标准规范下载简介
T/TAF 087-2021 智能可穿戴设备安全 儿童电话手表安全技术要求和测试评估方法.pdf外围接口包括无线外围接口和有线外围接口。外围接口的安全目标是确保用户对外围接口的连接及 **传输的可知和可控,
手表控制程序安全目标是要保证控制程序在终端设备中运行的安全性,例如:对应用控制程序进行 加固和签名,防止二次编译和假冒APP等恶意行为另外还应保证本地**存储的安全性,例如:本地娄 *库、本地资源文件和缓存等
4.3.5儿童手表服务器端安全目标
无线通信安全目标是要保 输的机密性、完整性和真实性,采用必要**加 交验等手段进行安全防护SJG 73—2020 岩土锚固技术标准,且加密算法强度 应满足国*相关规范,防止认证、标识、 隐私等敏感**在无线传输过程中被获取其至算改。
用户**保护安全目标是要保证用户**的安全存储,确保用户**不被非法访问、获取和篡改, 同时能够通过安全备份机制保证用户**的可靠恢复
终端设备能耗保护安全目标是要保证终端电池的正常、稳定消耗,避免由于外部的蓄意攻击而导致 电池非预期耗尽
5.2.1硬件功能安全
硬件功能实现应与** 隐藏的功能。例如应关闭隐藏 片内存的访问或芯片功能更改的能力。
5.2.2硬件设计安全
硬件设计安全要求包括但不限于: a 硬件内部模块的安全属性和芯片间通信协议等安全敏感实现应不存在设计原理上的缺陷,例如 由于随机*的随机性较差而导致的弱密钥等: b 密码算法的安全性应符合相关国*和行业标准要求,密钥的产生、分发、使用、存储、销毁应 有相应安全保障机制。 C 在非必要情况下,不在空口以明文方式广播真实终端信息,特别是能标识具体终端设备的MA 地址等信息。 终端应具有防物理攻击能力,防止信息泄漏。攻击手段包括但不限于非侵入式攻击、半侵入式 攻击和侵入式攻击:设备的加密模块支持防旁路攻击,以及抵抗错误注入攻击。
5.2.3芯片安全能力
在启动过程中,所有启动程序(例如引导程序、内核镜像、基带固件等)必须通过完整性校验 加载运行,防止加载并运行未经授权的恶意程序
5.3.2安全调用控制
5.3.3应用程序安装
应用程序安装要求包括: a)系统在应用安装时需要获得用户授权,未授权或被用户拒绝的应用,系统应拒绝安装; b)若系统支持对未经认证签名的软件下载和安装,在进行应用软件安装前应能对应用软件的签名 进行验证; c)应用安装时,权限分配采取授权最小化原则,系统应能禁止所有未被允许权限的使用。 d)本章节不适用于不支持应用安装的儿童手表,
5.3.4应用程序启动
方止未经授权或认证的的应用软件启动
5.3.5应用程序卸载
应用程序卸载要求包括: a)卸载应用软件必须卸载彻底,不应在系统中留下应用软件的临时文件和活动程序或模块 b)本章节不适用于不支持应用卸载的儿童手表。
5.3.6安全日志记录及审计控制
5.3.7系统更新机制
操作系统应具备更新机制,且更新前应得到用户确认,要求包括但不限于: a)系统更新时,应对更新文件的来源和完整性进行校验,并应具有原始**备份能力,能够进 行必要的回滚操作,避免更新失败导致系统失效,更新前是否备份可交由用户决定; b)系统更新失败时,应保证系统的可用性并给予用户相应的*示; c)系统应具备通过补丁或软件升级的方式消除或缓解高危及以上等级安全漏洞的能力。
5.3.10预置应用软件安全要求
预装应用软件不应存在后门 CNNVD六个月之前公布的高危以上漏洞 不应含有非授权收集或泄露用户信息、非法**外传等恶意行为。
5.4应用控制程序安全能力
.4.1应用软件签名认证
应用软件签名认证机制要求包括但不限于: a)应对应用程序进行签名认证,确保软件的真实和完整性,防止恶意篡改 b)应对应用程序进行加壳加固,防止应用源码泄漏和二次打包。
5.4.2应用软件**安全要求
