GB/T43342—2023帶有遠程操作功能的家用和類似用途國家標準化管理委員會國家市場監督管理總局發布國家標準化管理委員會GB/T43342—2023 I Ⅱ 25通用要求 2 IGB/T43342—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中國電器工業協會提出。本文件由全國家用自動控制器標準化技術委員會(SAC/TC212)歸口。本文件起草單位：青島海爾智能技術研發有限公司、中國電器科學研究院股份有限公司、美的集團華電器(江蘇)有限公司、青島海爾空調器有限總公司、湖北美的電冰箱有限公司、威凱檢測技術有限公司、廣東中創智家科學研究有限公司、廣州朗國電子科技股份有限公司、廣州市威士丹利智能科技有限寶電器股份有限公司、深圳和而泰智能控制股份有限公司、浙江哈爾斯真空器皿股份有限公司、杭州螢石軟件有限公司、青島海信日立空調系統有限公司、廣東歐曼科技股份有限公司、青島博芬智能科技股份有限公司、佛山市順德區本立電器科技有限公司、深圳市彩斕光電科技有限公司、中家院(北京)檢測認證有限公司、廣東華南家電研宄院、施耐德電氣(中國)有限公司深圳分公司、杭州鴻雁電器有限公司、代傲電子控制(南京)有限公司、廣東合捷電器股份有限公司、浙江偉江電器股份有限公司、浙江東信電市至拓智能控制系統有限公司、廈門華聯電子股份有限公司、深圳拓邦股份有限公司、廣東瑞德智能科市雅潔源科技股份有限公司、寧波恒達高智能科技股份有限公司、中山市海寶電器有限公司、澳柯瑪股份有限公司、寧波微科光電股份有限公司、廣東智科電子股份有限公司、箭牌家居集團股份有限公司、寧波歐知電器科技有限公司、廣東當家人智能電器有限公司、西安旭邁智能家電科技有限公司、廣東飛成新材料有限公司、寧波亞輝智能科技有限公司、廣東特華科技有限公司、浙江華叢數字科技有限公司、陜西碩恩大數據科技有限公司、寧波卡特馬克智能廚具股份有限公司、寧波思朗智能科技發展有限公ⅡGB/T43342—2023帶有遠程操作功能的家用和類似用途電器自動控制器相對于傳統自動控制器有安全要求的變——外部通信網絡引入信息安全以及功能安全的變化；——原有人值守轉變為無人值守的工作狀態引入安全變化；——嵌入式操作系統引入安全變化；-—人機交互方式的多樣性增加相應的安全要求；——增加對過程數據的安全考慮，根據數據的重要性以及應用分類需進行分類管控；因此，為了解決家用和類似用途電器自動控制器由于具有了遠程操作功能可能出現的各種安全風險問題，需要一份安全文件來進行總體規范。1GB/T43342—2023帶有遠程操作功能的家用和類似用途電器自動控制器的安全要求本文件適用于家用和類似用途電器中以及公共場頻及信息類產品自動控制器。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T14536.1電自動控制器第1部分：通用要求GB/T25069信息安全技術術語GB/T32915信息安全技術二元序列隨機性檢測方法GB/T35273信息安全技術個人信息安全規范ISO/IEC15408(所有部分)信息安全、網絡安全和隱私保護信息技術安全的評估標準(Infor-mationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecurity)GB/T14536.1、GB/T25069界定的以及下列術語和定義適用于本文件。3.1通過屏幕、語音、手勢等交互方式，對連接網絡(包括無線和有線方式)的自動控制器本體發出指令，對自動控制器進行操作或者自動控制器通過網絡(包括無線和有線方式)向遠程操作機構的管理者注3:自身的紅外線控制或者點對點的近距離無線通信不能稱為遠程操作。3.2無論是可見的位置還是不可見的位置，用于在人離開自動控制器的位置(包括可見的位置)對自動a)遠程操作控制器(通過網絡使用指令控制自動控制器的設備);2GB/T43342—2023c)智能音箱。