信息安全技术 智能家居安全通用技术要求和测试评价方法-编制说明

《信息安全技术智能家居安全通用技术要求和测试评价方

法》

（征求意见稿）编制说明

一、工作简况

1、任务来源

为了建立和完善国家信息安全标准体系，根据《关于通报全国信息安全标准化技术委员会2018年信息安全标准项目的通知》（信安秘字[2018]028号），制定本标准。

根据中移（杭州）信息技术有限公司的申请，全国信息安全标准化技术委员会于2018年在《关于通报全国信息安全标准化技术委员会2018年信息安全标准项目的通知》（信安秘字[2018]028号）下达了《信息安全技术智能家居安全通用技术要求》的标准制定任务，由中移（杭州）信息技术有限公司牵头承担标准制定工作，起草单位包括：中移（杭州）信息技术有限公司、中国移动通信集团有限公司、中国信息通信研究院、公安部第三研究所、国家计算机网络应急技术处理协调中心、北京京东尚科信息技术有限公司、联想控股股份有限公司、北京百度网讯科技有限公司、华为技术有限公司、中国网络安全审查技术与认证中心、小米科技有限责任公司、中国信息通信科技集团有限公司、杭州安恒信息技术股份有限公司。

2、主要起草单位和工作组成员

本标准起草单位：中移（杭州）信息技术有限公司、中国移动通信集团有限公司、中国信息通信研究院、公安部第三研究所、国家计算机网络应急技术处理协调中心、北京京东尚科信息技术有限公司、联想（北京）有限公司、北京百度网讯科技有限公司、阿里巴巴集团控股有限公司、中国电子标准化技术研究院、中国软件评测中心、海信集团有限公司、北京奇虎科技有限公司、深圳市优点科技有限公司、广东欧珀移动通信有限公司、华为技术有限公司、中国网络安全审查技术与认证中心、小米科技有限责任公司、中国信息通信科技集团有限公司、杭州安恒信息技术股份有限公司。主要起草人有：路晓明、张滨、智绪龙、许蓓蓓、邱勤、董靖宇、李轶、贾倩、王华景、乔喆、冯运波、

李汝鑫、何清林、张艳、宁华、周毅、刘陶、王剑、王艳红、刘继顺、李笑如、包沉浮、孙科、方强、李世斌、孙宗臣、张屹、汪国平、李腾、姚一楠、衣强、王晖、申永波、李明菊、吴国燕、王辉。

3、主要工作过程

标准制定的主要工作过程如下：

a)2018年07月至2018年11月，根据标准制定任务开展标准草案编制工

作，并组织内部、外部专家进行两次讨论和审议，形成草案修改稿。

b)2019年01月至2019年04月，在两次CCSA TC8工作组会议分别邀请

专家讨论评审，并根据专家意见进行修改。

c)2019年04月-2019年05月，在宁波TC260 WG6工作组会议中根据会议

专家意见修改文稿，形成征求意见稿。

d)2019年06月-2019年10月，面向社会广泛征求意见，并根据征求意见

完成文稿修改。

e)2019年10月-2019年12月，在重庆TC260 WG6工作组会议中，根据信

安标委秘书处建议，将中国信息通信研究院申请新立项目智能家居安全

测试评价方法合入本标准文稿，修改名称为《信息安全技术智能家居安

全通用技术要求和测试评价方法》，并形成新的《信息安全技术智能家

居安全通用技术要求和测试评价方法》征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本标准的编制立足于我国信息安全技术及相关产业发展现状，以GB/T 25068、GB/T 25069等法规和标准为依据，本着“科学、合理、系统、适用”的原则，注重通用性、可操作性和实用性，智能家居安全通用技术要求。同时参考了以下国际标准：

ISO/IEC 27030 Guidelines for security and privacy in Internet of Things (IoT) NIST SP800-183 Network of “Things”

ISO/IEC 27033Information technology -- Security techniques -- Network security

ISO/IEC 9798Information technology -- Security techniques -- Entity authentication

ISO/IEC 27034Information technology -- Security techniques -- Application security

2、标准解决的问题及主要内容

随着智能家居产业的飞速发展，智能家居设备越来越多地进入人们的生活。由于智能家居设备厂商对于安全的重视程度及投入较低，且缺乏安全最佳实践，导致智能家居设备安全尤其薄弱，各类安全问题逐渐凸显。

（1）智能家居设备由于安全性薄弱、利用成本低，成为病毒攻击的重要目标：16年10月季17年11月的mirai病毒攻击导致美国、德国大规模断网；17年8月BrickerBot病毒爆发，超 60000 台调制解调器和路由器下线；Satori 病毒12小时之内感染了超过28万个IP地址，利用最新发现的0day漏洞控制了数十万台家庭路由器。

（2）由于智能设备telnet弱口令、明文传输等安全问题，造成用户隐私泄露：美国华盛顿近2/3监控摄像头网络曾遭罗马尼亚黑客劫持，用户隐私泄露；brothers等多款智能音箱遭监听。（3）智能家居设备漏洞频发，漏洞影响范围大且修复困难，成为智能家居设备研发及运营的挑战：GoAhead web服务器存高危漏洞，影响包括路由器、机顶盒等数十万设备；17年9月公布的BlueBorne漏洞到11月仍旧影响数千万 Amazon Echo与 Google Home设备。在此背景下，需要从多个层面对智能家居安全提出安全要求。

本标准规定了智能家居安全通用技术要求和对应测试评价方法。

本标准研制目标是为政府及企业等实体智能家居安全能力建设及运维工作提供实施依据；为智能家居设备研发厂商、服务提供商在安全开发、安全防护及安全运营上提供指导要求；为第三方机构针对大数据平台的安全测评工作提供参考依据。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

数字电视与数字家庭产业“十二五”规划实施以来，经过持续推动和发展