《智能家居產(chǎn)品信息安全評價規(guī)范》(2018RB001)-編制說明
《《智能家居產(chǎn)品信息安全評價規(guī)范》(2018RB001)-編制說明》由會員分享,可在線閱讀,更多相關《《智能家居產(chǎn)品信息安全評價規(guī)范》(2018RB001)-編制說明(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
附件5: 認證認可行業(yè)標準草案編制說明 (參考格式) 1、基本信息 1.1 標準草案名稱 中文 智能家居產(chǎn)品信息安全評價規(guī)范 英文 Security evaluation specification for smart home products 1.2 與國際標準和國外先進標準一致性程度情況 □等同采用 □修改采用 □非等效采用 ■未采用 標準編號 英文名稱 中文名稱 1.3 任務來源 批準立項的文件名稱和文件號 計劃編號 2018RB001 1.4制(修)訂 ■制定 □修訂(被修訂標準名稱及編號: ) 1.5 起止時間 2018年 7 月--- 2020 年12月 1.6 標準起草單位 中國網(wǎng)絡安全審查技術與認證中心、信息產(chǎn)業(yè)信息安全測評中心、中國科學院信息工程研究所、海爾優(yōu)家智能科技(北京)有限公司、中國信息通信研究院 1.7 起草團隊 申永波、布寧、董晶晶、胡銘銘、茹昭、劉陶、王雅哲、祖巖巖、霍珊珊、吳迪、劉思蓉、辛建峰、蘭丹妮、崔穎 1.8 標準體系表內編號 2018RB001 1.9調整情況 無 2、背景情況 2.1 目的、意義 (工作開展背景及要求) 1、研究意義 智能家居是物聯(lián)網(wǎng)技術重要的應用領域之一。隨著智能家居逐步朝著網(wǎng)絡化、信息化、智能化方向發(fā)展,各種智能設備,如智能恒溫器、智能攝像頭、智能電視、智能冰箱、智能門鎖等產(chǎn)品都已經(jīng)廣泛應用于我們日常生活當中。這些產(chǎn)品在設計時,往往過度關注其“智能”特性,而忽略了其安全性,因此在給我們生活品質帶來提升的同時,也使我們面臨了更為嚴峻的信息安全風險。 近年來,關于智能家居產(chǎn)品導致的安全問題和損失與日俱增,智能家居產(chǎn)品的信息安全備受關注。因此,開展智能家居產(chǎn)品安全檢測認證評價研究就顯得尤為迫切,包括面臨的風險分析,關鍵的安全檢測和認證技術研究、相關落地的安全評價規(guī)范制定等,不僅能為企業(yè)提高產(chǎn)品安全性提供指導,帶動家電企業(yè)引起對信息安全的重視,為用戶選擇安全的智能家居產(chǎn)品提供支撐,對于保障智能家居相關系統(tǒng)安全運行和數(shù)據(jù)安全具有重要的意義。 2、已有工作基礎 中國網(wǎng)絡安全審查技術與認證中心于2011年8月開始對IT產(chǎn)品實施信息安全認證。依據(jù)GB/T 18336-2015(等同轉化ISO/IEC 15408:2008,對應CC V3.1)和相關安全技術要求,對IT產(chǎn)品的安全性進行評價,旨在保護用戶信息安全,維護用戶利益。生產(chǎn)企業(yè)的IT產(chǎn)品獲得信息安全認證證書,表明該產(chǎn)品符合相應的標準和技術要求。 目前國內尚無智能家居產(chǎn)品安全技術相關標準,國內智能家居行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。考慮到產(chǎn)業(yè)和用戶應用對產(chǎn)品信息安全性的迫切需求,基于我國檢測認證機構的信息安全評價實踐經(jīng)驗,中國網(wǎng)絡安全審查認證技術與認證中心面向智能家居產(chǎn)品組織檢測機構和廠商制定了安全技術要求。并開展了相應的產(chǎn)品檢測認證工作,且初見成效。 