注：遠程操作機構既能與被遠程操作的自動控制器在同一個空間(房間)位置，也能處于同一個家庭空間的不同房3.3在沒有人看管和操作的狀態下運行。ADB:安卓調試橋(AndroidDebugBridge)AES:高級加密標準(AdvancedEncryptionStandard)API:應用程序接口(ApplicationProgrammingInterface)DHCP:動態主機設置協議(DynamicHostConfigurationProtocol)DNS:域名系統(DomainNameSystem)ECC:誤差校正碼(ErrorCorrectingCode)FTP:文件傳輸協議(FileTransferProtocol)HTTP:超文本傳輸協議(HyperTextTransferProtocol)ICMP:Internet控制報文協議(InternetControlMessageProtocol)IP:互聯網協議(InternetProtocol)MMU:內存管理單元(MemoryManagementUnit)MPU:內存保護單元(MemoryProtectionUnit)NTP:網絡時間協議(NetworkTimeProtocol)OTA:空中下載技術(Over-the-AirTechnology)PCB:印制電路板(PrintedCircuitBoard)PSK:預共享密鑰(Pre-SharedKey)SSH:安全外殼協議(SecureShell)URL:統一資源定位系統(UniformResourceLocator)WEB:萬維網(WorldWideWeb)5通用要求自動控制器應滿足GB/T14536.1和GB/T35273要求。3GB/T43342—2023失效或故障的問題擴散，維持基本的安全運行模式；b)切換到獨立的備用系統。6技術要求6.1不同電源供應方式要求自動控制器如采用電源供應方式為電池或對電源供應有限制的方式時，其設計的基本功能不應依賴于遠程操作。對于通信方式支持睡眠模式的自動控制器，在狀態發生變化或報警時應能被喚醒，保證信息的及時6.2長時間通電可靠運行在無人監控狀態下，自動控制器應能與產品要求相適應，實現長時間通電可靠運行。6.3遠程操作功能的禁止和開啟自動控制器滿足以下要求：a)有打開或關閉網絡通信的功能；b)在正確安裝配置后根據用戶需求方可開啟遠程操作；c)有相應的指示，顯示其是否開啟了遠程操作功能；d)允許遠程操作功能時，能對網絡通信狀態進行監控，在網絡通信狀態不好時應保證相應的安全。6.4芯片安全如自動控制器使用安全芯片，則該安全芯片應滿足ISO/IEC15408(所有部分)中EAL4+的全部保證組件要求。6.5接口安全自動控制器采取措施減少暴露的受攻擊面要求如下。a)在出廠前應關閉不必要的硬件端口，不預留后門，對于可物理接入的調試接口，滿足以下要求的一種：1)自動控制器的調試功能應具備認證機制，保證僅已授權用戶可以訪問；2)自動控制器的調試接口和調試功能應被加密處理或被禁用，以保證信息不被非授權用戶讀取或篡改。b)應具備打開和關閉外部通信接口的功能，自動控制器在出廠時默認外部通信接口為關閉。c)端口開放應遵循最小化原則，默認關閉非必需使用的端口，如：遠程登錄協議(Telnet)、安全外d)應為用戶分配最小必要的接口訪問權限，默認關閉可直接進入自動控制器系統的特權能力或e)在初始化狀態下，自動控制器網絡接口應防止向未經身份驗證的用戶泄露非必要的安全相關GB/T43342—2023f)自動控制器應避免非必要地暴露物理接口，防止受到攻擊。g)應保證無法通過內部和/或外部暴露的物理走線、引腳或接口等媒介獲取敏感信息。h)自動控制器的PCB與信息安全相關的關鍵器件，不應存在用以標注芯片端口、接插件管腳、通信線路信號、測試和調試功能的可讀絲印。6.6網絡通信安全6.6.1網絡通信部件的安全要求設計自動控制器的軟硬件時，宜采用模塊化設計，網絡通信部件采用接口方式與自動控制器主控部分進行軟硬件分離。自動控制器應能隨時監控其網絡通信的情況并取得相關網絡數據。