GB/T 41387-2022 信息安全技術(shù) 智能家居通 用安全規(guī)范（正式版）

ICSCCS35.030信息安全技術(shù)智能家居通用安全規(guī)范國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會I Ⅲ 1 1 1 2 3 3 3 46.1硬件安全 46.2固件安全 4 56.4應(yīng)用安全 66.5接口安全 76.6通信安全 76.7數(shù)據(jù)安全 7 77.1硬件安全 77.2固件安全 7 87.4應(yīng)用安全 87.5接口安全 87.6通信安全 87.7數(shù)據(jù)安全 8 98.1硬件安全 98.2固件安全 9 98.4應(yīng)用安全 98.5接口安全 98.6通信安全 98.7數(shù)據(jù)安全 9 9 99.2應(yīng)用安全 99.3接口調(diào)用安全 Ⅱ9.4數(shù)據(jù)安全 9.5終端管理安全 10智能家居安全通用測試方法 10.1總體說明 10.2智能家居終端安全測試方法 10.3智能家居網(wǎng)關(guān)安全測試方法 10.4智能家居控制端安全測試方法 10.5智能家居應(yīng)用服務(wù)平臺安全測試方法 附錄A(資料性)智能家居典型場景及安全風(fēng)險分析 A.1智能家居典型應(yīng)用場景 A.2智能家居安全風(fēng)險 A.3智能家居參與方 ⅢGB/T41387—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中移(杭州)信息技術(shù)有限公司、中國移動通信集團(tuán)有限公司、中國信息通信研究評測中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、北京京東尚科信息技術(shù)有限公司、聯(lián)想(北京)有限公司、北京百度網(wǎng)訊科技有限公司、阿里巴巴(北京)軟件服務(wù)有有限公司、深圳市優(yōu)點科技有限公司、OPPO廣東移動通信有限公司、華為技術(shù)有限公司、北京小米移動軟件有限公司、中國信息通信科技集團(tuán)有限公司、杭州安恒信息技術(shù)股份有限公司、深圳市騰訊計算機(jī)系統(tǒng)有限公司。1GB/T41387—2022信息安全技術(shù)智能家居通用安全規(guī)范GB/T25069信息安全技術(shù)術(shù)語29234—201231168—201435273—202036633—201839579—202041388—2022信息安全技術(shù)信息安全技術(shù)信息安全技術(shù)個人信息安全規(guī)范公眾電信網(wǎng)智能家居應(yīng)用技術(shù)要求信息安全技術(shù)可信執(zhí)行環(huán)境基本安全規(guī)范ISO/IEC27033-6信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第6部分：無線IP網(wǎng)絡(luò)接入安全保護(hù)(Infor-3術(shù)語和定義GB/T25069、GB/T39579—2020和GB/T41388—2022界定的以及下列術(shù)語和定義適用于本智能家居終端smarthometerminal連接到家庭網(wǎng)絡(luò)的、協(xié)同提供智能家居業(yè)務(wù)的各種終端設(shè)備。2GB/T41387—20224縮略語API:應(yīng)用編程接口(ApplicationProgrammingInterface)Bin:二進(jìn)制文件(BinaryFile)CNNVD:國家信息安全漏洞庫(ChinaNationalVulnerabilityDatabaseofInformationSecurity)CNVD:國家信息安全漏洞共享平臺(ChinaNationaFTP:文件傳輸協(xié)議(FileTranIP:網(wǎng)絡(luò)之間互聯(lián)的協(xié)議(InternetProtocol)MAC:媒體存取控制位址(MediaAccessControlAddress)NFC:近場通信(NearFieldCommunication)URL:統(tǒng)一資源定位符(UniformResourceLocat3GB/T41387—2022Web:全球廣域網(wǎng)(WorldWideWeb)5智能家居系統(tǒng)組成及安全框架5.1智能家居系統(tǒng)組成智能家居快速發(fā)展，出現(xiàn)大量應(yīng)用場景(典型應(yīng)用場景見附錄A中的A.1)。智能家居系統(tǒng)主要由智能家居用戶、智能家居終端、智能家居控制端、智能家居網(wǎng)關(guān)、通信網(wǎng)絡(luò)和智能家居應(yīng)用服務(wù)平臺組成，智能家居系統(tǒng)組成如圖1所示，其中：a)智能家居用戶即實際使用智能家居服務(wù)的終端用戶；b)智能家居終端是實現(xiàn)智能家居應(yīng)用具體功能的設(shè)備，為智能家居用戶提供感知、數(shù)據(jù)采集及控制服務(wù)；c)智能家居控制端提供與智能家居用戶交互的界面，實現(xiàn)對智能家居終端的控制和管理，進(jìn)而實現(xiàn)智能家居應(yīng)用；d)智能家居網(wǎng)關(guān)為智能家居環(huán)境提供網(wǎng)絡(luò)連接，并提供本地場景化服務(wù)和設(shè)備管理功能；e)通信網(wǎng)絡(luò)分為家庭局域網(wǎng)和廣域網(wǎng)，為智能家居提供數(shù)據(jù)通信連接能力；f)智能家居應(yīng)用服務(wù)平臺是智能家居服務(wù)承載的功能實體，通過與智能家居終端、智能家居控制廣域網(wǎng)用戶服務(wù)平臺圖例家庭局域網(wǎng)圖1智能家居系統(tǒng)組成5.2智能家居安全框架在系統(tǒng)性分析智能家居系統(tǒng)各個環(huán)節(jié)安全風(fēng)險基礎(chǔ)上，本文件對智能家居安全框架進(jìn)行了抽象，如圖2所示(具體分析見A.2和A.3)。