T/CVIA 108.9-2023 智能电视信息安全 操作系统调试与配置管理安全技术要求

　　团 体 标 准

　　T/CVIA 108.9-2023

　　智能电视信息安全

　　操作系统调试与配置管理安全技术要求

　　和评测方法

　　Smart TV information security

　　Debug and configuration management technical requirements and evaluation

　　methods for operating system

　　2023-12-06 发布 2023-12-06 实施

　　中国电子视像行业协会 发布

　　目 次

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规则起草。

　　请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。

　　本文件由中国电子视像行业协会提出并归口。

　　本文件主要起草单位：海信视像科技股份有限公司、聚好看科技股份有限公司、深圳市酷开网络科技股份有限公司、深圳 TCL 新技术有限公司、重庆市易平方科技有限公司、康佳集团股份有限公司、深圳康佳电子科技有限公司、四川虹魔方网络科技有限公司、中家院(北京)检测认证有限公司、深圳创维-RGB 电子有限公司、厦门厦华科技有限公司、深圳市雷鸟网络科技有限公司。

　　本文件主要起草人：王志刚、刘金刚、郝亚斌、冯晓曦、彭健锋、张宏伟、高洁、马万铮、姜海辉、吴旭、房振会、李鑫、许绍秋、李慧奇、徐崖洲、赵燕伟、唐以尧、薛元、林恺杰、张利利、王佳敏。

　　本文件是首次发布。

　　引 言

　　随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，人们进入了大数据时代，电视也从普通电视发展为现在的智能电视，智能电视也进入了大数据时代。截止到 2022 年国内智能电视的保有量已经超过 4 亿台，智能电视的信息安全也关系到咱们国家的信息安全，也关系到亿万观众者的合法利益。这也是全生态发展到一定阶段的突出问题。

　　智能电视信息安全保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力，同时也为我国数字化经济成功转型与健康、安全发展的强大保障力量提供了基础，也让人民群众在信息化发展中有更多获得感、幸福感、安全感。

　　为进一步加强行业自律，完善智能电视信息安全和用户信息保护体系，保障消费者权益，促进行业健康有序发展，根据智能电视产品的实际情况和市场的发展趋势，在工信部电子信息司消费电子处的指导下，2022 年 5 月中国电子视像行业协会立项《智能电视操作系统个人信息保护要求和评测方法》等十三部团体标准，开展智能电视信息安全系列标准的制定。智能电视信息安全系列标准分别包括《智能电视信息安全 操作系统个人信息保护要求和评测方法》、《智能电视信息安全 操作系统权限管理技术要求和评测方法》、《智能电视信息安全 操作系统数据存储安全技术要求和评测方法》、《智能电视信息安全 固件安全技术要求和评测方法》、《智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》、《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方法》、《智能电视信息安全操作系统开源软件及第三方库使用安全技术要求和评测方法》、《智能电视信息安全 应用程序个人信息保护要求和评测方法》、《智能电视信息安全 应用程序采集必要个人信息范围》、《智能电视信息安全 操作系统启动和更新安全技术要求和评测方法》、《智能电视信息安全 操作系统网络访问技术要求和评测方法》、《智能电视信息安全 软件日志安全技术要求和评测方法》。

　　《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方法》对智能电视的调试与配置管理安全问题，提出了明确的技术要求和评测方法。对智能电视产品应用、服务和系统调试方案的设计、配置和检验，完善技术标准体系，提升产品信息安全技术水平，促进自主创新，保护消费者合法权益具有非常重要的指导意义。

　　智能电视信息安全

　　操作系统调试与配置管理安全技术要求和评测方法

　　1 范围

　　本文件规定了智能电视操作系统调试与配置管理安全的技术要求和评测方法。

　　本文件适用于智能电视产品，其他具有操作系统的智能终端(如智能机顶盒、智慧屏等)也可以参考使用。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中， 注日期的引用文件仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 25069-2022 信息安全技术 术语

　　T/CVIA 29-20l4 智能电视机总规范

　　3 术语、定义和缩略语

　　3.1 术语和定义

　　GB/T 25069-2022、T/CVIA 29-2014 界定的以及下列术语和定义适用于本文件。

　　3.1.1

　　智能电视 smart television

　　智能电视是指具有操作系统，支持第三方应用资源实现功能扩展，支持多网络接入功能，具备智能人机交互、与其它智能设备进行交互的电视机。

　　3.1.2

　　智能电视操作系统 smart television operating system

　　智能电视操作系统是智能电视的关键组成部分，是管理智能电视硬件资源，控制应用程序运行并为用户提供交互操作界面的系统软件集合，主要负责管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本任务。

　　3.1.3

　　安全机制 security mechanism

　　用来实施安全服务的机制，通过一种或多种措施确保所要维护的系统安全。

　　3.2 缩略语

　　ADB：安卓调试桥(Android Debug Bridge)