3、項目必要性分析 目前國內智能家居產(chǎn)品的實現(xiàn)水平不一,安全性參差不齊,與國外水平也存在很大的差距,在未來的應用中必將存在很大的安全隱患,如用戶信息泄漏、數(shù)據(jù)傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調試接口等。另一方面,目前針對智能家居的信息安全標準一直處于缺失狀態(tài),嚴重制約了行業(yè)健康發(fā)展,也給消費者在面對信息安全問題時帶來了很大的困擾。 因此,開展智能家居網(wǎng)絡安全檢測認證關鍵技術研究,盡快地建立一套智能家居產(chǎn)品的安全技術評價標準,規(guī)范智能家居產(chǎn)品功能及安全性的實現(xiàn),為智能家居產(chǎn)品在未來的應用中能夠提供更安全的服務奠定更堅實的基礎。 2.2 與國內外相關標準、文獻的關系 目前國內尚無智能家居產(chǎn)品安全技術相關標準,國內智能家居行業(yè)的發(fā)展處于深度困擾和迷茫狀態(tài)中。出臺智能家居產(chǎn)品的安全技術評價標準,對于行業(yè)的發(fā)展具備至關重要的作用。 《智能家居產(chǎn)品安全評價規(guī)范》制定項目將以《GB/T 18336-2015信息技術 安全技術 信息技術安全評估準則》標準框架為基礎,以提高和規(guī)范智能家居產(chǎn)品安全技術為目標,充分考慮主要智能家居產(chǎn)品的特點和安全機制,提出安全技術的評價規(guī)范,為國內相關產(chǎn)品的研制、生產(chǎn)、測試和評估提供指導作用。 GB/T 18336《信息技術 安全技術 信息技術安全評估準則》等同采用ISO/IEC 15408國際標準,對應CC標準(Common Criteria for Information Technology Security Evaluation:信息技術安全性通用評估準則)。 1、國外CC標準發(fā)展情況 國外,CC(Common Criteria)組織一直致力于信息安全通用評估準則(Common Criteria for Information Technology Security Evaluation,簡稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術安全評價通用準則V1.0版,1998年發(fā)布CC V2.0版,1999年升級為CC V2.1版,同年被國際標準組織ISO吸納為國際標準,編號ISO/IEC 15408:1999。 隨著各國在使用該標準過程中經(jīng)驗的積累和反饋,CC組織不斷對該標準進行相關修訂工作,2005年發(fā)布了CC V2.3版,該版本被ISO組織吸納升級為國際標準ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版,這次修訂對上一版本進行了較大調整,經(jīng)過多次反復的意見征集和討論,最終在2009年7月發(fā)布最終修訂版(V3.1 Revision 3 Final)。2009年12月,國際標準組織ISO通過吸收CC V3.1的內容,陸續(xù)將該標準的3部分完成發(fā)布(ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008),作廢了ISO/IEC 15408:2005標準。 2、國內GB/T 18336標準情況 國內,2001年3月我國發(fā)布了信息安全技術評價的基礎標準《GB/T 18336-2001信息技術 安全技術 信息技術安全性評估準則》(等同采用國際標準ISO/IEC 15408:1999)。在GB/T 18336中定義了評估信息技術產(chǎn)品和系統(tǒng)安全性所需的基礎準則,是度量信息技術安全性的基準。該標準針對在安全性評估過程中,信息技術產(chǎn)品和系統(tǒng)的安全功能及相應的保證措施提出一組通用要求,使各種相對獨立的安全性評估結果具有可比性。 