凡涉及采用密碼技術(shù)解決機(jī)密性、完整性、真實性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。本文件主要考慮智能家居終端安全、智能家居網(wǎng)關(guān)安全、智能家居控制端安全和智能家居應(yīng)用服務(wù)平臺安全。4GB/T41387—2022智能家居終端智能家居終端硬件安全固件安全操作系統(tǒng)安全應(yīng)用安全接口安全通信安全數(shù)據(jù)安全智能家居網(wǎng)關(guān)硬件安全固件安全操作系統(tǒng)安全通信網(wǎng)絡(luò)應(yīng)用安全接口安全通信安全數(shù)據(jù)安全數(shù)據(jù)安全終端管理安全智能家居控制端硬件安全固件安全應(yīng)用安全接口安全通信安全數(shù)據(jù)安全智能家居應(yīng)用服務(wù)平臺接口調(diào)用安全操作系統(tǒng)安全家居應(yīng)用服務(wù)平臺相互之間通過通信網(wǎng)絡(luò)進(jìn)行通信的邏輯關(guān)系。圖2智能家居安全框架6智能家居終端安全要求對于物理安全要求包括：a)宜具備數(shù)據(jù)的物理保護(hù)機(jī)制，防止攻擊者通過去除芯片表面封裝層而獲取存儲器數(shù)據(jù)；b)宜具備在受到暴力移除或拆卸時的防護(hù)預(yù)警機(jī)制，如將預(yù)警信息上傳至智能家居應(yīng)用服務(wù)平對于芯片安全要求包括：c)芯片宜使用拆卸存跡硬質(zhì)涂層，防止直接觀察和探測芯片內(nèi)容以及在拆卸或移動芯片后留下e)宜具備安全啟動硬件保護(hù)機(jī)制；f)宜具有硬件隨機(jī)數(shù)發(fā)生器、密g)宜具備只有在可信執(zhí)行環(huán)境內(nèi)可訪問安全存儲區(qū)的功能。5GB/T41387—2022b)應(yīng)對遠(yuǎn)程下載的固件更新文件的來源進(jìn)行校驗；d)應(yīng)具備對固件升級文件完整性校驗機(jī)制；e)應(yīng)確保固件升級失敗后固件的可用性；對于具備操作系統(tǒng)的智能家居終端要求包括：d)系統(tǒng)應(yīng)對不同的應(yīng)用進(jìn)程及數(shù)據(jù)之間實施適當(dāng)?shù)脑L問控制管理措施，不同應(yīng)用程序的進(jìn)程及數(shù)據(jù)不能非授權(quán)訪問；f)不應(yīng)存在繞過正常鑒別機(jī)制直接進(jìn)入到系統(tǒng)的隱秘通道，如：特定接口、特定客戶端、特殊URL等。對于具備操作系統(tǒng)的智能家居終端要求包括：d)應(yīng)具備通過補(bǔ)丁或軟件升級的方式消除安全漏洞的功能。6GB/T41387—2022對于具備操作系統(tǒng)的智能家居終端要求包括：a)對于能夠安裝外部應(yīng)用的系統(tǒng)，應(yīng)提供對系統(tǒng)API的訪問控制功能機(jī)制，防止應(yīng)用對系統(tǒng)接口的非授權(quán)調(diào)用；b)對于可配置服務(wù)的操作系統(tǒng)，應(yīng)具備修改默認(rèn)配置的功能，具體功能要求包含但不限于修改默及監(jiān)控；c)登錄口令宜具有一定復(fù)雜度要求，字符長度應(yīng)不少于八位，且應(yīng)由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；d)宜提供數(shù)據(jù)通信連接狀態(tài)的標(biāo)志；e)對于支持遠(yuǎn)程連接的設(shè)備，其操作系統(tǒng)應(yīng)使用安全的通信協(xié)議保障通道安全，包括具備建立通道時的身份鑒別和傳輸數(shù)據(jù)的機(jī)密性與完整性保護(hù)機(jī)制；f)對于通過Web進(jìn)行遠(yuǎn)程管理的設(shè)備，對其進(jìn)行管理和配置的行為應(yīng)經(jīng)過登錄身份鑒別，其登錄和退出過程需有日志記錄；記錄內(nèi)容應(yīng)至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄發(fā)起方的IP地址等信息。6.3.7操作系統(tǒng)安全審計對于具備操作系統(tǒng)的智能家居終端要求包括：a)應(yīng)具備記錄用戶對設(shè)備操作的功能，記錄包括但不限于用戶對設(shè)備操作時所使用的賬號、操作b)宜自動將設(shè)備異常關(guān)機(jī)、重啟、文件系統(tǒng)損壞等異常狀態(tài)下產(chǎn)生的告警信息記入日志；c)對于具備文件系統(tǒng)的操作系統(tǒng)，應(yīng)具備按賬號分配日志文件讀取的功能，防止日志文件被非法讀取，且對于日志文件的刪除操作僅允許管理員賬號進(jìn)行處理；d)應(yīng)具備在日志分配的存儲空間耗盡時，能夠按照操作系統(tǒng)的設(shè)置采取措施的功能。例如，報警6.4應(yīng)用安全智能家居終端上的應(yīng)用安全要求包括：b)應(yīng)具備防范越權(quán)操控和身份偽冒的功能；c)對設(shè)備密碼、設(shè)備鑒別信息等關(guān)鍵安全信息進(jìn)行加密處理，不應(yīng)在日志和配置文件中明文記錄關(guān)鍵安全信息；d)如需與智能家居應(yīng)用服務(wù)平臺或其他終端應(yīng)用進(jìn)行數(shù)據(jù)交互，則在傳輸之前應(yīng)進(jìn)行雙向鑒別，并且應(yīng)通過安全的網(wǎng)絡(luò)傳輸協(xié)議進(jìn)行通信，保護(hù)通信內(nèi)容的機(jī)密性和完整性；e)應(yīng)具備防止對身份驗證數(shù)據(jù)進(jìn)行暴力攻擊破解的功能；f)應(yīng)具備對輸入數(shù)據(jù)格式的檢驗過濾機(jī)制；g)宜支持設(shè)備一機(jī)一密配置，密鑰與設(shè)備唯一標(biāo)識綁定，防止設(shè)備偽造；h)對于使用傳統(tǒng)Bin應(yīng)用編譯宜在編譯過程采用安全編譯選項，降低內(nèi)存攻擊漏洞的影響；i)應(yīng)確保應(yīng)用不使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并應(yīng)具備根據(jù)新曝光漏洞自動或手動安裝升級補(bǔ)丁的功能；j)宜具備應(yīng)用安全事件的實時監(jiān)測和應(yīng)用審計機(jī)制。