　　JTAG：联合测试行动小组(Joint Test Action Group)

　　SSH：安全外壳(Secure Shell)

　　TLS：传输层安全(Transport Layer Security)

　　UART：通用异步收发传输器(Universal Asynchronous Receiver-Transmitter)

　　4 智能电视操作系统调试与配置管理安全概述

　　本标准对智能电视操作系统调试与配置管理提出了相应的要求，控制调试接口权限，对应用、服务和系统配置按照最小化原则管理，保障智能电视操作系统、应用和用户数据安全。 智能电视操作系统调试与配置管理安全架构分为四部分：调试接口安全、应用配置安全、服务配置安全和系统配置安全。

　　图 1 智能电视操作系统调试与配置管理安全模型

　　5 技术要求

　　5.1 调试接口安全

　　智能电视调试接口安全应满足如下要求：

　　a) 智能电视出厂时应关闭所有调试接口，包括 ADB 、JTAG 、UART 等，用户无法直接通过建立物理连接访问智能电视系统控制后台;

　　b) 智能电视调试端口开启时，登录访问应采用安全的认证方式进行用户授权，非授权用户无法通过验证，授权用户可访问智能电视系统控制后台。

　　5.2 系统配置安全

　　智能电视操作系统安全策略配置应满足如下要求：

　　a) 用户权限分配应遵循最小权限原则，普通用户只拥有系统赋予的最小权限，禁止普通用户利用修改权限指令修改系统分区、用户分区文件权限，普通用户不能修改系统分区，用户分区文件权限;

　　b) 系统应对不同的应用进程及数据之间实施适当的访问控制管理措施，不同应用程序的进程及数据不能随意互访。

　　5.3 服务配置安全

　　系统服务配置应满足如下要求：

　　a) 智能电视操作系统的网络端口访问应遵循最小化原则，智能电视出厂时关闭可能控制电视操作系统的网络端口;以下网络端口应当被关闭：SSH(默认为 22)、Telnet(默认为 23)、adb(默认为 5555);

　　b) 对于可配置服务的系统，应具备修改默认配置的功能，具体功能要求包含但不限于修改默认身份和认证信息、服务启用和禁用、应用访问限制和应用后台刷新、数据上传、数据下载限制及监控;

　　c) 对于支持远程连接的智能电视，系统应使用安全的通信协议保障通道安全，包括具备建立通道时的身份鉴别和传输数据的机密性与完整性保护能力。

　　5.4 应用配置安全

　　应用配置安全应满足如下要求：

　　a) 预置应用应默认关闭调试功能，默认关闭调试端口和调试日志信息输出;

　　b) 预置应用应禁止在日志和配置文件中明文记录用户或设备敏感信息。

　　6 评测方法

　　6.1 评测环境搭建

　　6.1.1 提供 1 台可以正常开机运行的智能电视机，以下称“测试样机”

　　1) 该测试样机已安装需要检测的智能电视操作系统;

　　2) 待测智能电视操作系统处于出厂状态，未有任何操作。

　　6.1.2 提供 1 种可以接入互联网的网络，以下称“测试网络”

　　1) 测试网络访问互联网的带宽不低于 200M，访问中国大陆地区主要互联网结点(参考公有云、电信运营商数据中心位置分布)的网络延时不高于 100ms;

　　2) 根据测试样机的网络接入方式， 测试网络可以是有线形式或 Wi-Fi 形式。

　　6.2 评测方法

　　6.2.1 调试接口安全

　　6.2.1.1 调试接口默认关闭

　　a) 评测标准：智能电视不应向用户开放调试接口。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，检查产品说明中对调试接口的设计描述，如果电视保留调试接口，检查调试接口是否默认打开;

　　2) 步骤 2 ：模拟用户连接调试接口，验证调试接口是否受限。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视出厂默认向用户开放调试接口，则评测结果为“不符合要求”;否则继续执行步骤 2;

　　2) 步骤 2 后：如果调试接口无法建立连接，无任何信息输出，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.1.2 调试接口访问认证

　　a) 评测标准：物理调试接口登录访问应采用安全的认证方式。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　步骤 1：审核产品说明，根据调试接口的设计描述，检查调试接口是否需要安全认证后才能访问。

　　d) 期望结果：

　　步骤 1：如果调试接口登录不要认证授权，则评测结果为“不符合要求”;则评测结果为“符合要求”，评测结束。

　　6.2.2 系统配置安全

　　6.2.2.1 用户权限最小化

　　a) 评测标准：对于支持多用户的智能电视操作系统，用户权限应遵循最小化原则。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　1) 步骤 1：审核产品和设计说明，检查系统是否采用多用户权限控制;

　　2) 步骤 2：模拟用户登录调试接口，验证用户权限分配是否遵循最小权限原则，普通用户是否只拥有系统赋予的最小权限，尝试越权操作，该越权操作是否被禁止。

　　d) 期望结果：

　　1) 步骤 1 后：如果智能电视默认只有单一用户权限，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2;

