T/CVIA 108.10-2023 智能电视信息安全 操作系统开源软件及第三方库使用安全技术要求和评测方法

　　团 体 标 准

　　T/CVIA 108.10-2023

　　智能电视信息安全

　　操作系统开源软件及第三方库使用安全

　　技术要求和评测方法

　　Smart TV information security

　　Technical requirements and evaluation methods for the use of open source

　　software and third-party libraries for operating systems

　　2023-12-06 发布 2023-12-06 实施

　　中国电子视像行业协会 发布

　　目 次

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规则起草。

　　请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。

　　本文件由中国电子视像行业协会提出并归口。

　　本文件主要起草单位：海信视像科技股份有限公司、聚好看科技股份有限公司、深圳市酷开网络科技股份有限公司、深圳 TCL 新技术有限公司、重庆市易平方科技有限公司、康佳集团股份有限公司、深圳康佳电子科技有限公司、四川虹魔方网络科技有限公司、中家院(北京)检测认证有限公司、深圳创维-RGB 电子有限公司、厦门厦华科技有限公司、深圳市雷鸟网络科技有限公司。

　　本文件主要起草人：鞠磊磊、王伟、郝亚斌、冯晓曦、彭健锋、张宏伟、高洁、马万铮、姜海辉、徐军、张勇、李鑫、邓文科、宁江、赵燕伟、张鑫、薛元、林恺杰、张利利、王佳敏。

　　本文件是首次发布。

　　引 言

　　随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，人们进入了大数据时代，电视也从普通电视发展为现在的智能电视，智能电视也进入了大数据时代。截止到 2022 年国内智能电视的保有量已经超过 4 亿台，智能电视的信息安全也关系到咱们国家的信息安全，也关系到亿万观众者的合法利益。这也是全生态发展到一定阶段的突出问题。

　　智能电视信息安全保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力，同时也为我国数字化经济成功转型与健康、安全发展的强大保障力量提供了基础，也让人民群众在信息化发展中有更多获得感、幸福感、安全感。

　　为进一步加强行业自律，完善智能电视信息安全和用户信息保护体系，保障消费者权益，促进行业健康有序发展，根据智能电视产品的实际情况和市场的发展趋势，在工信部电子信息司消费电子处的指导下，2022 年 5 月中国电子视像行业协会立项《智能电视操作系统个人信息保护要求和评测方法》等十三部团体标准，开展智能电视信息安全系列标准的制定。智能电视信息安全系列标准分别包括《智能电视信息安全 操作系统个人信息保护要求和评测方法》、《智能电视信息安全 操作系统权限管理技术要求和评测方法》、《智能电视信息安全 操作系统数据存储安全技术要求和评测方法》、《智能电视信息安全 固件安全技术要求和评测方法》、《智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》、《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方法》、《智能电视信息安全操作系统开源软件及第三方库使用安全技术要求和评测方法》、《智能电视信息安全 应用程序个人信息保护要求和评测方法》、《智能电视信息安全 应用程序采集必要个人信息范围》、《智能电视信息安全 操作系统启动和更新安全技术要求和评测方法》、《智能电视信息安全 操作系统网络访问技术要求和评测方法》、《智能电视信息安全 软件日志安全技术要求和评测方法》。

　　《智能电视信息安全 操作系统开源软件及第三方库使用要求和评测方法》对智能电视操作系统在引用开源软件及第三方库的安全问题，提出了明确的技术要求和评测方法。

　　智能电视信息安全

　　操作系统开源软件及第三方库使用安全技术要求和评测方法

　　1 范围

　　本文件规定了智能电视操作系统开源软件及第三方库使用安全的技术要求和评测方法。

　　本文件适用于智能电视产品，其他具有操作系统的智能终端(如智能机顶盒，智慧屏等)也可以参考使用。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中， 注日期的引用文件仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 25069-2022 信息安全技术 术语

　　3 术语、定义和缩略语

　　3.1 术语和定义

　　GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。

　　3.1.1

　　智能电视 smart television

　　智能电视是指具有操作系统，支持第三方应用资源实现功能扩展，支持多网络接入功能，具备智能人机交互、与其它智能设备进行交互的电视机。

　　3.1.2

　　智能电视操作系统 smart TV operating system

　　智能电视操作系统是智能电视的关键组成部分，是管理智能电视硬件资源，控制应用程序运行并为用户提供交互操作界面的系统软件集合，主要负责管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本任务。

　　3.1.3

　　安全漏洞 vulnerability

　　信息系统在生命周期的各个阶段(设计、实现、配置、运行等过程)，有意或无意中产生的缺陷，这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。

　　3.1.4

　　漏洞库 vulnerability database

　　为更好的进行信息安全漏洞管理及控制工作而建立的一项漏洞安全信息数据库。

　　3.1.5

　　产品说明 product description

　　纸质版或电子版的电视功能和设计说明文档。

　　3.2 缩略语

　　CNVD: 中国国家信息安全漏洞库(China National Vulnerability Database)

