問數(shù)據(jù)權限的控制4)查看廠商是否能提供GB/T35273—2020中第5章～第8章對應項的符合性證明。b)預期結果：1)在數(shù)據(jù)傳輸時，應用或系統(tǒng)具備對敏感數(shù)據(jù)進行保護的功能，保障關鍵安全信息的機密能獲取敏感信息；2)對于數(shù)據(jù)庫連接密碼、FTP服務口令、登錄口令、外部系統(tǒng)接口鑒別口令等關鍵安全信3)對于能夠安裝第三方應用的系統(tǒng)，具備對第三方應用軟件訪問數(shù)據(jù)權限的控制功能，進行4)廠商提供的證明，符合GB/T35273—2020中第5章～第8章對應項的要求。c)結果判定：a)檢測方法：1)檢測方法參照10.2.4;2)審查廠商提交的文檔，查看對于支持本地Web管理網關的應用，是否滿足登錄錯誤次數(shù)3)檢查是否對安裝包的完整性和來源的真實性進行校驗，以及是否存在自動安裝第三方應b)預期結果：1)預期結果參考10.2.4;2)對于支持本地Web3)對安裝包的完整性和來源的真實性進行校驗，且不存在自動安裝第三方應用軟件。c)結果判定：GB/T41387—2022a)測試方法：1)對于使用無線接入網絡技術的智能家居網關，通信安全應符合ISO/IEC27033-6中對于無線IP網絡接入的安全要求；2)對于使用有線網絡技術的智能家居網關，通信安全應符合GB/T29234—2012中對于寬帶有線網絡接入的安全要求；3)檢查智能家居網關在通信配對時是否對配對產生的密鑰進行有效的加密傳輸。b)預期結果：對于無線IP網絡接入的安全要求；于寬帶有線網絡接入的安全要求；3)在通信配對時對配對產生的密鑰進行加密傳輸。c)結果判定：測評結束。1)審查廠商提交的文檔，查看是否具備通過MAC地址等方式進行智能家居終端綁定標記3)審查廠商提交的文檔，查看是否支持通過安全域劃分、頻段、信道劃分等安全域劃分方式對接入的智能家居終端進行安全隔離。b)預期結果：1)具備通過MAC地址等方式進行智能家居終端綁定標記和過濾的功能；2)支持對接入的智能家居終端進行網絡接入權限控制，包括黑白名單控制、限速控制、訪問c)結果判定：測評結束。GB/T41387—2022a)測試方法：b)預期結果：智能家居網關支持安全傳輸通道能力。c)結果判定：a)測試方法：2)嘗試對家庭設備Telnet請求，驗證智能家居網關是否可以檢測到這種異常行為并進行告警及連接阻斷；部輸出的異常流量進行檢測和處置；6)嘗試對通過智能家居網關傳輸?shù)牧髁窟M行惡意URL/IP、僵尸、木馬和蠕蟲等病毒文件攻b)預期結果：1)在智能家居網關中，接入非法終端，其可以識別存在風險的服務，并告警和屏蔽，如2)對家庭設備Telnet請求，智能家居網關可以檢測到這種異常行為并進行告警及連接4)智能家居網關具備拒絕服務攻擊源流量清洗功能，并對內部輸出的異常流量進行檢測和5)智能家居網關支持防火墻功能，能夠根據(jù)策略對特定連接做阻斷、限速，能夠通過遠程的方式進行防火墻配置及防護策略下發(fā)；6)對通過智能家居網關傳輸?shù)牧髁窟M行惡意URL/IP、僵尸、木馬和蠕蟲等病毒文件攻擊，c)結果判定：GB/T41387—2022a)測試方法：1)使用交互式反匯編軟件等反編譯工具，檢測應用是否具備防偽冒、防篡改、防逆向和防調3)檢查在日志和配置文件中，是否明文記錄用戶密碼、用戶鑒別信息；4)檢查與智能家居終端之間通信數(shù)據(jù)是否通過安全網絡協(xié)議傳輸；之前是否進行雙向鑒別；6)檢查是否具有防止身份驗證數(shù)據(jù)被暴力破解的功能；8)檢查控制端應用是否使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，驗證其是否具備根