应用软件**要求包括但不限于: a)应对应用程序资源文件、本地**库和缓存等进行加密,且密码算法的安全性应符合相关国* 和行业标准要求。 b)应对应用程序缓存本地的日志文件做脱敏和加密处理,且密码算法的安全性应符合相关国*和 行业标准要求。
5.5外围接口安全能力
5.6无线通信安全能力
5.6.1协议安全一致性
所采用WLAN、蓝牙、ZigBee等无线通信协议应支持设备授权认证、加密传输等安全扩展功能,协 议安全相关部分应正确实现与相关标准一致。
5.7**&儿童**保护安全能力
6.2.1硬件功能安全
1)审查厂商*交的用户手册,查看硬件功能实现是否与用户手册一致。 2)审查厂商*交的文档,查看是否存在未声明或隐藏的功能,检查具备调试功能的接口,在 出场时是否设置为默认关闭状态。 结果判定: 1)硬件功能实现是否与用户手册一致。满足为“符合”,其他情况为“不符合” 2)硬件功能不存在未声明或隐藏功能,调试功能接口关闭。满足为“符合”,其他情况为“不 符合”。
6.2.2硬件设计安全
硬件设计安全的检测方法和结果判定如下: 检测方法: 1)审查厂商*交的文档,查看硬件内部模块实现,安全属性和通信协议等安全敏感实现是否 存在设计缺陷。 2) 审查厂商*交的文档,查看密码算法的安全性设计,是否符合国*或行业标准要求,使用 安全保障机制保护密钥生产、分发、使用、存储、销毁等过程
3)审查厂商*交的文档,查看**传输功能,是否在空口以明文方式广播终端信息,如终端 设备的MAC地址等。 结果判定: 1 硬件内部模块安全敏感实现不存在设计缺陷。满足为“符合”,其他情况为“不符合”。 密码算法的安全性设计符合国*或行业标准要求,满足为“符合”,其他情况为“不符合”。 在非必要情况下,不在空口以明文方式广播真实终端信息。满足为“符合”,其他情况为 “不符合”
6.2.3芯片安全能力
6. 3. 1 安全启动
6. 3.2 安全调用控制
操作系统权限限制的检测方法和结果判定如下: a)检测方法: 1 创建多个用户账户,验证用户权限分配是否遵循最小权限原则,普通用户是否只拥有系统 赋予的最小权限,尝试越权操作,该越权操作是否被禁止。单用户系统不适用。 2 在系统上申请安装应用,验证是否需要获得用户授权才能安装;如果用户未授权或者用户 拒绝安装该应用,系统是否拒绝安装应用。在应用安装时,验证权限分配是否采取授权最 小化原则,系统是否禁止所有未被允许权限的使用。 3) 当不同的应用进程或**之间进行访问时,验证系统是否具有访问控制机制,不同应用程 序的进程及**是否禁止随意互访。 4 审查厂商*交的文档,查看系统是否禁止预留任何的未公开帐号,所有帐号都必须可被操 作系统管理。 5) 审查厂商*交的文档,查看是否禁止存在绕过正常认证机制直接进入到系统的隐秘通道, 如:特定接口、特定客户端、特殊URL等。 b) 结果判定: 对于支持多个用户账户的系统,用户权限分配遵循最小权限原则,普通用户只拥有系统赋 予的最小权限,禁止越权操作。满足为“符合”,其他情况为“不符合”。 系统在应用安装时需要获得用户授权,未授权或被用户拒绝的应用,系统拒绝安装。应用 安装时,权限分配采取授权最小化原则,系统可以禁止所有未被允许权限的使用。满足为 “符合”,其他情况为“不符合”。 3 系统对不同的应用进程及**之间实施适当的访问控制管理,不同应用程序的进程及** 不能随意互访。满足为“符合”,其他情况为“不符合”。 4)系统禁止预留任何的未公开帐号,所有帐号都必须可被操作系统管理。满足为“符合”, 其他情况为“不符合”。 5 禁止存在绕过正常认证机制直接进入到系统的隐秘通道,如:特定接口、特定客户端、特 殊URL等。满足为“符合”,其他情况为“不符合”。
6.3.3应用程序安装
不满定则结束此项测评 安装应用时系统需要获得用户授权,用户拒绝应用安装后,系统拒绝此应用安装。满足为 “符合”,其他情况为“不符合”。