7GB/T41387—2022d)宜具備防暴力破解的功能；e)宜支持一機(jī)一密鑒別機(jī)制。對于端口安全要求包括：a)端口開放應(yīng)遵循最小化原則，默認(rèn)關(guān)閉非必須使用的端口，如遠(yuǎn)程登錄協(xié)議(Tc)宜具備防暴力破解的功能；d)宜支持一機(jī)一密鑒別機(jī)制。對于通信安全要求包括：b)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居終端，通信安全應(yīng)符合GB/T29234—2012中的規(guī)定；對于數(shù)據(jù)安全要求包括：b)應(yīng)具備存儲過程中對關(guān)鍵安全信息的機(jī)密性和完整性保護(hù)機(jī)制；現(xiàn)或記錄非授權(quán)應(yīng)用訪問數(shù)據(jù)；d)智能家居終端的個人信息安全，應(yīng)符合GB/T35273—2020中第5章～第8章的要求。智能家居網(wǎng)關(guān)應(yīng)符合6.1硬件安全要求。智能家居網(wǎng)關(guān)應(yīng)符合6.2固件安全要求。8GB/T41387—2022智能家居網(wǎng)關(guān)應(yīng)符合6.3操作系統(tǒng)安全要求。7.4應(yīng)用安全智能家居網(wǎng)關(guān)應(yīng)用安全要求包括：a)應(yīng)符合6.4應(yīng)用安全的要求；b)對于支持本地Web管理功能的網(wǎng)關(guān)，其Web管理應(yīng)用應(yīng)具備防護(hù)外部攻擊功能，支持啟動安c)應(yīng)對安裝包的完整性和來源的真實性進(jìn)行校驗，不應(yīng)自動安裝第三方應(yīng)用軟件。7.5接口安全智能家居網(wǎng)關(guān)應(yīng)符合6.5接口安全要求。對于智能家居網(wǎng)關(guān)接入安全，應(yīng)符合6.6通信安全的要求。a)宜具備對接入的智能家居終端通過MAC地址等方式進(jìn)行標(biāo)記和過濾的功能；b)宜具備對接入的智能家居終端進(jìn)行網(wǎng)絡(luò)接入權(quán)限控制的功能，包括黑白名單控制、限速控c)宜具備通過頻段、信道劃分等安全域劃分方式對接入的智能家居終端進(jìn)行安全隔離的功能。智能家居網(wǎng)關(guān)應(yīng)支持安全傳輸通道功能。智能家居網(wǎng)關(guān)的網(wǎng)絡(luò)攻擊防護(hù)要求包括：a)智能家居網(wǎng)關(guān)宜能夠?qū)尤氲闹悄芗揖咏K端開放端口進(jìn)行識別，對其中存在風(fēng)險服務(wù)具備告b)智能家居網(wǎng)關(guān)應(yīng)具備對智能家居終端接收到的Telnet等異常外部請求行為的檢測、告警及連c)智能家居網(wǎng)關(guān)宜具備防止用戶偽造源的組播的功能；d)智能家居網(wǎng)關(guān)應(yīng)具備拒絕服務(wù)攻擊源流量處置機(jī)制；式進(jìn)行防火墻配置及防護(hù)策略下發(fā)；f)智能家居網(wǎng)關(guān)宜具備對通過其傳輸?shù)牧髁窟M(jìn)行惡意URL/IP和僵尸、木馬和蠕蟲等病毒文件智能家居網(wǎng)關(guān)應(yīng)符合6.7數(shù)據(jù)安全的要求。9GB/T41387—20228智能家居控制端安全要求8.1硬件安全對于使用專用硬件設(shè)備的智能家居控制端，其硬件安全應(yīng)符合6.1硬件安全的要求。8.2固件安全對于使用專用硬件設(shè)備，且具備固件的智能家居控制端，其固件安全應(yīng)符合6.2固件安全要求。8.3操作系統(tǒng)安全對于使用專用硬件設(shè)備，且具備操作系統(tǒng)的智能家居控制端，其操作系統(tǒng)安全應(yīng)符合6.3操作系統(tǒng)安全要求。8.4應(yīng)用安全智能家居控制端上的應(yīng)用安全要求包括：b)應(yīng)具備防范越權(quán)操控和身份偽冒的功能；c)在日志和配置文件中的用戶鑒別信息等關(guān)鍵安全信息應(yīng)進(jìn)行加密處理；d)與智能家居終端進(jìn)行數(shù)據(jù)交互，應(yīng)通過安全網(wǎng)絡(luò)協(xié)議傳輸；e)與智能家居應(yīng)用服務(wù)平臺進(jìn)行數(shù)據(jù)交互，應(yīng)通過安全網(wǎng)絡(luò)協(xié)議進(jìn)行傳輸，且在傳輸之前應(yīng)進(jìn)行雙向鑒別；f)應(yīng)具備防止對身份驗證數(shù)據(jù)進(jìn)行暴力攻擊破解的功能；g)應(yīng)具備在卸載應(yīng)用時能夠刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件、用戶數(shù)據(jù)和其他臨時文件的功能；h)控制端應(yīng)用應(yīng)確保不使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，并應(yīng)具備根據(jù)新曝光漏洞自動或手動安裝升級補(bǔ)丁的功能。8.5接口安全對于智能家居控制端的接口安全，應(yīng)符合6.5接口安全要求。8.6通信安全對于智能家居控制端的通信安全，應(yīng)符合6.6通信安全要求。8.7數(shù)據(jù)安全對于智能家居控制端的數(shù)據(jù)安全，應(yīng)符合6.7數(shù)據(jù)安全要求。