據(jù)新曝光漏洞自動或手動安裝升級補b)預期結果：3)在日志和配置文件中，不存在明文記錄設備密碼、設備鑒別信息；4)與智能家居終端進行數(shù)據(jù)交互，通過安全網絡協(xié)議傳輸；6)具有防止身份驗證數(shù)據(jù)被暴力破解的功能；8)控制端應用未使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞c)結果判定：若智能家居控制端滿足以上預期結果，則該項目測評結果為“符合要求”,否則為“不符合要GB/T41387—2022查看客戶是否能提供GB/T31168—2014中對應項的符合性證明。b)預期結果：客戶提供的證明，符合GB/T31168—2014中的要求。c)結果判定：a)檢測方法：1)查看客戶是否能提供GB/T36633—2018中對應項的符合性證明。2)應用服務平臺的應用進行身份鑒別，檢測方法如下：i)審查廠商提交的文檔，查看是否構建應用標識體系，為每個應用分配唯一的身份應用才能接入應用服務平臺執(zhí)行后續(xù)的業(yè)務調用；iii)審查廠商提交的文檔，查看是否為不同的應用分配不同的密鑰，并支持密鑰的生成、iv)審查廠商提交的文檔，查看對接口的調用是否都要經過鑒權，限定可操作的資源范備才能接入應用服務平臺進行后續(xù)應用操作；原賬號解綁后才可進行重新綁定。采用兩種或兩種以上組合身份鑒別技術進行身份鑒別，其中至少一種鑒別技術使用密碼b)預期結果：1)客戶提供的證明，符合GB/T36633—2018中的要求。入應用服務平臺執(zhí)行后續(xù)的業(yè)務調用；ii)為不同的應用分配不同的密鑰，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰管理GB/T41387—2022功能；用服務平臺進行后續(xù)應用操作；iv)設備鑒別過程中如需使用隨機數(shù)機制，使用系統(tǒng)真隨機生成，如/dev/urandom、dev/random;4)對訪問應用服務平臺的平臺管理人員進行身份鑒別，采用兩種或兩種以上組合身份鑒別c)結果判定：a)檢測方法：備類型或等級授予不同的應用訪問權限，只允許獲得授權的應用，訪問指定的數(shù)據(jù)及信b)預期結果：c)結果判定：2)查看被調用應用服務平臺應是否具備針對源IP地址范圍進行授權的功能，驗證調用該平臺時，驗證是否除提供靜態(tài)口令外還需要對IP地址范圍進行授權；3)嘗試合法平臺調用另一合法平臺的資源，查看被調用平臺是否具備對調用平臺所調用的5)審查廠商提交的文檔，是否具備惡意攻擊的識別與阻斷功能。b)預期結果：2)被調用應用服務平臺應具備針對源IP地址范圍進行授權的功能；3)合法平臺調用另一合法平臺的資源，被調用平臺具備對調用平臺所調用的資源記錄完整操作日志的功能；5)具備惡意攻擊的識別與阻斷功能。a)檢測方法：信息是否進行加密保護；息進行加密保護；息傳輸時進行完整性校驗。c)結果判定：GB/T41387—2022a)檢測方法：對該系統(tǒng)對應的數(shù)據(jù)庫進行權限以外的相關操作，檢查是否可以訪問其他未被授權的系問指定目錄下的文件。b)預期結果：1)具備權限控制功能，在虛擬化系統(tǒng)上對于數(shù)據(jù)庫設置不同的訪問策略，用戶對該系統(tǒng)對應2)包含關鍵安全信息的文件有權限控制，只能被相應權限的用戶訪問；3)對數(shù)據(jù)的上傳下載操作時，限制用戶向上跨目錄訪問，且只允許其訪問指定目錄下的c)結果判定：a)檢測方法：4)審查廠商提交的文檔，查看是否具備對各類數(shù)據(jù)和文件進行歸檔和對臨時數(shù)據(jù)及文件進行定期自動清理的功能；b)預期結果：4)