通過網絡通信方式對自動控制器進行遠程操作，使用的網絡通信協議應保證所傳輸數據的保密性、完整性、可用性，且自動控制器對于錯誤的指令應具有辨別的能力，對于不符合自動控制器運行邏輯的指令不予以執行。自動控制器的訪問控制要求如下。a)對遠程登錄的用戶具有認證功能，確保只有合法用戶才能登錄；自動控制器通信時應在數據傳輸之前進行雙向認證，驗證雙方真實身份是否合法，檢查控制權限是否與身份匹配，以防止越權或非授權控制。b)對遠程登錄的用戶服務能力應覆蓋高峰時期的用戶訪問數量。c)應對遠程用戶的訪問進行訪問控制管理，嚴格管理不同用戶所能訪問的數據、訪問權限(讀、d)自動控制器應根據產品類型支持不同遠程操作功能，不同的遠程操作功能對應不同的用戶權限。自動控制器的抗數據重放要求如下：a)應能鑒別數據的新鮮性，避免歷史數據的重放攻擊；b)應能鑒別對歷史數據的非正常修改，避免數據的修改重放攻擊。自動控制器應能檢測重要數據在生成、傳輸、存儲過程中完整性是否受到破壞。自動控制器的通信安全要求如下：a)關鍵安全參數和重要數據應采用非明文方式傳輸，保障通過遠程接入網絡訪問時的關鍵安全參數的保密性；c)在遠程通信時應在數據傳輸之前進行雙向認證，驗證雙方真實身份是否合法，檢查控制權限是45GB/T43342—2023否與身份匹配，防止越權或非授權控制，才能通過網絡接口訪問自動控制器；d)應進行用戶身份認證后，才能通過網絡接口修改安全相關配置參數(如權限管理、網絡密鑰配e)網絡通信時應加密，并在會話結束時及時銷毀會話密鑰；f)遠程操作會話時長應不超過一定數值，如超過時長需重新建立會話以及密鑰協商；g)網絡通信可使用滾動碼或計數器機制，當請求操作計數大于其計數才準許自動控制器執行該操作指令，以防止他人通過抓包重放控制請求來對自動控制器進行非授權的控制；h)應默認關閉FTP、SSH、Telnet、HTTP、ADB等高風險管理服務或信息數據服務。自動控制器上的軟件應驗證輸入數據，如：通過用戶界面輸入的數據、API輸入的數據或網絡接口輸入的數據。自動控制器應嚴格控制關鍵安全參數的存在時間和使用次數，關鍵安全參數及其過程信息使用完畢或超時后應立即從內存中清除。6.7不同工作狀態的安全要求自動控制器不同的工作狀態有不同的安全要求。自動控制器在初始化時至少具備以下自檢功能：a)檢查安全相關自動控制器自身元器件或部件是否正常運行；b)檢查安全相關傳感元件是否正常運行；c)檢查固件、安全機制以及安全狀態，自檢時發現故障，自動控制器相應功能應以安全的方式失e)檢查固件的完整性和真實性；f)檢查固件是否有針對篡改跡象的安全機制。自動控制器只有在進行正確的配置后(包括但不限于網絡配置、用戶綁定)方可正確的實現相關功能。自動控制器的配置狀態只能在某種特定時間窗口或進行特定操作取得相應權限后方可進入，配置完成后應能自動轉入正常工作狀態。自動控制器恢復出廠設置要求如下：a)恢復出廠設置后應完全清除自動控制器中的網絡數據、配置數據和個人信息，保證存儲空間被6GB/T43342—2023釋放或重新進行配置前得到完全清除；b)應對不再使用的敏感個人信息和數據信息及其所有副本銷毀，如因網絡問題，導致信息無法同步，相關信息需在網絡恢復后進行數據清除。注：恢復出廠設置指由用戶對自動控制器進行重置操作，使其恢復出廠設置。自動控制器固件更新要求如下。a)具備固件更新機制，更新前應取得相應的權限并確認。b)應對遠程下載的固件更新文件的來源進行合法性認證，認證操作完成后需要建立安全通道，密文傳輸更新指令。c)應提供固件下載傳輸通道安全機制。d)應具有硬件版本對比、軟件版本對比功能，以確認升級前后的版本信息符合預期。e)提供對固件升級文件完整性校驗機制，驗證更新固件的完整性和真實性。如果未確認其完整性和真實性，自動控制器應拒絕進行固件更新。f)應具備更新過程相關信息提示功能，含更新正常及異常相關信息提示。g)應確保固件升級失敗后，需要有效的機制保證自動控制器處于安全狀態，如自動恢復到未更新時系統版本且能正常使用，保持原有固件的可用性。