T/TAF 086-2021 智能电视安全能力技术要求和测试方法.pdf
- 文档部分内容预览:
T/TAF 086-2021 智能电视安全能力技术要求和测试方法
a 智能电视保留可调试物理接口(包括但不局限于JTAG,串口等),可调试物理接口不向用户 开放。 b 智能电视保留可调试物理接口,可调试物理接口访问受限,如非拆机状态下不可访问或用户 访问需要进行口令认证; 智能电视保留可调试物理接口,访问可调试物理接口采用非通用口令认证或证书认证, 智能电视保留可调试物理接口,访问可调试物理接口采用证书认证,且证书保存在TEE或安 全芯片中
5. 1.2 存储安全
a)硬件平台应具备不可改写的用于存储校验密钥、ITVID等信息的安全存储区域。 应支持对存储在芯片内的固件等重要数据进行签名以及签名验证; 应支持对存储在芯片内的固件进行签名以及签名验证; 芯片支持对安全要求不同的应用区提供不同等级的安全管理机制; 存储在芯片内的用户数据以密文形式存在。
石油标准5.1.3硬件实现密码算法
a)智能电视使用安全芯片实现密码算法。 b)智能电视应使用安全芯片实现视频加解密算法。
5.1.4外部存储设备接入安全要求
a)智能电视接入外部存储设备时,应约
)智能电视接入外部存储设备时,应给
5.2操作系统安全能力
5. 2. 1 安全启动
智能电视应对启动过程中每个 序、内核、内核扩展项,确保系统分区不被恶意程序修改,校验根密钥受硬件保护,不可修 改。 b)开机广告须提供“一键关闭”功能。
5.2.3系统配置安全
操作系统调试接口和远程登录端口(如SSH端
b)核心系统守护进程和业务应用应隔离到不同的安全域,并为每个域定义不同的访间策略。
5.2.4系统与固件更新安全
a)离线方式进行系统与固件升级时,应对升级文件的完整性进行校验,包括验证升级包的哈希 值、大小、版本号和签名; b) 在线方式进行系统与固件升级时,应对升级文件的来源和完整性进行校验,包括验证升级包 的哈希值、大小、版本号和签名; 进行系统与固件更新,当发生更新失败时,不应出现系统不可用的情况。 提醒用户进行升级,并给出最新版本号以及更新内容简要说明。 e 在线方式进行系统与固件升级时,应对升级包文件进行加密; f)紧急情况下可在线强制升级,若需强制升级,应提示并告知用户原因:
a)系统应保证不包含有CNVD与CNNVD6个月前公布的中危及以上漏洞; b)应支持高危漏洞修复及安全防御机制。
5. 2. 6 端口安全
5.3预置应用软件安全能力
5. 3. 1 遥控端认证
5.3.2软件安装安全
a)预置应用软件不应存在CNVD和CNNVD6个月前公布的高危漏洞。 b)智能电视应对获取应用过程中与服务器的相关通信进行证书验证。
5.3.3软件更新安全
a)进行更新时,应对更新包进行版本号、哈希值、签名和文件大小校验; b)进行预装应用软件更新时,应对软件更新包进行加密。
5.4第三方应用软件安全能力
5.4.1软件安装安全
a)应不允许安装未签名应用或者不受信任的代码,禁止安装未授权的第三方应用软件。 b)智能电视应对获取应用安装过程中与服务器的相关通信进行证书验证; C)应用安装应经过电视厂商的安全校验
5.5网络通信安全能力
5.5.2数据传输安全
a) 智能电视应支持对称加密算法对用户数据进行加密传输保护。支持安全OS和安全存储,对称 密钥应进行安全存储保护; b 智能电视应支持TLS协议对用户数据进行安全传输,应使用TLSV1.2及以上版本,TLSV1.C 和TLSV1.1默认关闭,禁止使用SSLV2及SSLV3; )智能电视采用的TLS协议应使用128位或更强的加密、认证套件; d 安全传输协议应具备抵抗因编程语言固有缺陷造成的安全漏洞,如使用可抵抗内存安全漏洞 的传输层协议。 e 智能电视宜支持手机投屏HDCP协议