2008年6月根據(jù)相應國際標準的修訂和更新情況,發(fā)布了該標準的新版本,編號為GB/T 18336-2008(等同采用國際標準ISO/IEC 15408:2005)。 2015年根據(jù)相應國際標準的修訂和更新情況,發(fā)布了該標準的最新版本,編號為GB/T 18336-2015(等同采用國際標準ISO/IEC 15408:2009),目前該標準已經(jīng)發(fā)布生效。 3、國內產(chǎn)業(yè)聯(lián)盟 2016年,由海爾牽頭在智能家居產(chǎn)業(yè)聯(lián)盟(CSHIA)發(fā)起了安全工作組,制定智能家居網(wǎng)絡系統(tǒng)安全標準。第一版《智能家居網(wǎng)絡系統(tǒng)安全要求》從控制設備、家居設備、云服務三個方面提出了安全能力要求,包括訪問控制、身份鑒別、通信安全、數(shù)據(jù)保密性、完整性、不可抵賴、可用性和隱私保護等相關技術。該標準一個突出的特色是根據(jù)智能家居產(chǎn)品的能力對設備進行了分類分級。其中,控制端設備分為移動終端、路由和主機三類;家居設備分為照明設備(A類)、電動/遮陽設備(B類)、影音設備(C類)、功率加熱設備(D類)、和語音視頻采集/安防設備(E類)。根據(jù)上述設備分類,結合每一類型產(chǎn)品的技術特點和防護能力,制定適合于該類型等級的安全要求。但是標準不適用于智能家居產(chǎn)品的檢測認證,另外標準缺少檢測方法研究。 4、行業(yè)標準 2017年,由泰爾實驗室牽頭在中國通信標準化協(xié)會(CCSA)智能家居工作組發(fā)起了《智能家居終端設備安全能力技術要求》的編制工作。標準規(guī)定了智能家居的終端設備安全能力的技術要求,但是標準缺少檢測方法研究以及安全保障要求,不適用于智能家居產(chǎn)品的檢測認證。 3 編制過程 3.1 分工情況 標準的整體工作由項目負責人申永波負責,董晶晶、胡銘銘、茹昭、劉陶、王雅哲、霍珊珊、祖巖巖、吳迪、劉思蓉、辛建峰、蘭丹妮、崔穎等共同開展標準技術要求研制。 3.2 起草階段 2018年3月 成立了行標申報編制組,并明確了行標申報的方向,定位智能家居產(chǎn)品明確了任務,編制組調研國內外智能家居相關技術和標準規(guī)范,走訪智能家居企業(yè),實地調研產(chǎn)品實際情況 2018年4月 編制組根據(jù)前期調研情況,完成了行標申報材料編制、認監(jiān)委科技支撐計劃編制 2018年5月-9月 編制組完成了草案內容的驗證編制,進一步完善了并形成《智能家居產(chǎn)品信息安全評價規(guī)范》草案V1.0 2018年9月-2018年12月 對草案V1.0初步征求業(yè)界意見。 2019年2月-4月。 對意見進行處理,并修訂草案,形成《智能家居產(chǎn)品信息安全評價規(guī)范》草案V6.0 標準草案逐步成熟。 2019年5月17日 組織相關專家對草案進行了評審,并按照專家意見修訂。 3.3 征求意見階段 2019年5月- 對《智能家居產(chǎn)品安全評價規(guī)范》(征求意見稿)面向社會廣泛征求意見,進一步完善,形成送審稿。 4 主要技術內容的確定 1、研究內容 本項目研究內容包括: 1)通過分析智能家居產(chǎn)品涉及的關鍵技術及工作原理,確定安全邊界并分析其“安全環(huán)境”; 2)結合產(chǎn)品功能和實際需求,識別智能家居產(chǎn)品典型應用場景、以及可能存在的威脅及安全假設; 3)基于安全環(huán)境、安全威脅和應用假設的分析結果,提煉、標識智能家居產(chǎn)品應達到的技術和管理“安全目標”; 4)根據(jù)確定的安全目標,結合現(xiàn)有技術和法律法規(guī)要求提出對智能家居產(chǎn)品的安全評價要求; 5)基于產(chǎn)品基本功能要求、安全功能和安全保障要求,研究制定相應的檢測方法,并建立相關評價準則; 