9智能家居應(yīng)用服務(wù)平臺安全要求9.1平臺環(huán)境安全對于智能家居應(yīng)用服務(wù)平臺環(huán)境安全，應(yīng)符合GB/T31168—2014中的規(guī)定。9.2應(yīng)用安全智能家居應(yīng)用服務(wù)平臺的身份鑒別要求包括。GB/T41387—2022a)應(yīng)對使用智能家居應(yīng)用服務(wù)平臺應(yīng)用的用戶進(jìn)行身份鑒別，并應(yīng)符合GB/T36633—2018中的安全要求。b)應(yīng)對應(yīng)用服務(wù)平臺的應(yīng)用進(jìn)行身份鑒別，應(yīng)符合如下安全要求：1)構(gòu)建應(yīng)用標(biāo)識體系，為每個應(yīng)用分配唯一的身份標(biāo)識；2)應(yīng)對接入平臺的應(yīng)用進(jìn)行身份鑒別，只有通過身份鑒別的應(yīng)用才能接入應(yīng)用服務(wù)平臺執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；4)對接口的調(diào)用都應(yīng)經(jīng)過鑒權(quán)，限定可操作的資源范圍、操作權(quán)限。c)應(yīng)對接入應(yīng)用服務(wù)平臺的設(shè)備進(jìn)行身份鑒別，應(yīng)符合如下安全要求：1)應(yīng)構(gòu)建設(shè)備標(biāo)識體系，為每個智能家居終端分配唯一的身份標(biāo)識，并與設(shè)備信息進(jìn)行關(guān)2)應(yīng)通過預(yù)置密鑰、密鑰協(xié)商等方式，為每個設(shè)備分配唯一的設(shè)備密鑰，并支持密鑰的生成、3)應(yīng)對接入平臺的設(shè)備進(jìn)行身份鑒別，只有通過身份鑒別的設(shè)備才能接入應(yīng)用服務(wù)平臺進(jìn)行后續(xù)應(yīng)用操作，身份鑒別的方式包括驗證PIN碼等有效驗證用戶身份的信息；4)設(shè)備鑒別過程如需使用隨機(jī)數(shù)機(jī)制，應(yīng)使用系統(tǒng)真隨機(jī)生成，如/dev/urandom、/dev/ran-dom等隨機(jī)算法，確保不可預(yù)測，不應(yīng)使用srand等偽隨機(jī)算法(時間做種子);5)對于支持應(yīng)用賬號綁定的設(shè)備，宜通過對原賬號解綁后才可進(jìn)行重新綁定，不宜通過設(shè)備重置方式進(jìn)行賬號重新綁定。d)應(yīng)具備對訪問應(yīng)用服務(wù)平臺的平臺管理人員進(jìn)行身份鑒別的功能，其宜采用兩種或兩種以上多因素身份鑒別技術(shù)進(jìn)行身份鑒別，其中至少一種鑒別技術(shù)應(yīng)使用密碼技術(shù)來實現(xiàn)。9.2.2權(quán)限控制智能家居應(yīng)用服務(wù)平臺的權(quán)限控制要求包括：a)應(yīng)支持用戶分級分組，并根據(jù)不同用戶等級、分組授予不同的業(yè)務(wù)訪問權(quán)限，只允許獲得授權(quán)的用戶訪問指定的數(shù)據(jù)及內(nèi)容、執(zhí)行相應(yīng)應(yīng)用操作；b)應(yīng)根據(jù)不同的應(yīng)用等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，調(diào)用指定的應(yīng)用能c)應(yīng)根據(jù)不同的設(shè)備類型或等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的設(shè)備，訪問指定的9.3接口調(diào)用安全對于智能家居服務(wù)平臺間的接口調(diào)用安全要求包括：a)應(yīng)具備平臺與平臺之間的合法性校驗機(jī)制，防止應(yīng)用服務(wù)平臺冒用和越權(quán)訪問；b)被調(diào)用應(yīng)用服務(wù)平臺應(yīng)具備針對源IP地址范圍進(jìn)行授權(quán)的功能，調(diào)用該平臺時除提供靜態(tài)口令外還需要對IP地址范圍進(jìn)行授權(quán)；c)被調(diào)用平臺應(yīng)具備對所調(diào)用資源記錄完整操作日志的功能；d)對于用戶訪問權(quán)限有要求的接口，應(yīng)具備訪問控制(例如，黑/白名單)機(jī)制，以便對非法用戶訪問進(jìn)行攔截；e)應(yīng)具備惡意攻擊的識別與阻斷功能。GB/T41387—2022智能家居應(yīng)用服務(wù)平臺之間的數(shù)據(jù)傳輸要求包括：智能家居應(yīng)用服務(wù)平臺的數(shù)據(jù)訪問控制要求包括：b)應(yīng)具備對涉及關(guān)鍵安全信息的文件進(jìn)行權(quán)限控制的功能，只允許具有相應(yīng)權(quán)限的用戶訪問；文件。智能家居應(yīng)用服務(wù)平臺的數(shù)據(jù)存儲安全要求包括：失時能夠及時發(fā)現(xiàn)；數(shù)據(jù)在故障發(fā)生后不會丟失；d)應(yīng)具備對各類數(shù)據(jù)和文件進(jìn)行歸檔和對臨時數(shù)據(jù)及文件進(jìn)行定期自動清理的功能；數(shù)據(jù)的完全清除和不可恢復(fù)的功能。智能家居應(yīng)用服務(wù)平臺的個人信息安全，應(yīng)符合GB/T35273—2020中第5章～第10章的要求。9.5終端管理安全對于智能家居應(yīng)用服務(wù)平臺終端管理安全要求包括：a)應(yīng)具備設(shè)備的信息安全上報和指令安全下發(fā)功能，保證上報信息和下發(fā)指令的完整性和機(jī)源的真實性進(jìn)行驗證。