h)應確保固件不能通過串口讀取等手段被非授權用戶提取出來。i)應具備對固件中的關鍵代碼及重要數據進行防篡改和防逆向的功能。j)不應將登錄用戶名、口令等登錄憑證明文存儲在自動控制器固件中。k)應采用防止系統版本被降級的措施，防止原來有安全漏洞的版本被重新燒寫回自動控制器。1)如果是電池供電，應具備在固件升級前檢測設備剩余電量是否滿足完成固件更新，如果剩余電量不足則應停止固件更新，并提示用戶。m)在固件更新過程中，若自動控制器意外斷電，則重新恢復供電時，應能自動恢復到固件更新前的版本并且功能正常可用。當自動控制器在運行過程中出現故障時，自動控制器宜根據故障等級進行故障信息的傳送和提示，并對相應的故障進行基礎的安全保護，必要時恢復到安全模式。當自動控制器出現故障時，需經用戶權限許可后，自動控制器維修管理者可通過網絡遠程接入自動控制器并對其進行遠程操作，維修管理者通過遠程對自動控制器進行操作前需停止自動控制器常規操作，使自動控制器轉入到維修狀態方可操作。維修替換下來的故障自動控制器，制造商應將自動控制器進行恢復出廠設置，并將其在運行期間的所有網絡和數據信息以及自動控制器本體上的設置和運行數據刪除。自動控制器進入報廢階段后，制造商應向用戶提供刪除相應數據的功能和方法，將運行期間的所有網絡和數據信息以及自動控制器本體上的設置和運行數據刪除。7GB/T43342—20236.8在運行之前和運行過程中對可預見的安全風險進行預判和保護自動控制器應對可預見的安全風險具有預判和保護的能力。自動控制器對于正確的指令應能正常工作和應答，當接收到無效命令(包括錯誤順序的命令、未知命令、錯誤模式下的命令、錯誤的命令參數)時，應能根據自動控制器目前的運行參數和運行邏輯判斷其是否是有效指令，如為無效指令則自動控制器不予執行，并向遠程操作者進行無效指令的反饋。6.8.3對系統感知數據的檢查當自動控制器使用和測量相關傳感器件或外部的感知數據時，自動控制器應檢查是否存在安全異常。6.8.4對操作中斷的處理自動控制器啟動、再啟動或停止等動作不應對其造成影響。自動控制器不會由于重新啟動或意外動作的停止而對其自身造成損壞，也不會產生危害。電磁干擾原因造成的自動控制器誤動作，自動控制器即使發生誤動作也不應引起安全問題。自動控制器在無人監控狀態下出現故障或緊急情況時，應能采取相應的安全保護措施，進行緊急處置和干預，不會對其自身造成損壞，也不會產生危害。自動控制器在發生可修復性故障時，會進入到故障保護模式，但相關人機交互、網絡通信和其他一些基本的安全功能應保持。自動控制器運行出現故障和異常時，應能進行相應處理，以避免安全問題。6.8.5對通信中斷的處理自動控制器的運行不依賴于外部網絡，如斷網或網絡狀況不佳時，其設計的基本功能可正常使用。當家庭網絡通信線路中斷后，自動控制器應能檢測到網絡中斷，應將當前的運行信息和未發出的數據信息及時保存，如需存儲的數據信息超出自動控制器的存儲容量，應保留最新的信息數據，待網絡恢復正常后將相關信息數據傳送出去，且該數據信息帶有時間信息。正在運轉的自動控制器不會因為外部通信線路中斷或故障引起安全問題，如：a)自動控制器需要從服務平臺上獲取所需的數據，并進行綜合計算后方可進行對自動控制器的正確管控，但由于網絡的故障導致數據無法獲取，則自動控制器自身的算法應能保證其正常運行而不出現基本的安全問題；b)當自動控制器需要遠程關閉操作，在外部通信線路中斷時，在電源無法關閉的情況下仍可保持自動控制器安全。6.8.6對多來源操作指令的處理當自動控制器接收來自兩處及兩處以上來源遠程操作指令時，不應引起安全問題，可采取以下措施：a)檢查源地址是否合法；b)指令的優先級和先后順序；c)應用先進先出的規則；8GB/T43342—2023d)最后一條指令獲勝的原則；e)檢查指令運行邏輯的正確性；f)通過在新信息可能改變行為前完成來保護過程；g)通過停止和重啟線程來保護線程；h)通過禁止和使能線程來保護線程。