系统支持对未经认证签名的软件下载和安装时,应用软件安全前系统会对应用软件的签名 进行验证。满足为“符合”,其他情况为“不符合”。 应用程序安装符合授权最小化原则,当权限未被允许是,系统不可使用此权限。满足为“符 合”,其他情况为“不符合”
6.3.4应用程序启动
应用程序启动的检测方法和结果判定如下: 检测方法: 1)审查厂商**的文档,检查是否存在安全机制防止未经授权或认证的应用软件启动。 结果判定 1)存在安全机制防止未经授权或认证的应用软件启动。满足则继续测评,不满足则结束此项 测评。 2) 满足第一步的条件下,查看未经授权或认证的应用软件是否能启动,满足为“符合”,其 他情况为“不符合”
6.3.5应用程序卸载
6.3.6安全日志记录及审计控制
2)设备在异常关机、重启、文件系统损坏时产生的告警信息,自动记入日志。满足为“符合”, 其他情况为“不符合”。 3) 当为日志分配的存储空间耗尽时,可按操作系统用户的设置决定采取的措施,包括报警并 丢弃未记录的信息、暂停日志录入、覆盖以前的日志等。满足为“符合”,其他情况为“不 符合”。
6.3.7系统更新机制
操作系统更新安全机制的检测方法和结果判定如下: 检测方法: 1)审查厂商*交的文档,查看操作系统是否具有自动或者手动更新功能;如果具有自动更新 功能,在授权的条件下,检查是否可以自动更新操作系统;如果具有手动更新功能,在授 权的条件下,检查是否可以手动更新操作系统, 2 修改更新文件的来源,在授权的条件下,进行系统更新,检查是否可以通过校验,完成更 新;修改更新文件的内容,在授权的条件下,进行系统更新,检查是否可以通过完整性校 验,完成更新。 3 尝试推送不正确的固件给设备,使升级失败,验证设备是否恢复到之前可用的版本,并* 示更新失败的信息。 审查厂商*交的文档,查看操作系统是否具备通过补丁或软件升级的方式消除高危及以上 等级安全漏洞的能力。 结果判定: 1 操作系统具备自动或者手动更新功能,通过自动或者手动,能够实现操作系统升级。满足 为“符合”,其他情况为“不符合”。 2)修改更新文件的来源,在授权的条件下,进行系统更新,未通过校验,更新失败;修改更 新文件的内容,在授权的条件下,进行系统更新,未通过校验,更新失败。满足为“符合”, 其他情况为“不符合”。 3 推送不正确的固件给设备,使升级失败,设备可以恢复到之前可用的版本,并*示更新失 败的信息。满足为“符合”,其他情况为“不符合”。 4) 操作系统具备通过补丁或软件升级的方式消除高危及以上等级安全漏洞的能力。满足为 “符合”,其他情况为“不符合”
操作系统更新安全机制的检测方法和结果判定如下: a)检测方法: 1)审查厂商*交的文档,查看操作系统是否具有自动或者手动更新功能;如果具有自动更新 功能,在授权的条件下,检查是否可以自动更新操作系统;如果具有手动更新功能,在授 权的条件下,检查是否可以手动更新操作系统, 2 修改更新文件的来源,在授权的条件下,进行系统更新,检查是否可以通过校验,完成更 新;修改更新文件的内容,在授权的条件下,进行系统更新,检查是否可以通过完整性校 验,完成更新。 3 尝试推送不正确的固件给设备,使升级失败,验证设备是否恢复到之前可用的版本,并* 示更新失败的信息。 审查厂商*交的文档,查看操作系统是否具备通过补丁或软件升级的方式消除高危及以上 等级安全漏洞的能力。 b结果判定: 1 操作系统具备自动或者手动更新功能,通过自动或者手动,能够实现操作系统升级。满足 为“符合”,其他情况为“不符合”。 2)修改更新文件的来源,在授权的条件下,进行系统更新,未通过校验,更新失败;修改更 新文件的内容,在授权的条件下,进行系统更新,未通过校验,更新失败。满足为“符合”, 其他情况为“不符合”。 3 推送不正确的固件给设备,使升级失败,设备可以恢复到之前可用的版本,并*示更新失 败的信息。满足为“符合”,其他情况为“不符合”。 4) 操作系统具备通过补丁或软件升级的方式消除高危及以上等级安全漏洞的能力。满足为 “符合”,其他情况为“不符合”