GB/T41387—202210.2智能家居終端安全測試方法物理安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)核查芯片內(nèi)是否設(shè)置光敏檢測電路、溫度檢測電路、電壓電路檢測、溫度檢測電路以及頻率檢測電路等模塊，對芯片工作環(huán)境進(jìn)行監(jiān)控，當(dāng)攻擊者通過去除芯片表面封裝層而試圖獲取存儲器數(shù)據(jù)時，檢測模塊是否會產(chǎn)生警告信息；或者核查是否對芯片內(nèi)部總線以及存儲器等重要敏感電路部分添加物理保護(hù)層；或者核查是否具有抗功耗分析攻擊的能力；2)通過暴力移除或者拆卸操作，驗證智能家居終端是否具有防護(hù)預(yù)警機(jī)制，如將預(yù)警信息上傳至智能家居應(yīng)用服務(wù)平臺等方式。b)預(yù)期結(jié)果：1)芯片具備數(shù)據(jù)的物理保護(hù)機(jī)制，防止攻擊者通過去除芯片表面封裝層而獲取存儲器數(shù)據(jù)；2)智能家居終端具備在受到暴力移除或拆卸時的防護(hù)預(yù)警機(jī)制，如將預(yù)警信息上傳至智能家居應(yīng)用服務(wù)平臺等方式。c)結(jié)果判定：芯片安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)對于具備安全元件的芯片，嘗試篡改芯片內(nèi)部固件數(shù)據(jù)，驗證固件芯片是否具有物理寫保護(hù)的功能；2)審查廠商提交的文檔，查看芯片是否具有安全域隔離功能，提供可信執(zhí)行環(huán)境；3)審查廠商提交的文檔，查看芯片是否使用拆卸存跡硬質(zhì)涂層，可以防止直接觀察和探測芯片內(nèi)容以及拆卸或移動芯片后留下證據(jù)；4)審查廠商提交的文檔，查看出廠前是否擦除主控芯片表面的型號、廠商等信息，增加破解5)審查廠商提交的文檔，查看是否具備安全啟動硬件保護(hù)機(jī)制；6)審查廠商提交的文檔，查看是否具有硬件真隨機(jī)數(shù)、硬件加密密鑰和加解密技術(shù)，硬件加密密鑰只在可信執(zhí)行環(huán)境內(nèi)部處理；7)審查廠商提交的文檔，查看是否具備只有可信執(zhí)行環(huán)境可訪問安全存儲區(qū)的功能。b)預(yù)期結(jié)果：1)具備安全元件的芯片，固件芯片具有物理寫保護(hù)的功能，防止固件被篡改；2)芯片具有安全域隔離功能，提供可信執(zhí)行環(huán)境；3)芯片使用拆卸存跡硬質(zhì)涂層，防止直接觀察和探測芯片內(nèi)容，以及拆卸或移動芯片后留下4)出廠前擦除主控芯片表面的型號、廠商等信息，增加破解難度；5)具備安全啟動硬件保護(hù)機(jī)制；6)具備硬件真隨機(jī)數(shù)、硬件加密密鑰和加解密技術(shù)，硬件加密密鑰只在可信執(zhí)行環(huán)境內(nèi)部GB/T41387—20227)具備只有可信執(zhí)行環(huán)境可訪問安全存儲區(qū)的功能。測評結(jié)束。a)檢測方法：用戶進(jìn)行確認(rèn)的功能；升級包驗證來源的真實性；3)審查廠商提交的文檔，查看固件下載鏈路是否可防止中間人劫持或者嗅探；b)預(yù)期結(jié)果：1)具備固件更新機(jī)制，且更新前向用戶進(jìn)行確認(rèn)；2)固件升級前對固件升級包來源的真實性進(jìn)行驗證；5)推送不正確的固件給設(shè)備，使升級失敗，設(shè)備可以恢復(fù)到可用的版本；6)固件不能通過物理接口等手段提取出來；8)不存在將登錄用戶名、口令等登錄憑證明文存儲在設(shè)備固件中的情況。c)結(jié)果判定：GB/T41387—2022b)預(yù)期結(jié)果：c)結(jié)果判定：a)檢測方法：2)申請遠(yuǎn)程控制，驗證系統(tǒng)是否具有身份鑒別機(jī)制，是否可以禁止非法用戶或應(yīng)用控制3)在系統(tǒng)上申請安裝應(yīng)用，驗證是否需要獲得用戶授權(quán)才能安裝；如果用戶拒絕安裝該應(yīng)是否禁止所有未被允許權(quán)限的使用；序的進(jìn)程及數(shù)據(jù)是否禁止隨意互訪；6)審查廠商提交的文檔，查看是否禁止存在繞過正常鑒別機(jī)制直接進(jìn)入到系統(tǒng)的隱秘通道，b)預(yù)期結(jié)果：2)申請遠(yuǎn)程控制，系統(tǒng)對遠(yuǎn)程控制的請求進(jìn)行身份鑒別，可以防止非法用戶或應(yīng)用控制3)系統(tǒng)在應(yīng)用安裝時需要獲得用戶授權(quán)，且系統(tǒng)拒絕安裝被用戶拒絕的應(yīng)用；應(yīng)用安裝時，4)系統(tǒng)對不同的應(yīng)用進(jìn)程及數(shù)據(jù)之間實施適當(dāng)?shù)脑L問控制管理，不同應(yīng)用程序的進(jìn)程及數(shù)據(jù)不能隨意互訪；5)系統(tǒng)禁止預(yù)留任何的未公開賬號，所有賬號都必須可被操作系統(tǒng)管理；c)結(jié)果判定：測評結(jié)束。GB/T41387—2022a)檢測方法：b)預(yù)期結(jié)果：智能家居終端設(shè)備具有安全啟動機(jī)制，在非授權(quán)的條件下修改啟動分區(qū)，重新啟c)結(jié)果判定：測評結(jié)束。a)檢測方法：4)審查廠商提交的文檔，查看操作系統(tǒng)是否具備通過補(bǔ)丁或軟件升級的方式消除高危及以b)預(yù)期結(jié)果：1)具備操作系統(tǒng)更新機(jī)制，且更新前宜得到用戶確認(rèn)；3)推送不正確的操作系統(tǒng)，使升級失敗，設(shè)備可以恢復(fù)到可用的版本；4)操作系統(tǒng)具備通過補(bǔ)丁或軟件升級的方式消除高危及以上等級安全漏洞的功能。c)結(jié)果判定：a)檢測方法：b)預(yù)期結(jié)果：對具備調(diào)試功能的設(shè)備，限制調(diào)試進(jìn)程在操作系統(tǒng)中的訪問權(quán)限和操作權(quán)限；使c)結(jié)果判定：GB/T41387—2022測評結(jié)束。