ICS 03.120.20 CCS A 00 RB 中华人民共和国认证认可行业标准 RB/T084-2022 智能家居产品信息安全评价规范 Specification for information security evaluation of smart home products 2022-10-11发布 2023-01-01实施 国家认证认可监督管理委员会 发布 中国标准出版社 出版
RB/T 084-2022 目次 前言 1范围 2规范性引用文件 3术语、定义和缩略语. 3.1术语和定义 3.2缩略语 4总则. 5评价内容和要求 5.1安全功能要求 5.2安全保障要求 6评价方法和结果 6.1安全功能评价 6.2安全保障评价 16 6.3评价结果 附录A(资料性)智能家居个人信息分类 61
RB/T084-2022 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由国家认证认可监督管理委员会提出并归口.
本文件起草单位:中国网络安全审查技术与认证中心、信息产业信息安全测评中心、中国科学院信 息工程研究所、海尔优家智能科技(北京)有限公司、美的集团股份有限公司、中国信息通信研究院.
本文件主要起草人:申永波、毕强、董品晶、王峰、胡铭铭、茹昭、刘陶、王雅哲、刘宇、祖岩岩、杨坤、 霍珊珊、刘思蓉、辛建峰、刘玉岭.
RB/T 084-2022 智能家居产品信息安全评价规范 1范围 本文件规定了智能家居产品在联网情况下的信息安全评价规范,包括安全评价内容和要求、安全评 价方法和结果.
本文件适用于对智能家居产品进行检测、评估和认证.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件.
GB/T18336.1-2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般 模型 GB/T25069信息安全技术术语 GB/T35134物联网智能家居设备描述方法 GB/T35273信息安全技术个人信息安全规范 GB/T39190物联网智能家居设计内容及要求 3术语、定义和缩略语 3.1术语和定义 GB/T18336.1-2015、GB/T 25069、GB/T35134GB/T 35273和GB/T 39190界定的以及下列术 语和定义适用于本文件.
为了便于使用,以下重复列出了GB/T35134和GB/T39190中的某些术语 与定义.
3.1.1 智能家居设备smarthome device 具有网络通信功能,可自描述、发布并能与其他节点进行交互操作的家居设备.
[来源:GB/T35134-2017.3.2] 服务平 3.1.2 控制终端control terminals 具有人机交互界面能够实现对智能家居设备控制操作的设备.
[来源:GB/T39190-2020 3.5,有修改] 3.1.3 控制端应用controlapplication 安装在控制终端上,由用户操作,能对智能设备进行远程操作的应用程序.
3.1.4 智能家居应用服务平台application serviceplatformofsmarthome 能够提供各种智能家居设备联网接入,实现对智能家居设备进行管理、操作、控制等功能的平台
RB/T 084-2022 系统.
[来源:GB/T39190-2020.3.4.有修改] 3.2缩略语 下列缩略语适用于本文件.
ARP:地址解析协议(Address Resolution Protocol) HTTPS:安全超文本传输协议(Hypertext Transfer Protocolover Secure Socket Layer) ID:身份标识(Identification/Identity) IP:网际协议(InternetProtocol) MAC:物理地址(Media Access ControlAddress) 4总则 本文件中的智能家居产品包括智能家居设备、控制端应用、智能家居应用服务平台.
典型应用场景 及逻辑架构如图1所示.
智能家居设备 绑定设备、控制设备 控制编应用 智能家居应用 服务平台 图1 智能家居产品典型应用场景及逻辑架构 控制端应用对智能家居设备进行远程控制,暂能家居设备通过无线网络等方式直接或者间接接人到智 能家居应用服务平台.
智能家居设备通常由控制端应用进行配网操作,并连接智能家居应用服务平台进行激活.
之后由 控制端应用发起,三者互相交互实现用户和智能家居产品的绑定操作 在对设备进行远程控制时,通过控制端应用向智能家居应用服务平台发送控制指令,平台在检测控 制指令的合法性,验证权限后,将指令下发给智能家居设备执行.
第5章规定了智能家居产品的安全评价内容和要求,包括安全功能和安全保障.
其中,安全功能方 面,从智能家居设备、控制端应用和智能家居应用服务平台、通信安全、个人信息保护等提出了具体的评 价内容和要求,其中智能家居设备包括设备添加与绑定、安全审计、数据保护、固件安全及其他要求(如 适用):控制端应用包括身份鉴别、数据保护、应用安全和运行安全:智能家居应用服务平台包括标识与 鉴别、访问控制、安全审计、安全管理和数据保护.
安全保障方面,从开发、指导性文档、生命周期支持、 测试和脆羽性评定等提出了具体的评价内容和要求.
第6章给出具体的评价方法来验证智能家居产品 是否满足评价内容和要求,包括了安全功能评价和安全保障评价,最后给出评价结果.
2