　　2) 步骤 2 后：如果系统支持多用户权限策略，普通用户只拥有系统赋予的最小权限，且普通用户禁止越权操作。则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.2.2 应用和进程权限最小化

　　a) 评测标准：智能电视操作系统应用进程应遵循最小化原则，应用进程之间不能随意互访。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　步骤 1：当不同的应用进程或数据之间进行访问时，验证系统是否具有访问控制机制， 不同应用程序的进程及数据是否禁止随意互访。

　　d) 期望结果：

　　步骤 1 后：如果系统对不同的应用进程及数据之间实施了适当的访问控制管理，不同应用程序的进程符合访问控制策略无法访问非授权数据，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.3 服务配置安全

　　6.2.3.1 服务最小化

　　a) 评测标准：智能电视操作系统服务配置应遵循最小化原则，禁用网络调试服务。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　1) 步骤 1：将 PC 终端与智能电视终端连接至同一局域网，并确保网络连接正常;

　　2) 步骤 2 ：使用 PC 终端访问需关闭的智能电视终端网络端口。

　　d) 期望结果：

　　步骤 2 后：如果需关闭的网络端口无法访问，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.3.2 服务可配置要求

　　a) 评测标准：智能电视操作系统可配置服务应具备修改默认配置的能力。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境。

　　2) 启动测试样机。

　　3) 完成系统初始设置。

　　c) 评测方法：

　　1) 步骤 1：审查厂商提交的文档，查看对于可配置服务的系统，是否具备修改默认配置的功能，具体功能要求包含但不限于修改默认身份和认证信息、服务启用和禁用。尝试修改服务的默认配置，是否包含修改默认身份和认证信息、服务启用和禁用，但不限于这些功能;

　　2) 步骤 2：根据厂商提供的服务配置文档，修改服务的配置信息，检查服务的配置是否生效。

　　d) 期望结果：

　　1) 步骤 l 后：对于可配置服务的系统，具备修改默认配置的功能，具体功能要求包含但不限于修改默认身份和认证信息、服务启用和禁用。满足则评测结果为“符合要求”，执行步骤 2;否则为“不符合要求 ”，评测结束。

　　2) 步骤 2 后：如果系统的服务符合修改后的配置，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.3.3 远程控制服务安全机制

　　a) 测试标准：对于支持远程控制服务的智能电视操作系统，应采用完备的安全机制。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境。

　　2) 启动测试样机。

　　3) 完成系统初始设置。

　　c) 测试方法：

　　1) 步骤 1：对于支持远程连接的设备，验证系统是否默认关闭远程连接;

　　2) 步骤 2：在开启远程连接时，是否经过用户授权确认;系统是否使用安全的通信协议保障通道安全;在建立通道时，是否进行身份鉴别;在传输数据时，是否对数据进行机密性与完整性的验证。

　　d) 期望结果：

　　1) 步骤 1 后：若系统默认打开远程连接，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2;

　　2) 步骤 2 后：对支持远程连接的设备，系统使用安全的通信协议保障通道安全;在建立通道时，必须进行身份鉴别;在传输数据时，对数据进行机密性与完整性的验证。满足为“符合要求”，其他情况为“不符合要求”。

　　6.2.4 应用配置安全

　　6.2.4.1 预置应用禁用调试功能

　　a) 评测标准：智能电视操作系统预置应用默认应关闭调试功能，关闭调试端口和调试日志信息输出。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　1) 步骤 1 ：模拟用户登录调试接口，检查预置应用是否默认开放调试功能或调试端口;

　　2) 步骤 2：检查预置应用默认是否打印调试日志信息。

　　d) 期望结果：

　　1) 步骤 1 后：如果预置应用默认开放调试功能或端口，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2;

　　2) 步骤 2 后：如果预置应用默认无调试日志信息输出。则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.4.2 应用配置禁用明文输出

　　a) 评测标准：智能电视操作系统预置应用禁止在日志和配置文件中明文记录用户或设备敏感信息。

　　b) 前置条件：

　　1) 按照 6.1 搭建测试环境;

　　2) 启动测试样机;

　　3) 完成系统初始设置。

　　c) 评测方法：

　　1) 步骤 1：审核产品说明，模拟用户登录调试接口，检查预置应用存储目录文件中是否包含明文的用户或设备敏感信息;

　　2) 步骤 2：检查预置应用日志中是否包含明文的用户或设备敏感信息。

　　d) 期望结果：

　　1) 步骤 1 后：如果预置应用存储目录文件中包含明文的敏感信息，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2;

　　2) 步骤 2 后：如果预置应用的日志中包含明文的敏感信息。则评测结果为“不符合要求”，评测结束;否则为“符合要求”。