服務(wù)配置安全的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)審查廠商提交的文檔，查看對于能夠安裝外部應(yīng)用的系統(tǒng)，是否提供對系統(tǒng)API的訪問控制機(jī)制，防止應(yīng)用對系統(tǒng)接口的非授權(quán)調(diào)用；2)審查廠商提交的文檔，查看對于可配置服務(wù)的系統(tǒng)，是否具備修改默認(rèn)配置的功能，具體功能要求包含但不限于修改默認(rèn)身份和鑒別信息、服務(wù)啟用和禁用、應(yīng)用訪問限制和應(yīng)用3)將少于八位的弱口令設(shè)置為系統(tǒng)登錄口令，驗證是否設(shè)置成功；檢查登錄口令是否由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；4)進(jìn)行數(shù)據(jù)通信時，檢查是否有標(biāo)志顯示連接狀態(tài)；5)對于支持遠(yuǎn)程連接的設(shè)備，驗證系統(tǒng)所使用通信協(xié)議是否可保障鑒別信息、用戶個人信息等敏感數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕沂欠裎词褂肧SL2.0.0、SSL3.0和TLS1.0等已曝數(shù)據(jù)進(jìn)行機(jī)密性與完整性的驗證；6)通過Web進(jìn)行遠(yuǎn)程管理的設(shè)備，對其進(jìn)行管理和配置時，是否經(jīng)過身份鑒別；在登錄和退時間以及遠(yuǎn)程登錄發(fā)起方的IP地址等信息。b)預(yù)期結(jié)果：1)對于能夠安裝外部應(yīng)用的系統(tǒng)，提供對系統(tǒng)API的訪問控制機(jī)制；2)對于可配置服務(wù)的系統(tǒng)，具備修改默認(rèn)配置的功能，具體功能要求包含但不限于修改默認(rèn)及監(jiān)控；3)將少于八位的弱口令設(shè)置為系統(tǒng)登錄口令，設(shè)置不成功；登錄口令由大小寫字母、數(shù)字和特殊符號中兩種或兩種以上類型組成；4)進(jìn)行數(shù)據(jù)通信時，有標(biāo)志顯示連接狀態(tài)；5)對支持遠(yuǎn)程連接的設(shè)備，系統(tǒng)使用安全的通信協(xié)議保障通道安全；在建立通道時，應(yīng)進(jìn)行6)通過Web進(jìn)行遠(yuǎn)程管理的設(shè)備，對其進(jìn)行管理和配置時，應(yīng)經(jīng)過身份鑒別；日志記錄登錄/退出的過程，記錄內(nèi)容至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄發(fā)起方的IP地址等信息。測評結(jié)束。操作系統(tǒng)安全審計的測試方法、預(yù)期結(jié)果和結(jié)果判定如下。a)檢測方法：1)當(dāng)用戶對設(shè)備進(jìn)行操作時，檢查是否進(jìn)行了日志記錄，記錄內(nèi)容是否至少包含用戶對設(shè)備GB/T41387—20224)檢查設(shè)備當(dāng)為日志分配的存儲空間耗盡時，是否按操作系統(tǒng)的設(shè)置決定采取的措施，例b)預(yù)期結(jié)果：c)結(jié)果判定：a)檢測方法：信時是否采用安全網(wǎng)絡(luò)協(xié)議；5)檢查是否具有防止身份驗證數(shù)據(jù)被暴力攻擊的功能；8)檢測使用傳統(tǒng)Bin應(yīng)用編譯在編譯過程中是否采用安全編譯選項，以降低內(nèi)存攻擊漏洞9)檢查應(yīng)用是否使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，驗證其是否具備根據(jù)新曝光漏洞自動或手動安裝升級補(bǔ)丁的10)審查廠商提交的文檔，查看是否具備b)預(yù)期結(jié)果：1)應(yīng)用具備防偽冒、防篡改、防逆向和防調(diào)試的功能；3)在日志和配置文件中，對設(shè)備密碼、設(shè)備鑒別信息等關(guān)鍵安全信息進(jìn)行加密存儲；GB/T41387—20224)與智能家居應(yīng)用服務(wù)平臺進(jìn)行數(shù)據(jù)交互時，在傳輸之前進(jìn)行雙向鑒別，并且在通信時采用安全網(wǎng)絡(luò)協(xié)議；5)具備防止身份驗證數(shù)據(jù)被暴力攻擊的功能；6)具備對輸入數(shù)據(jù)格式的檢驗機(jī)制，輸入不安全的數(shù)據(jù)，會進(jìn)行過濾處理；7)支持設(shè)備一機(jī)一密配置，密鑰與設(shè)備唯一標(biāo)識綁定，防止設(shè)備偽造；8)對于使用傳統(tǒng)Bin應(yīng)用編譯宜在編譯過程采用安全編譯選項，降低內(nèi)存攻擊漏洞的影響；9)應(yīng)用未使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三10)具備應(yīng)用安全事件的實時監(jiān)測和應(yīng)用審計機(jī)制。c)結(jié)果判定：測評結(jié)束。a)檢測方法：殊符號等方式兩種或兩種以上組成的復(fù)雜口令；2)使用無線和有線外圍接口傳輸數(shù)據(jù)，驗證是否具有通過指示燈或顯示屏等方式監(jiān)控數(shù)據(jù)3)檢查具備調(diào)試功能的接口，在出廠時是否設(shè)置為默認(rèn)關(guān)閉；4)使用暴力破解工具對硬件接口進(jìn)行暴力破解，檢測其是否具備5)審查廠商提交的文檔，查看硬件接口是否支持一機(jī)一密鑒別機(jī)制。b)預(yù)期結(jié)果：1)對于具有console接口的設(shè)備，用戶需要配置用戶名、口令等方式得到鑒別授權(quán)，才能進(jìn)成的復(fù)雜口令；2)對于使用無線和有線外圍接口的設(shè)備，通過指示燈或顯示屏等方式，提供數(shù)據(jù)傳輸狀態(tài)的3)具備調(diào)試功能的接口，在出廠時設(shè)置為默認(rèn)關(guān)閉；4)硬件接口具備防暴力破解的功能；5)硬件接口支持一機(jī)一密鑒別機(jī)制。