6.8.7人機交互的安全要求使用語音、手勢、屏幕等人機交互方式對自動控制器進行操作時，人機交互部件會有一定的交互錯誤率，自動控制器對于錯誤的指令有辨別能力，對于不符合自動控制器運行邏輯的指令不予以執行并給出警告提示。自動控制器狀態改變時，應支持本地指示或遠程指示方式，指示方式應采用光學、聲學或其他人體生物學中的至少一種方式。自動控制器發生故障時，應支持本地指示或遠程指示方式，指示方式應采用光學、聲學或其他人體生物學中的至少一種方式，信息指示應明顯。多種人機交互方式可同時對自動控制器進行操作，自動控制器按照指令接收順序，按照制造商規定的運行邏輯執行，如后面指令與之前指令的運行邏輯相悖，可能會造成安全風險，則自動控制器不予執行，并宜給予操作者以相應警告提示。6.8.8降低誤操作帶來的安全風險自動控制器控制系統應在控制邏輯的設計上采取措施防止因增加遠程操作引起的各種誤操作，降低誤操作帶來的安全風險。當自動控制器在運行過程中，短時間內可能會接收到多次相反的操作，如：ON和OFF,自動控制器不應出現操作邏輯上的混亂，且應根據當前狀態判斷是否符合操作邏輯，符合操作邏輯的才予以執行，不符合操作邏輯的不予以執行，并進行錯誤信息的傳送和提示。6.9操作系統對于具備操作系統的自動控制器在進行操作系統服務裁剪時，應符合模塊最小化原則，僅保留必需的模塊。具備操作系統的自動控制器要求如下。a)對于支持多個用戶賬號的系統，用戶權限分配應遵循最小權限原則，普通用戶只擁有系統賦予b)系統應具備遠程控制請求的身份鑒別機制，防止非授權用戶或非授權應用控制系統。c)系統不應預留任何未公開賬號，所有賬號應可被操作系統管理。URL等。e)自動控制器在進行遠程訪問或遠程應用時應設置安全的用戶密碼，提醒用戶定期進行密碼修改，密碼需要有一定的復雜性、強度或長度的要求，密碼最小字符長度應為8個字符，由大小寫9GB/T43342—2023f)用戶在1h內每10次連續輸入密碼不成功的，應有“禁止輸入或在30min后方可再輸入密6.9.3操作系統安全啟動認證具備操作系統的自動控制器在進行操作系統啟動時，應提供安全啟動機制進行系統的完整性保6.9.4操作系統配置安全對于具備調試功能的自動控制器，應限制調試進程在操作系統中的訪問權限和操作權限，防止權限設置過高導致權限被濫用。對于具備操作系統的自動控制器要求如下。a)對于能安裝外部應用的系統，應提供對系統API的訪問控制功能機制，防止應用對系統接口的非授權調用。b)對于支持遠程連接的自動控制器，其操作系統應使用安全的通信協議保障通道安全，包括具備建立通道時的身份鑒別和傳輸數據的機密性與完整性保護機制。c)對于通過WEB進行遠程管理的自動控制器，對其進行管理和配置的行為應經過登錄認證，其登錄和退出過程需有日志記錄。記錄內容應至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄發起方的IP地址等信息。6.9.6內存的硬件級訪問控制機制自動控制器可具備有用于內存的硬件級訪問控制機制，防止因內存缺乏訪問控制而引起軟件攻6.10密碼功能自動控制器不應將用于傳輸加密或鑒權的密鑰硬編碼寫在程序代碼中，應采用PSK或通過PSK導出等方式生成密鑰。自動控制器的密鑰生成功能要求如下：a)產生的非對稱密鑰，應滿足參數的合法性檢查，密鑰長度等要求；b)產生的對稱密鑰，應采用多級密鑰體系進行管理；c)產生的會話密鑰，應保證每次會話的密鑰不可預期，且具有對應的密鑰更新機制；d)密鑰生成后，除了非對稱密鑰的公鑰之外其他密鑰不可導出；e)如未采用硬件方式存儲的非關鍵或臨時性密鑰，則應以加密、混淆、白盒密鑰等邏輯防護措施進行存儲。自動控制器的密鑰生成功能可采用硬件安全模塊、安全芯片保證密鑰的機密性與完整性。自動控制器的密碼運算功能要求如下：GB/T43342—2023a)密碼運算應在隔離的安全環境里執行，密鑰明文不出安全環境；b)在進行密碼運算的過程中，應用進程中不應出現任何密鑰數據；c)應采用具有足夠強度的公開算法進行密碼