6.3.8预置应用软件安全要求
6.4应用控制程序安全能力测试评价方法
ADB的检测方法和结果判定如下: a)检测方法:
ADB的检测方法和结果判定如下: a)检测方法:
1)调试终端ADB端口,检查在默认情况下ADB端口是否为关闭状态,并不可开启或可通过远 程服务器认证方式打开ADB端口。 结果判定: 1)默认情况下终端ADB端口为关闭状态,并不可开启或可通过远程服务器认证方式打开ADE 端口。满足为“符合”,其他情况为“不符合”
DB31/T 478.27-2019 主要工业产品用水定额及其计算方法 第27部分:医药制造业(中成药、注射剂)6.6无线通信安全测试评价方法
6.6.1协议安全一致性
办议安全一致性的检测方法和结果判定如下: 检测方法: 1)检查设备采用的WLAN、蓝牙、ZigBee等无线通信协议是否支持设备授权认证、加密传输 等安全扩展功能。 2)检查设备协议安全部分实现是否与相关标准一致。 结果判定 1) 设备采用的通信协议支持设备授权认证、加密传输等安全扩展功能。满足为“符合”,其 他情况为“不符合”。 设备协议安全部分实现与相关标准一致。满足为“符合”,其他情况为“不符合”
6.7**&儿童**保护安全能力测试评价方法
**&儿童**保护安全的检测方法和结果判定如下: a)检测方法:
1)查看厂商**的控制程序收集****是否*前征得同意,且撤回同意后是否立即停止收 集**。 2) 查看厂商**的终端设备收集儿童**是否取得**端应用控制程序明示同意,且撤回同 意后是否立即停止收集**。 3 查看厂商****管理制度和**存储等,是否多敏感**设置权限和单独存放等安全隔 离措施。 4)查看厂商**控制程序和终端设备在**传输过程中是否采用加密或者HTTPS等安全传 输措施。 5) 查看厂商**的控制程序是否未经允许私自修改个人信息,账户注销后是否还能继续登录 或保留用户个人信息GB/T 40289-2021 光伏发电站功率控制系统技术要求.pdf,匿名化除外。 结果判定: 1)厂商控制程序有明示同意等*示且撤回同意后停止收集**。满足为“符合”,其他情况 为“不符合”。 2)厂商**证明敏感**授权访问和安全隔离措施。满足为“符合”,其他情况为“不符合”。 3 通过相关技术手段不仅限于抓包等查看是否采用安全的传输方法传输用户**。满足为 “符合”,其他情况为“不符合”。 4)无未经允许修改个人信息且账户注销后不能继续登录使用,无其他个人信息留存。满足为 “符合”,其他情况为“不符合”
1)查看厂商**的控制程序收集****是否*前征得同意,且撤回同意后是否立即停止收 集**, 2) 查看厂商**的终端设备收集儿童**是否取得**端应用控制程序明示同意,且撤回同 意后是否立即停止收集**。 3 查看厂商****管理制度和**存储等,是否多敏感**设置权限和单独存放等安全隔 离措施。 4 查看厂商**控制程序和终端设备在**传输过程中是否采用加密或者HTTPS等安全传 输措施。 5) 查看厂商**的控制程序是否未经允许私自修改个人信息,账户注销后是否还能继续登录 或保留用户个人信息,匿名化除外。 结果判定: 1)厂商控制程序有明示同意等*示且撤回同意后停止收集**。满足为“符合”,其他情况 为“不符合”。 2)厂商**证明敏感**授权访问和安全隔离措施。满足为“符合”,其他情况为“不符合” 3 通过相关技术手段不仅限于抓包等查看是否采用安全的传输方法传输用户**。满足为 “符合”,其他情况为“不符合”。 4)无未经允许修改个人信息且账户注销后不能继续登录使用,无其他个人信息留存。满足为 “符合”,其他情况为“不符合”