a)智能电视应支持对称加密算法对用户数据进行加密传输保护。支持安全OS和安全存储,对称 密钥应进行安全存储保护; 智能电视应支持TLS协议对用户数据进行安全传输,应使用TLSV1.2及以上版本,TLSV1.C 和TLSV1.1默认关闭,禁止使用SSLV2及SSLV3; c)智能电视采用的TLS协议应使用128位或更强的加密、认证套件; d)安全传输协议应具备抵抗因编程语言固有缺陷造成的安全漏洞,如使用可抵抗内存安全漏洞 的传输层协议。 e 智能电视宜支持手机投屏HDCP协议
5. 5. 3 DNS 动持
a)智能电视应具备检测DNS劫持的能力; b)智能电视应具备修复DNS劫持的能力。
5.6人工智能服务安全能力
5.6.1上传数据安全
应防止攻击者将用户使用人工智能功能时的交互数据上传指向到自已的服务器,如设置上传服务 器地址是不可配置的。
5.6.2对抗性攻击防护
a)智能电视机器学习算法应具备抵抗对抗性攻击的能力,如可抵抗隐藏语音命令攻击等。
5.6.3机器学习模型隐私保护
应对机器学习模型进行安全保护,以保护机器学习模型不被非法窃取,如为机器学习模型参数或 预测API接口设置一定的访问控制机制,使之不可被公开获取。机器学习模型可被限制在TEE加载和运 行,保护隐私数据不被非法获取,
6智能电视安全能力分级
智能电视所支持的安全能力划分为5个等级,第五级是最高等级。智能电视可选择支持到不同 达到相应等级的智能电视可在说明书上进行明确标识。
根据智能电视所支持的安全能力程度,将智能电视的安全能力自高到低划分为5个等级。在每一 等级定义了智能电视对应的安全能力的最小集合,也就是智能电视必须支持该集合中的所有安全能力 才能标识为该级别,例如达到第五级的智能电视应支持本文件第五章所定义的所有安全能力。具体的
表1智能电视安全能力分级(续)
7智能电视安全能力测试方法
本章节按照智能电视的最高安全能力要求,即四级安全要求给出测试方法。智能电视可根据支 全能力等级,进行相应的安全能力测试项
7.2硬件安全能力测试项
7.2.1可调试物理接口安全测试项
测试项目:智能电视保留可调试物理接口,可调试物理接口访问受限,如非拆机状态下不可访问或用 户访问需要进行口令认证。 测试步骤: 步骤1:检查厂商提交的文档,查看被测智能电视的接口设计文档,检查智能电视是否保留可调 试物理接口:
步骤2:模拟用户通过调试命令连接可调试物理接口,查看访问可调试物理接口是否采用了一定 的保护机制,如非拆机状态不可访问,或访问需要进行用户名口令认证。 预期结果: 在步骤1之后,若智能电视不存在可调试物理接口,测评结果为“未见异常”,测评结束;否则 进行步骤2; 在步骤2之后,若访问智能电视可调试接口采用了一定的限制措施,测评结果为“未见异常” 否则为“不符合要求”,测评结束。 测评等级: 一级及以上
测试项目:智能电视保留可调试物理接 测试步骤: 步骤1:检查厂商提交的文档,查看被测智能电视的接口设计文档,检查智能电视是否保留可调 试物理接口: 步骤2:模拟用户通过调试命令连接可调试物理接口,查看可调试物理接口是否对用户进行非通 用口令或证书认证。 预期结果: 在步骤1之后,若智能电视不存在可调试物理接口,测评结果为“未见异常”,测评结束;否则 进行步骤2: 在步骤2之后,若访问可调试物理接口需要用户使用非通用口令或证书进行认证,测评结果为 “未见异常”,否则为“不符合要求”,测评结束。 测评等级: 一级及以上