　　CNNVD: 中国国家信息安全漏洞公共平台(China National Vulnerability Database Public Platform)

　　CVE: 通用漏洞披露(Common Vulnerabilities and Exposures)

　　HTTPS：超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer)

　　NVD: 美国国家漏洞数据库(National Vulnerability Database)

　　SSL：安全套接字层(Secure Socket Layer)

　　4 技术要求

　　4.1 配置和编码安全

　　智能电视操作系统在使用开源软件及第三方库时，应按照最佳实践进行安全配置，并对开源软件及第三方库的配置文件进行审查和修改，保证其安全性和稳定性。

　　a) 智能电视操作系统应实施恰当的访问控制策略，限制对开源软件及第三方库的访问权限，以确保系统的安全性。

　　b) 遵循权限最小化原则，仅为开源软件及第三方库授权必要的权限，以防止不合法的篡改和潜在的风险。

　　c) 对开源软件及第三方库的配置文件进行审查和修改，去除不必要的功能和服务，防止被非法利用，造成不必要的风险。

　　d) 确保所有与开源软件及第三方库相关的通信，均通过安全通道(如 HTTPS ，证书使用 TLS1.2及以上或 SSL2.0 及以上的安全版本)进行传输，确保数据的机密性和完整性。

　　e) 对于提供了安全功能的开源软件及第三方库，如加密、身份验证等。在使用这些开源软件及第三方库时，需要启用安全功能，提高安全性。

　　f) 使用开源软件及第三方库进行编码时，应保障编码安全，包括输入验证、参数检查，异常处理等，避免操作系统被恶意攻击。

　　4.2 更新和维护安全

　　智能电视操作系统在使用开源软件及第三方库过程中，应确保及时更新和维护，以免安全漏洞被利用。

　　a) 定期对使用的开源软件及第三方库进行漏洞库扫描，版本发布时不应包括 CNVD 、CNNVD、 CVE 、NVD 已公布 90 天以上的高危及以上等级未处置的安全漏洞。

　　b) 及时关注开源软件及第三方库的最新版本，并在发现已知安全漏洞后及时进行版本更新。在进行版本选择时，应优先选择正式发布版本，并进行漏洞库扫描，以确保新版本不会引入新的安全漏洞或其他问题。

　　5 评测方法

　　5.1 配置和编码安全

　　5.1.1 安全访问控制

　　a) 评测标准：只允许特定用户访问开源软件及第三方库，未授权的用户无法访问。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：模拟非授权用户，访问开源软件及第三方库。

　　d) 期望结果：

　　步骤 1 后：如果非授权用户无法访问开源软件及第三方库，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　5.1.2 文件权限控制

　　a) 评测标准：遵循权限最小化原则，仅为开源软件及第三方库授权必要的权限。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：审查厂商提供的产品说明，查看开源软件及第三方库的文件权限设计;检查智能电视操作系统的开源软件及第三方库的文件权限是否和设计一致。

　　d) 期望结果：

　　步骤 1 后：如果开源软件及第三方库的文件权限设计遵循权限最小化原则，且智能电视操作系统中的开源软件及第三方库的文件权限和设计一致，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　5.1.3 禁用不必要的功能

　　a) 评测标准：在使用开源软件及第三方库编码时，只保留其必要的功能，禁用所有不必要的功能。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：审查使用开源软件及第三方库开发的源代码，检查代码中是否开启了不必要的功能。

　　d) 期望结果：

　　步骤 1 后：如果使用开源软件及第三方库编码时只保留了必要功能，禁用了所有不必要的功能，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　5.1.4 安全通信

　　a) 评测标准：使用开源软件及第三方库时，需要确保通信都是通过安全通道进行。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　1) 步骤 1：审查厂商提交的产品说明，检查和开源软件及第三方库有关的通信是否是安全通道。

　　2) 步骤 2：使用抓包工具，分析和开源软件及第三方库有关的通信过程是否加密。

　　d) 期望结果：

　　1) 步骤 1 后：如果和开源软件及第三方库有关的通信不支持安全通道，则评测结果为“不符合要求”，评测结束;否则执行步骤 2。

　　2) 步骤 2 后：如果分析出和开源软件及第三方库有关的通信过程支持加密，则评测结果为“符合要求”，评测结束;否则为“不符合要求”

　　5.1.5 启用安全功能

　　a) 评测标准：对于提供了安全功能的开源软件及第三方库，在使用时需要启用安全功能。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：审查使用开源软件及第三方库开发的源代码，检查支持的安全功能是否启用，如加密、身份验证等。

　　d) 期望结果：

　　步骤 1 后：如果安全功能启用，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　5.1.6 安全编码

　　a) 评测标准：使用开源软件及第三方库进行编码时，应保障编码安全，包括输入验证、参数检查，异常处理等，避免操作系统被恶意攻击。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：进行逆向工程，实施注入攻击、缓冲区溢出攻击等方式，检查操作系统是否有安全漏洞。

　　d) 期望结果：

　　步骤 1 后：如果使用开源软件及第三方库编码的操作系统实施逆向工程无可利用的安全漏洞，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　5.2 更新和维护安全