c)結(jié)果判定：測評結(jié)束。a)檢測方法：1)審查廠商提交的文檔，查看系統(tǒng)服務(wù)授權(quán)是否遵循最小化原則，是否默認(rèn)關(guān)閉遠(yuǎn)TelnetGB/T41387—20223)使用暴力破解工具對端口進(jìn)行暴力破解，檢測其是否具備防暴3)端口具備防暴力破解的功能；4)端口支持一機(jī)一密鑒別機(jī)制。c)結(jié)果判定：測評結(jié)束。a)檢測方法：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居終端，查看客戶是否能提供ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入對應(yīng)項的符合性證明；2)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居終端，查看客戶是否提供GB/T29234—2012中對于有線網(wǎng)絡(luò)接入對應(yīng)項的符合性證明；3)檢查智能家居終端在通信配對時是否對密鑰進(jìn)行有效的加密傳輸。b)預(yù)期結(jié)果：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居終端，客戶提供的證明，符合ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入的安全要求；3)在通信配對時對密鑰進(jìn)行加密傳輸。c)結(jié)果判定：測評結(jié)束。a)檢測方法：2)對于數(shù)據(jù)庫連接密碼、FTP服務(wù)口令、登錄口令、外部系統(tǒng)接口鑒別口令等關(guān)鍵安全信GB/T41387—20223)對于能夠安裝第三方應(yīng)用的系統(tǒng)，檢查是否具備對第三方應(yīng)用軟件訪問數(shù)據(jù)權(quán)限的控制4)查看廠商是否能提供GB/T35273—2020中第5章～第8章對應(yīng)項的符合性證明。b)預(yù)期結(jié)果：1)在數(shù)據(jù)傳輸時，應(yīng)用或系統(tǒng)具備對敏感數(shù)據(jù)進(jìn)行保護(hù)的功能，保障關(guān)鍵安全信息的機(jī)密能獲取敏感信息；2)對于數(shù)據(jù)庫連接密碼、FTP服務(wù)口令、登錄口令、外部系統(tǒng)接口鑒別口令等關(guān)鍵安全信3)對于能夠安裝第三方應(yīng)用的系統(tǒng)，具備對第三方應(yīng)用軟件訪問數(shù)據(jù)權(quán)限的控制功能，進(jìn)行4)廠商提供的證明，符合GB/T35273—2020中第5章～第8章對應(yīng)項的要求。c)結(jié)果判定：a)檢測方法：1)檢測方法參照10.2.4;2)審查廠商提交的文檔，查看對于支持本地Web管理網(wǎng)關(guān)的應(yīng)用，是否滿足登錄錯誤次數(shù)3)檢查是否對安裝包的完整性和來源的真實性進(jìn)行校驗，以及是否存在自動安裝第三方應(yīng)b)預(yù)期結(jié)果：1)預(yù)期結(jié)果參考10.2.4;2)對于支持本地Web3)對安裝包的完整性和來源的真實性進(jìn)行校驗，且不存在自動安裝第三方應(yīng)用軟件。c)結(jié)果判定：GB/T41387—2022a)測試方法：1)對于使用無線接入網(wǎng)絡(luò)技術(shù)的智能家居網(wǎng)關(guān)，通信安全應(yīng)符合ISO/IEC27033-6中對于無線IP網(wǎng)絡(luò)接入的安全要求；2)對于使用有線網(wǎng)絡(luò)技術(shù)的智能家居網(wǎng)關(guān)，通信安全應(yīng)符合GB/T29234—2012中對于寬帶有線網(wǎng)絡(luò)接入的安全要求；3)檢查智能家居網(wǎng)關(guān)在通信配對時是否對配對產(chǎn)生的密鑰進(jìn)行有效的加密傳輸。b)預(yù)期結(jié)果：對于無線IP網(wǎng)絡(luò)接入的安全要求；于寬帶有線網(wǎng)絡(luò)接入的安全要求；3)在通信配對時對配對產(chǎn)生的密鑰進(jìn)行加密傳輸。c)結(jié)果判定：測評結(jié)束。1)審查廠商提交的文檔，查看是否具備通過MAC地址等方式進(jìn)行智能家居終端綁定標(biāo)記3)審查廠商提交的文檔，查看是否支持通過安全域劃分、頻段、信道劃分等安全域劃分方式對接入的智能家居終端進(jìn)行安全隔離。b)預(yù)期結(jié)果：1)具備通過MAC地址等方式進(jìn)行智能家居終端綁定標(biāo)記和過濾的功能；2)支持對接入的智能家居終端進(jìn)行網(wǎng)絡(luò)接入權(quán)限控制，包括黑白名單控制、限速控制、訪問c)結(jié)果判定：測評結(jié)束。GB/T41387—2022a)測試方法：b)預(yù)期結(jié)果：智能家居網(wǎng)關(guān)支持安全傳輸通道能力。c)結(jié)果判定：a)測試方法：2)嘗試對家庭設(shè)備Telnet請求，驗證智能家居網(wǎng)關(guān)是否可以檢測到這種異常行為并進(jìn)行告警及連接阻斷；部輸出的異常流量進(jìn)行檢測和處置；6)嘗試對通過智能家居網(wǎng)關(guān)傳輸?shù)牧髁窟M(jìn)行惡意URL/IP、僵尸、木馬和蠕蟲等病毒文件攻b)預(yù)期結(jié)果：1)在智能家居網(wǎng)關(guān)中，接入非法終端，其可以識別存在風(fēng)險的服務(wù)，并告警和屏蔽，如2)對家庭設(shè)備Telnet請求，智能家居網(wǎng)關(guān)可以檢測到這種異常行為并進(jìn)行告警及連接4)智能家居網(wǎng)關(guān)具備拒絕服務(wù)攻擊源流量清洗功能，并對內(nèi)部輸出的異常流量進(jìn)行檢測和5)智能家居網(wǎng)關(guān)支持防火墻功能，能夠根據(jù)策略對特定連接做阻斷、限速，能夠通過遠(yuǎn)程的方式