测试项目:智能电视保留可调试物理接口,访问可调试物理接口采用证书认证,且证书保存在TEE或 安全芯片中。 测试步骤: 步骤1:检查厂商提交的文档,查看被测智能电视的接口设计文档,检查智能电视是否保留可调 试物理接口; 步骤2:模拟用户通过调试命令连接可调试物理接口,查看可调试物理接口是否对访问用户进行 证书认证; 步骤3:步骤2之后,检查访问可调试物理接口的用户证书存储模式,是否将证书存储在TEE或安 全芯片中。 预期结果:
则试项目:智能电视保留可调试物理接口,访问可调试物理接口采用证书认证,且证书保存在TEE或 安全芯片中。 测试步骤: 步骤1:检查厂商提交的文档,查看被测智能电视的接口设计文档,检查智能电视是否保留可调 试物理接口; 步骤2:模拟用户通过调试命令连接可调试物理接口,查看可调试物理接口是否对访问用户进行 证书认证; 步骤3:步骤2之后,检查访问可调试物理接口的用户证书存储模式,是否将证书存储在TEE或生 全芯片中。 颜期结果:
在步骤1之后,若智能电视不存在可调试物理接口,测评结果为“未见异常”,测评结束;否则 进行步骤2; 在步骤2之后,若智能电视可调试物理接口不支持对访问用户进行证书认证,测评结果为“不符 合要求”,测评结束。否则,进行步骤3; 在步骤3之后,若用户证书存储在TEE或安全芯片中,测评结果为“未见异常”,否则为“不符合 要求”,测评结束。 测评等级: 一级及以上
7. 2. 2 存储安全测试项
测试项目:应支持对存储在芯片内的固件重要分区进行签名以及签名验证。
测试步骤: 步骤1:检查厂商提交的文档,查看芯片安全设计; 步骤2:模拟攻击者,对存储在芯片内的固件的重要分析,如boot分区,进行逆向分析,查看关 建的代码和数据是否有完整性校验。 预期结果: 在步骤2之后,若智能电视芯片支持对固件关键分区的完整性校验,测评结果为“未见异常”, 否则为“不符合要求”,测评结束。 测评等级: 一级及以上
测试步骤: 步骤1:检查厂商提交的文档,查看芯片安全设计:
步骤2:模拟攻击者,对存储芯片内固件进行 分析, 查看关键的代码和数据是否有完整性校 验。 预期结果: 在步骤2之后,若智能电视存储芯片支持对固件的完整性校验,测评结果为“未见异常”,否则 为“不符合要求”,测评结束。 测评等级: 一级及以上
试项自:芯片支持对安全要求不同的应用区提供不同等级的安全管理机制 试步骤: 步骤1:检查厂商提交的文档,查看存储芯片型号; 步骤2:根据智能电视采用的芯片,核查该芯片支持对不同的应用区提供不同等级的安全
预期结果: 在步骤2之后,若用户数据以密文形式存储,测评结果为“未见异常”,否则为“不符合要 求”,测评结束。 测评等级: 一级及以上
7.2.3硬件实现密码算法安全测试项
测试项目:智能电视使用安全芯片实现密码算法。 测试步骤: 步骤1:检查厂商提交的文档,查看智能电视所采用的芯片型号:
步骤2:检查厂商提交的文档,查看密码算法的实现形式,或验证密码算法是否在安全芯片申运 行。 预期结果: 在步骤1之后,若智能电视不支持安全芯片,测评结果为“不符合要求”,测评结束;否则进行 步骤2; 在步骤2之后,若智能电视使用安全芯片实现密码算法,或密码算法在安全芯片中运行,测评结 果为“未见异常”,否则为“不符合要求”,测评结束。 测评等级: 四级、五级
7.2.4外部存储设备安全测试项
7.3.1安全启动测试项
测试项目:智能电视应对启动过程中每个步骤加载的组件验证签名的正确性,包括但不限于引导加载 程序、内核、内核扩展项,并验证签名的正确性,确保系统分区不被恶意程序修改。 则试步骤: 步骤1:检查厂商提交的文档,查看智能电视是否具有安全启动机制: 步骤2:在非授权的情况下修改启动分区; 步骤3:重新启动操作系统,检查修改后的启动代码是否可以通过完整性验证。 预期结果: 在步骤1之后,若智能电视不具备安全启动机制,测评结果为“不符合要求”,测评结束;否则 进行步骤2和步骤3; 在步骤3之后,若修改后的启动代码无法通过完整性验证,测评结果为“未见异常”,否则为 “不符合要求”,测评结束。