6)根據(jù)我國產(chǎn)業(yè)發(fā)展現(xiàn)狀,及用戶應用和國家信息安全管理需要,確定有效實現(xiàn)智能家居產(chǎn)品安全目標導出的安全要求,產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應達到的級別,明確相關要求及方法; 7)綜合產(chǎn)品功能、安全功能、安全保障能力要求,及相應測試評價方法的研究結果,形成標準草案; 8)根據(jù)標準驗證應用結果、專家評審意見,修訂標準草案,包括:在檢測認證活動中驗證應用標準,組織專家對標準草案及驗證應用情況進行評審,遵循保證標準科學性、可操作性、一定前瞻性等原則,對標準草案進行修訂。 2、技術方案 本項目擬采取的技術路線如下: 1)廣泛調研國內外智能家居產(chǎn)品技術現(xiàn)狀,深入分析智能家居產(chǎn)品實際需求; 2)基于分析調研結果,確定產(chǎn)品安全邊界,并分析產(chǎn)品“安全環(huán)境”,識別可能存在的威脅、組織安全策略及安全用戶假設; 3)根據(jù)識別的安全環(huán)境和威脅,標識技術和管理“安全目標”; 4)依據(jù)安全目標,參考GB/T 18336-2015《信息技術 安全技術 信息技術安全評估準則》第二部分中的安全功能組件,結合智能家居產(chǎn)品特點,研制具體的安全功能要求,并研究制定相應的檢測和評價方法; 5)根據(jù)當前管理和應用需求,確定智能家居產(chǎn)品應達到的信息安全保障能力級別,從GB/T 18336-2015《信息技術 安全技術 信息技術安全評估準則》第三部分中選取相應的安全保障要求組件,并規(guī)定相關評估方法和評價準則; 6)根據(jù)智能家居具體安全威脅和產(chǎn)品特點,在4)和5)的基礎之上,制定特定的安全防護要求。 7)制定智能家居產(chǎn)品安全評價規(guī)范草案; 7) 在檢測、認證活動中驗證智能家居產(chǎn)品安全評價規(guī)范草案,并根據(jù)需要進行標準修訂。 8) 項目研究過程中,組織3-4次認證機構、檢測機構、產(chǎn)業(yè)、研究機構等相關專家研討,并根據(jù)專家意見對產(chǎn)品標準草案進行修訂。 5 驗證情況(適用于方法類標準) 5.1 驗證單位情況 驗證單位 驗證人員 驗證時間 年 月 日 年 月 日 年 月 日 年 月 日 5.2 驗證過程 5.3 驗證數(shù)據(jù)分析 5.4 驗證評價 5.5 其他應說明的情況 6 附加說明(可選項) 6.1 宣貫標準的建議 / 6.2 修訂和廢除現(xiàn)行有關標準的建議 / 6.3 作為強制性標準或推薦性標準的建議 / 6.4 其他需要說明的情況 / 6.5 參考文獻 GB/T 18336-2015 《信息技術 安全技術 信息技術安全評估準則》 聯(lián)系人 申永波 聯(lián)系電話 13488676640 電子郵箱 shenyb@isccc.gov.cn 注1:本格式的通用部分為第1章、第2章、第4章和第6章。 注2:3.4適用于標準草案送審稿,3.5適用于標準草案報批稿,3.6中“預期的管理目標”適用于規(guī)程類標準,3.6中“技術指標”適用于方法類標準,第5章適用于方法類標準編制說明的編寫。 注3:3.1和第6章為可選項,其余為必填項。 編寫日期:2019年5月21日- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 智能家居產(chǎn)品信息安全評價規(guī)范 智能家居 產(chǎn)品信息 安全評價 規(guī)范 2018 RB001 編制 說明
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
相關資源
更多
正為您匹配相似的精品文檔
鏈接地址:http://m.zhongcaozhi.com.cn/p-719362.html