進(jìn)行防火墻配置及防護(hù)策略下發(fā)；6)對通過智能家居網(wǎng)關(guān)傳輸?shù)牧髁窟M(jìn)行惡意URL/IP、僵尸、木馬和蠕蟲等病毒文件攻擊，c)結(jié)果判定：GB/T41387—2022a)測試方法：1)使用交互式反匯編軟件等反編譯工具，檢測應(yīng)用是否具備防偽冒、防篡改、防逆向和防調(diào)3)檢查在日志和配置文件中，是否明文記錄用戶密碼、用戶鑒別信息；4)檢查與智能家居終端之間通信數(shù)據(jù)是否通過安全網(wǎng)絡(luò)協(xié)議傳輸；之前是否進(jìn)行雙向鑒別；6)檢查是否具有防止身份驗證數(shù)據(jù)被暴力破解的功能；8)檢查控制端應(yīng)用是否使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞的第三方庫和開源組件，驗證其是否具備根據(jù)新曝光漏洞自動或手動安裝升級補(bǔ)b)預(yù)期結(jié)果：3)在日志和配置文件中，不存在明文記錄設(shè)備密碼、設(shè)備鑒別信息；4)與智能家居終端進(jìn)行數(shù)據(jù)交互，通過安全網(wǎng)絡(luò)協(xié)議傳輸；6)具有防止身份驗證數(shù)據(jù)被暴力破解的功能；8)控制端應(yīng)用未使用包含CNVD、CNNVD已公布90d以上的高危及以上等級未處置漏洞c)結(jié)果判定：若智能家居控制端滿足以上預(yù)期結(jié)果，則該項目測評結(jié)果為“符合要求”,否則為“不符合要GB/T41387—2022查看客戶是否能提供GB/T31168—2014中對應(yīng)項的符合性證明。b)預(yù)期結(jié)果：客戶提供的證明，符合GB/T31168—2014中的要求。c)結(jié)果判定：a)檢測方法：1)查看客戶是否能提供GB/T36633—2018中對應(yīng)項的符合性證明。2)應(yīng)用服務(wù)平臺的應(yīng)用進(jìn)行身份鑒別，檢測方法如下：i)審查廠商提交的文檔，查看是否構(gòu)建應(yīng)用標(biāo)識體系，為每個應(yīng)用分配唯一的身份應(yīng)用才能接入應(yīng)用服務(wù)平臺執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；iii)審查廠商提交的文檔，查看是否為不同的應(yīng)用分配不同的密鑰，并支持密鑰的生成、iv)審查廠商提交的文檔，查看對接口的調(diào)用是否都要經(jīng)過鑒權(quán)，限定可操作的資源范備才能接入應(yīng)用服務(wù)平臺進(jìn)行后續(xù)應(yīng)用操作；原賬號解綁后才可進(jìn)行重新綁定。采用兩種或兩種以上組合身份鑒別技術(shù)進(jìn)行身份鑒別，其中至少一種鑒別技術(shù)使用密碼b)預(yù)期結(jié)果：1)客戶提供的證明，符合GB/T36633—2018中的要求。入應(yīng)用服務(wù)平臺執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；ii)為不同的應(yīng)用分配不同的密鑰，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰管理GB/T41387—2022功能；用服務(wù)平臺進(jìn)行后續(xù)應(yīng)用操作；iv)設(shè)備鑒別過程中如需使用隨機(jī)數(shù)機(jī)制，使用系統(tǒng)真隨機(jī)生成，如/dev/urandom、dev/random;4)對訪問應(yīng)用服務(wù)平臺的平臺管理人員進(jìn)行身份鑒別，采用兩種或兩種以上組合身份鑒別c)結(jié)果判定：a)檢測方法：備類型或等級授予不同的應(yīng)用訪問權(quán)限，只允許獲得授權(quán)的應(yīng)用，訪問指定的數(shù)據(jù)及信b)預(yù)期結(jié)果：c)結(jié)果判定：2)查看被調(diào)用應(yīng)用服務(wù)平臺應(yīng)是否具備針對源IP地址范圍進(jìn)行授權(quán)的功能，驗證調(diào)用該平臺時，驗證是否除提供靜態(tài)口令外還需要對IP地址范圍進(jìn)行授權(quán)；3)嘗試合法平臺調(diào)用另一合法平臺的資源，查看被調(diào)用平臺是否具備對調(diào)用平臺所調(diào)用的5)審查廠商提交的文檔，是否具備惡意攻擊的識別與阻斷功能。b)預(yù)期結(jié)果：2)被調(diào)用應(yīng)用服務(wù)平臺應(yīng)具備針對源IP地址范圍進(jìn)行授權(quán)的功能；3)合法平臺調(diào)用另一合法平臺的資源，被調(diào)用平臺具備對調(diào)用平臺所調(diào)用的資源記錄完整操作日志的功能；5)具備惡意攻擊的識別與阻斷功能。a)檢測方法：信息是否進(jìn)行加密保護(hù)；息進(jìn)行加密保護(hù)；息傳輸時進(jìn)行完整性校驗。c)結(jié)果判定：GB/T41387—2022a)檢測方法：對該系統(tǒng)對應(yīng)的數(shù)據(jù)庫進(jìn)行權(quán)限以外的相關(guān)操作，檢查是否可以訪問其他未被授權(quán)的系問指定目錄下的文件。b)預(yù)期結(jié)果：1)具備權(quán)限控制功能，在虛擬化系統(tǒng)上對于數(shù)據(jù)庫設(shè)置不同的訪問策略，用戶對該系統(tǒng)對應(yīng)2)包含關(guān)鍵安全信息的文件有權(quán)限控制，只能被相應(yīng)權(quán)限的用戶訪問；3)對數(shù)據(jù)的上傳下載操作時，限制用戶向上跨目錄訪問，且只允許其訪問指定目錄下的c)結(jié)果判定：a)檢測方法：4)審查廠商提交的文檔，查看是否具備對各類數(shù)據(jù)和文件進(jìn)行歸檔和對臨時數(shù)據(jù)及文件進(jìn)行定期自動清理的功能；b)預(yù)期結(jié)果：4)