测评等级: 一级及以上
测评等级: 一级及以上
测试项目:开机广告须提供“一键关闭”功能。 测试步骤: 步骤1:在智能电视正常联网状态下,开启智能电视,查看是否具有开机广告; 步骤2:若具有开机广告,查看是否具备“一键关闭”功能 在步骤1之后,若智能电视没有开机广告,测评结果为“未见异常”,测评结束;否则进行步骤 2; 在步骤2之后,若具备“一键关闭”功能,测评结果为“未见异常”,否则为“不符合要求”, 测评结束。 测评等级: 一级及以上
7.3.2固件安全测试项
7.3.3系统配置安全测试项
测试项目:默认关闭操作系统调试接口和远程登录端口(如SSH端口和Tenlent端口) 测试步骤: 步骤1:检查厂商提交的文档,查看其是否默认关闭了操作系统调试接口和远程登录接口; 步骤2:模拟攻击者,尝试通过系统服务和远程登录端口(SSH端口和Tenlent端口)开启调试接 口或超级用户权限。
预期结果: 在步骤1之后,若智能电视未关闭操作系统调试接口和远程登录接口,测评结果为“不符合要 求”,测评结束;否则进行步骤2; 在步骤2之后,若模拟的攻击者无法开启调试接口或超级用户权限,测评结果为“未见异常” 否则为“不符合要求”,测评结束。 测评等级: 一级及以上
测试项目:核心系统守护进程和业务应用应隔离到不同的安全域,并为每个域定义不同的访问策略。 测试步骤: 步骤1:检查厂商提交的文档,查看智能电视是否配置并开启了自主访问策略,如SELinux; 步骤2:根据智能电视采用的访问控制策略机制,执行相应的命令,验证访问策略是否开启。如 执行“adbshellgetenforce”命令,若结果为Enforcing,则表示系统已开启SELinux,并为每个域 定义不同的访问策略。否则显示Permissive表示未开启SELinux。 预期结果: 在步骤1之后,若智能电视不具备相应的自主访问策略,测评结果为“不符合要求”,测评结 束;否则进行步骤2; 在步骤2之后,若执行命令,根据返回结果判断访问策略开启,测评结果为“未见异常”,否则 为“不符合要求”,测评结束。 测评等级: 一级及以上 7.3.4系统与固件更新安全测试项
7.3.4系统与固件更新安全测试项
在步骤3之后,若伪造的升级包无法成功刷入智能电视,测评结果为“未见异常”,否则为“不 符合要求”,测评结束。 测评等级:
测试项目:进行系统与固件更新,当发生因更新包缺陷而导致更新失败时, 不应出现系统不可用的情价 测试步骤: 步骤1:检查厂商提交的文档,查看被测智能电视是否提供了系统与固件更新失败时的处理机 制; 步骤2:模拟终端进行因更新包缺陷而导致更新失败,查看智能电视是否进入到系统不可用的状 态; 预期结果: 在步骤1之后,若智能电视未提供更新失败时的处理机制,测评结果未“不符合要求”,测评结 束,否则进行步骤2; 在步骤2之后,若智能电视系统可用,测评结果为“未见异常”,否则为“不符合要求”,测评 结束。 测试等级:
测试项目:以在线方式进行系统与固件升级时,应对升级包文件进行加密。 测试步骤: 步骤1:在智能电视进行系统与固件更新的过程中进行网络抓包: 步骤2:逆向分析系统与固件更新包代码,查看是否采用了HTTPS等安全传输协议; 预期结果: 在步骤2之后,若更新过程中,采用了HTTPS等安全传输协议,测评结果为“未见异常”,否则为 “不符合要求”,测评结束。 测评等级: 一级及以上