　　5.2.1 漏洞扫描及修复

　　a) 评测标准：发布版本不应包括 CNVD 、CNNVD 、CVE 、NVD 已公布 90 天以上的高危及以上等级未处置的安全漏洞。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：使用漏洞扫描工具或直接查询 CNVD 、CNNVD 、CVE、NVD 漏洞库，查找开源软件及第三方库的安全漏洞。

　　d) 期望结果：

　　步骤 1 后：如果开源软件及第三方库没有 CNVD 、CNNVD 、CVE 、NVD 已公布 90 天以上的高危及以上等级未处置的安全漏洞，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　5.2.2 版本更新

　　a) 评测标准：开源软件及第三方库及时更新到正式发布的最新版本，且最新版本没有 CNVD、 CNNVD 、CVE 、NVD 已公布 90 天以上的高危及以上等级未处置的安全漏洞。

　　b) 前置条件：智能电视处于可正常使用的工作状态。

　　c) 评测方法：

　　步骤 1：检查操作系统中开源软件及第三方库使用的版本，使用漏洞扫描工具或直接查询CNVD 、CNNVD 、CVE 、NVD 漏洞库，查找开源软件及第三方的安全漏洞。

　　d) 期望结果：

　　步骤 1 后：如果开源软件及第三方库使用的是最新的正式版本，且最新版本没有 CNVD 、 CNNVD 、CVE 、NVD 已公布 90 天以上的高危及以上等级未处置的安全漏洞，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　附录 A

　　(资料性)

　　开源软件及第三方库许可证要求

　　a) GPL 许可证：使用或分发 GPL 许可证的开源软件及第三方库时，必须公开源代码和任何修改的代码，必须采用 GPL 许可证，必须保留版权声明、许可证声明。

　　b) Apache 许可证：使用或分发 Apache 许可证的开源软件及第三方库时，必须保留版权声明、许可证声明。如果修改了开源软件源代码，必须在文件中注明这些修改。

　　c) MIT 许可证：使用或分发 MIT 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。如果修改了开源软件源代码，必须在文件中注明这些修改。

　　d) BSD 许可证：使用或分发 BSD 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。如果修改了开源软件源代码，必须在文件中注明这些修改。

　　e) LGPL 许可证：使用或分发 LGPL 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。如果修改了开源软件源代码，必须公开修改的源代码。

　　f) Mozilla 公共许可证：使用或分发 Mozilla 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。如果修改了开源软件源代码，必须公开修改的源代码。

　　g) CDDL 许可证：使用或分发 CDDL 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。

　　h) Eclipse 许可证：使用或分发 Eclipse 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。如果修改了开源软件源代码，必须公开修改的源代码。

　　i) Mulan 许可证：使用或分发 Mulan 许可证的开源软件及第三方库时，必须包含版权声明和许可证声明。如果修改了开源软件源代码，必须在文件中注明这些修改。

　　附录 B

　　(资料性)

　　安全编码常见的关键步骤

　　a) 输入验证：对所有用户输入的数据进行验证，确保其符合预期的格式、长度和类型。使用正则表达式、输入限制和白名单/黑名单等技术进行验证和过滤。

　　b) 敏感字符过滤：针对输入数据中的特殊字符和敏感字符进行过滤和转义，以防止代码注入、跨站点脚本攻击(XSS)等安全漏洞。

　　c) 数据类型检查：验证输入参数的数据类型是否符合预期。如， 对于数字参数，确保其为有效的数字类型，并对无效输入进行适当处理。

　　d) 长度和范围检查：检查输入参数的长度和取值范围是否在预期的限制范围内。对于字符串参数，验证其长度是否超过允许的最大长度;对于数字参数，验证其值是否在有效范围内。

　　e) 数据库查询参数化：使用参数化查询或预编译语句执行数据库查询，而不是将用户输入直接拼接到查询语句中。参数化查询可以防止 SQL 注入攻击。

　　f) 上传检查：如果应用程序涉及文件上传功能，对上传的文件进行严格的检查和验证。验证文件的类型、大小和内容，防止恶意文件上传和文件包含漏洞。

　　g) 授权与身份验证：对于需要访问敏感数据或执行敏感操作的功能，进行适当的授权和身份验证。验证用户身份，根据其角色和权限限制其访问权限。

　　h) 异常处理：在处理参数时，要考虑异常情况并进行适当的异常处理。避免向用户返回敏感信息，提供有用但不泄露敏感信息的错误消息。

　　i) 安全日志记录：在代码中实现安全的日志记录，记录重要的安全事件、用户操作和潜在攻击行为。

　　j) 持续更新：保持关注最新的安全威胁和漏洞修复，并及时更新应用程序的依赖库或组件。