测试项目:紧急情况下可在线强制升级,若若需强制升级,应提示并告知用户原因。 测试步骤: 步骤1:开启智能电视,使其处于正常运行状态; 步骤2:模拟紧急状态模式,在未经用户许可的情况下,刷入系统升级包 预期结果: 在步骤2之后,若可以成功刷入系统升级包,且智能电视告知用户原因,测评结果为“未见异 常”,否则为“不符合要求”,测评结束。 测评等级: 级及以上 7.3.5漏洞修复安全测试项
7.3.5漏洞修复安全测试项
测试项目:系统应保证不包含有CNVD与CNNVD6个月前公布的高危漏洞 测试步骤: 步骤1:使用已知漏洞自动检测工具城市道路标准规范范本,对智能电视进行漏洞扫描: 步骤2:结合CNVD和CNNVD漏洞库,判断是否存在6个月前公布的高危漏洞。 期结果: 在步骤2之后,若未发现6个月前公布的高危漏洞,测评结果为“未见异常”,否则为“不符合要 求”,测评结束。 测评等级: 三级及以上
测试项目:系统应保证不包含有CNVD与CNNVD6个月前公布的中危及以上漏洞。 测试步骤: 步骤1:使用已知漏洞自动检测工具,对智能电视进行漏洞扫描; 步骤2:结合CNVD和CNNVD漏洞库,判断是否存在6个月前公布的中危及以上漏洞。 预期结果: 在步骤2之后,若未发现6个月前公布的中危及以上漏洞,测评结果为“未见异常”,否则为“不 符合要求”,测评结束。 测评等级: 三级及以上
测试项目:系统应保证不包含有CNVD与CNNVD6个月前公布的中危及以上漏洞。 测试步骤: 步骤1:使用已知漏洞自动检测工具,对智能电视进行漏洞扫描: 步骤2:结合CNVD和CNNVD漏洞库,判断是否存在6个月前公布的中危及以上漏洞。 预期结果: 在步骤2之后,若未发现6个月前公布的中危及以上漏洞,测评结果为“未见异常”,否则为“不 符合要求”,测评结束。 测评等级: 三级及以上
测试项目:应支持漏洞修复及安全防御机制。 测试步骤: 步骤1:检查厂商提交的文档,查看是否采用了漏洞修复机制或安全防御机制; 步骤2:模拟终端紧急缺陷或漏洞,尝试通过修复机制,进行补丁下发修复系统缺陷或漏洞,或 查看是否具备安全防御机制。 预期结果: 在步骤1之后,若智能电视未采用漏洞修复机制,测评结果为“不符合要求”,测评结束;否则 进行步骤2; 在步骤2之后,若可成功下发补丁,进行系统缺陷或漏洞修复,或具备安全防御机制,测评结果 为“未见异常”,否则为“不符合要求”,测评结束。 测评等级: 三级及以上
测试项目:应支持漏洞修复及安全防御机制, 测试步骤: 步骤1:检查厂商提交的文档,查看是否采用了漏洞修复机制或安全防御机制; 步骤2:模拟终端紧急缺陷或漏洞,尝试通过修复机制,进行补丁下发修复系统缺陷或漏洞,或 查看是否具备安全防御机制。 预期结果: 在步骤1之后,若智能电视未采用漏洞修复机制,测评结果为“不符合要求”,测评结束;否则 进行步骤2; 在步骤2之后,若可成功下发补丁,进行系统缺陷或漏洞修复,或具备安全防御机制,测评结果 为“未见异常”,否则为“不符合要求”,测评结束。 测评等级: 三级及以上
7.3.6 端口安全测试项
测试项目:按需进行服务端口的打开,或开放系统端口时进行访问控制。 测试步骤: 步骤1:检查厂商提交的文档,查看是否支持服务端口按需打开或访问控制机制; 步骤2:使用接口扫描工具对智能电视进行扫描,检查所有开启的接口是否存在可疑行为,是否 可以访问可疑接口。 预期结果: 在步骤1之后,若智能电视未开启防火墙或采用端口访问控制机制,测评结果为“不符合要 求”稀土标准,测评结束;否则进行步骤2; 在步骤2之后,若智能电视开启的接口未见可疑行为且可疑接口不可访问,测评结果为“未见异 常”,否则为“不符合要求”,测评结束。
....- 安全标准
- 相关专题: