ICS 33.160.25
CCS M 74
SJ
中 华 人 民 共 和 国 电 子 行 业 标 准
SJ/T 11897—2023
智能电视终端安全能力测试要求
Test requirements for security capabilities of smart television terminal
2023-08-16发布 2023-11-01实施
中华人民共和国工业和信息化部 发 布
SJ/T 11897—2023
前 言
木文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国音频、视频及多媒体系统与设备标准化技术委员会(SAC/TC 242)归口。
本文件起草单位：深圳数字电视国家工程实验室股份有限公司、中国电子技术标准化研究院、国家数字音视频及多媒体产品质量监督检验中心、青岛海尔电子有限公司、青岛海信电器股份有限公司、京东方科技集团股份有限公司、四川长虹电器股份有限公司、康佳集团股份有限公司、深圳创维-RGB电子有限公司、北京小米电子产品有限公司、乐视致新电子科技（天津）有限公司、东方有线网络有限公司、上海下一代广播电视网应用实验室有限公司、深圳市智能电视产业标准联盟、北京永新视博信息技术有限公司、天津三星电子有限公司、北京三星通信技术研究有限公司、深圳市海思半导体有限公司、中国科学院信息工程研究所、中国科学院软件研究所、国家新闻出版产电总局监管中心、国家广播电视产品质量监督检验中心。
本文件主要起草人：紫桂官、李新国、吴晨思、余小龙、崔志龙、武玉朋、顿胜堡、冉大为、张曼华、闫瑞霞、张清山、王明敏、冯浩桪、李晓榕、张晶、傅云鹏、胡海宁、李欣欣、晏敏、李斌、李炎、潘榕。
可以
XOOT
STANDARDS
SJ/T 11897—2023
智能电视终端安全能力测试要求
1 范围
本文件规定了智能电视终端硬件平台安全能力、系统软件安全能力、应用软件安全能力、外围接口与外设安全能力的测试方法。
本文件适用于智能电视终端的设计、开发、测试和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款，其中，注日期的引用文件，
（二）
第三方支付机构 third party payment organization
与银行之间签订相关协议，能够在持卡人、银行以及最终的收款人之间完成支付流程的机构。
3.5
根权限 root privileges
智能电视终端上可对系统的所有可访问资源进行操作的权限。
4 缩略语
下列缩略语适用于本文件。
CNNVD:中国国家信息安全漏洞库 (China National Vulnerability Database of information Security)
CNVD: 国家信息安全漏洞共享平台(China National Vulnerability Database)
1
SJ/T 11897—2023
DNS: 域名系统 (Domain Name System)
HTTP: 超文本传输协议(Hyper Text Transfer Protocol)
JTAG: 联合测试工作组(Joint Test Action Group)
PCB: 印制电路板 (Printed Circuit Board)
SPI: 串行外设接口(Serial Peripheral Interface)
UART: 通用异步收发器(Universal Asynchronous Receiver/ Transmitter)
USB: 通用串行总线(Universal Serial Bus)
WLAN: 无线局域网(Wireless Local Area Network)
5 智能电视终端安全能力测试要求
5.1 测试条件
5.1.1 测试环境条件
温度:15℃~35℃.
相对湿度:25%~75%.
气压:86kPa~106kPa.
5.1.2 测试电源条件
电源:220×(1±10%)V,50×(1±2%) Hz.
5.1.3 测试网络条件
测试样机需要同外部互联网进行连接，出口带宽应在10 Mbps及以上。
5.1.4 被测样品状态设置
被测样品处于出厂设置状态。若不处于出厂设置状态，应恢复出厂设置状态。
5.2 硬件安全能力测试要求
5.2.1 终端惟一标识
测试内容：
硬件平台是否具有终端惟一标识。
测试顺序：
a） 由厂商提供唯一识别的产生机制，判别该机制所产生的标识是否具有唯一性，如否则测试结果为“不符合规定”，若具有唯一性，则进行下一步；
b） 通过厂商提供的唯一标识的读取方法，通过专用软件或指令读取两台被测样品的标识，如读取的标识不一致则测试结果为“符合规定”，否则为“不符合规定”。
5.2.2 固件防篡改能力
测试内容：
硬件平台是否具有固件防篡改的能力。
测试顺序：
a） 由厂商提供固件防篡改能力的实现机制说明；
b） 如果厂商实现机制是基于软件实现，则测试结果为“不符合规定”，否则进行下一步；
2
SJ/T 11897—2023
c） 使用工具对终端bootloader进行修改或对bootloader签名进行替换后，按照厂商提供的工具或指令进行固件安装，判断是否可以继续安装。若固件安装不成功，则测试结果为“符合规定”，否则为“不符合规定”。
5.2.3 安全存储区
测试内容：
硬件平台是否具有安全存储区。
测试顺序：
a） 由厂商提供具有安全存储区的声明；
b） 通过厂商声明，根据厂商使用的芯片，检查该芯片是否具有安全存储区，如有则测试结果为“符合规定”，否则为“不符合规定”
5.2.4 安全调试
测试内容： 1
硬件平台是否禁用调试接口或为调试接口设置安全访问控制。 9
测试顺序：
a） 由厂商提供调试接口和接口访问指令说明；
b） 检查暴露在PCB板上的JTAG、USB、UART、SPI等调试接口，参考）商提供的接口访问指令，使用测试工具尝试获取硬件平台调试权限；
c）如所有调试接口有了，我们需要授权，则测试结果为“符合规定”，否则为“不符合规定”。
5.3系统软件安全能力测试要求
5.3.1 应用软件下载安装
测试内容：
系统软件在下载安装应用软件时应提醒用户确认。
测试顺序：
a） 进入应用程序商店界面；
b） 随机点选一个软件，观察软件在下载和安装过程中是否有提示，如有则测试结果为“符合规定”，否则为“不符合规定”；
c） 如支持第三方软件安装，选择安装一个第三方软件，观察软件在安装过程中是否有该软件是第三方来源的提示。如有则测试结果为“符合规定”，否则为“不符合规定”。
5.3.2 系统软件远程升级
测试内容：
系统软件在远程升级时应有提示。
测试顺序：
a） 厂商提供远程升级机制说明，并提供系统软件远程升级包以及格式说明文档。若厂商不支持远程升级机制，则测试结果为“不符合规定”，否则进行下一步；
b） 通过DNS或HTTP劫持搭建远程升级测试环境；
c） 被测样品在进行升级过程中有系统软件升级的提示或在升级前让用户进行选择，则测试结果为“符合规定”，否则为“不符合规定”。
3
SJ/T 11897—2023
5.3.3 系统软件本地升级
测试内容：
系统软件在本地升级时应有提示。
测试顺序：
a） 厂商提供本地升级机制说明，由厂商提供系统软件本地升级包以及格式说明文档。若厂商不支持本地升级机制，则测试结果为“不符合规定”，否则进行下一步；
b） 把升级包拷贝到系统软件升级指定的目录下；
c） 进入系统升级界面，被测样品在进行本地升级过程中有系统软件升级的提示或在升级前让用户进行选择，则测试结果为“符合规定”，否则为“不符合规定”。
5.3.4 系统软件升级包验证
测试内容：
系统软件能够验证升级包的完整性、合法性。
测试顺序：
a） 厂商提供系统软件本地和远程升级机制说明，由厂商提供系统软件升级包以及格式说明文档；
b） 使用调试工具破坏升级包的任意内容，得到不完整的升级包；
c） 制作非授权签名的升级包，得到非法升级包；
d） 通过DNS或HTTP劫持替换不完整升级包或非法升级包搭建远程升级测试环境；通过把不完整升级包或非法升级包拷贝到系统软件本地升级指定的目录下搭建本地升级测试环境；
e） 进入系统升级界面，依次完成不完整的升级包和非法升级包本地升级和远程升级的测试过程；
f） 无论是系统软件本地升级，还是远程升级，被测样品的系统升级均无法正常完成，则测试结果为“符合规定”，否则为“不符合规定”。
5.3.5 恢复出厂状态
测试内容：
系统软件应提供将系统恢复到出厂状态的机制。在恢复出厂状态后，智能电视终端上不应遗留任何用户个人数据，包括用户自行安装的应用、应用数据、自动登录信息等。
测试顺序：
a） 厂商提供恢复出厂状态操作后的终端初始状态信息，包括预置应用清单、预置应用登录状态信息，配置初始页面等；
b） 进入系统界面，完成应用下载安装、预置应用登录、配置设置信息等操作后，根据厂商说明进行恢复到出厂状态的操作；
c） 恢复出厂状态操作完成后，关机、断电，30s后重新开机；
d） 对照终端初始状态信息，对被测样品恢复后的系统进行检查，审查智能电视终端上是否遗留任何用户个人数据，包括用户自行安装的应用、应用数据、自动登录信息等。如无遗留信息则测试结果为“符合规定”，否则为“不符合规定”。
5.3.6 系统根权限限制
测试内容：
系统根权限不应对应用层开放。
测试顺序：
a） 由厂商提供操作系统权限管理文档；
4
SJ/T 11897—2023
b） 检查被测样品操作系统是否在应用层对根权限进行了限制，如有则测试结果为“符合规定”，否则为“不符合规定”。
5.3.7 访问控制
测试内容：
系统软件应对网络、存储、文件等重要资源预置访问控制策略，未获得相应访问权限的应用软件不应访问超出其权限访问范围内的应用软件资源及系统资源。
测试顺序：
a） 审查厂商提供的访问控制策略和访问控制属性设置文档，是否包含对网络、存储、文件等重要资源的访问控制设置。如否则测试结果为“不符合规定”，否则是则进行下一步；
b） 根据访问控制策略内容，使用用户和应用软件访问策略所不允许访问的资源，检查系统是否拒绝非授权的访问。若是则测试结果为“符合规定”，否则为“不符合规定”。
5.3.8 漏洞修复
测试内容：
系统软件不应该存在CNVD和CNNVD6个月前公布且未经处置（比如消除漏洞、制定减缓措施等方式）的高危及以上的安全漏洞。
测试方法：
a） 使用已知漏洞扫描工具对系统软件进行漏洞检测，检测是否存在CNVD和CNNVD 发布6个月及以上的高危安全漏洞；
b） 若不存在高危漏洞，则测试结果为“符合规定”。否则若存在高危漏洞，则检查厂商是否提供该高危漏洞处置方案的技术文件，若有提供，则测试结果为“符合规定”，否则为“不符合规定”。
5.4 应用软件安全能力测试要求
5.4.1 应用软件来源识别
测试内容：
应用软件安装包中应包含能够标识其来源的信息，该信息应能够被系统软件识别和验证。
测试顺序：
a） 点击厂商预置的软件或官方应用程序商店下载的软件；
b） 安装应用软件；
c） 查看应用软件中是否有软件的来源信息，如有则测试结果为“符合规定”，否则为“不符合规定”。
5.4.2 预置应用软件内容安全
测试内容：
智能电视终端预置应用软件中不应有国家法律法规禁止的内容。
测试顺序：
a） 把被测样品恢复至出厂状态；
b） 使用专用测试软件对被测样品的本地内容（包括但不限于预置图片、文字、菜单、音视频、应用等）进行遍历检查，确认其是否包含国家法律法规禁止的内容，若无，则判断为“符合规定”，否则为“不符合规定”；
5
SJ/T 11897—2023
c） 使用专用测试软件对被测样品预置的应用进行遍历检查，确认其是否有传播国家法律法规禁止的信息内容，若无，则判断为“符合规定”，否则为“不符合规定”。
5.4.3 支付安全
测试内容：
智能电视终端应用软件涉及支付时，应采用合法的金融机构和合法第三方支付机构提供的安全支付接口。
测试顺序：
a） 厂商提供具有支付功能的软件名称；
b） 点击厂商预置的软件或官方应用程序商店下载安装相关软件；
c） 查看应用软件在进行支付操作时是否有提示所接入支付机构的名称。若否，则测试结果为“不符合规定”，若是，则执行下一步：
d） 检查所接入支付机构是否为中国人民银行许可的的支付机构，若是则测试结果为“符合规定”，否则为“不符合规定”
5.4.4 漏洞修复
测试内容：
预置应用软件不应该存在CNVD和CNNVD 6个月前公布且未经处置（比如消除漏洞、制定减缓措
合规定
测试内容：
智能电视终端预置应用软件涉及收集和使用用户数据时，应该遵循最小化原则，且在收集前向用户
b） 参考厂商提供的相关材料，判断收集的用户数据是否与预置软件业务有直接关联。预期结果为预置软件没有收集与其无直接关联的用户数据；
c） 点击厂商声明中涉及用户数据收集的预置软件，检查在收集用户数据前是否有向用户明示收集的目的、范围、频次、发生时机以及对应的业务使用场景并征得用户的同意。预期结果为在收集前有向用户明示并获得用户的授权同意；
d） 若没有预置软件收集用户数据，则测试结果为“符合规定”。若有收集用户数据行为，且b）、c）项都符合预期结果，则测试结果为“符合规定”。否则若b）项或c）项不符合预期结果，则测试结果为“不符合规定”。
5.4.6 用户数据的传输和存储
测试内容：
6
SJ/T 11897—2023
智能电视终端预置应用软件涉及用户敏感信息的传输和存储时，应采用加密等安全措施，避免非授权的访问。
测试顺序：
a） 审查厂商提供的涉及口令、录音、录像、生物特征识别等用户敏感数据传输和存储的相关说明文档，是否采用加密或访问控制等安全措施。预期结果为采用加密或访问控制等安全措施；
b） 通过厂商声明，若存在用户敏感信息存储，则尝试获取存储的用户敏感信息，判断是否有访问控制机制，若没有访问控制机制，查看获取到的数据是否有加密。预期结果为存在访问控制机制或数据被加密存储；
c） 通过厂商声明，若存在用户敏感信息传输，尝试获取传输的用户敏感信息，查看传输数据是否有加密。预期结果为数据被加密传输；
d） 若预置软件没有涉及用户敏感数据，则测试结果为“符合规定”。若a）、b）、c）项都符合预期结果，则测试结果为“符合规定”。否则若 a）、b）、c）项中有一项不符合预期结果，则测试结果为“不符合规定”。
注：用户敏感信息的判定参考GB/T 35273—2020 附录B.
5.5 外围接口与外设安全能力测试方法
5.5.1 外部存储设备连接提示
测试内容：
智能电视终端在插入外部存储设备时，系统软件应提示用户。
测试顺序：
a） 等待开机后进入稳定的界面；
b） 插入终端产品所支持的外部存储设备；
c） 查看终端界面在外部存储设备插入后是否提示用户有外部存储设备接入，如是则测试结果为“符合规定”，否则为“不符合规定”。
5.5.2 外部通信接口连接提示
测试内容：
智能电视终端通过WLAN、蓝牙等通信接口同外部设备连接时，系统软件应提示用户。
测试顺序：
a） 等待开机后进入稳定的界面；
b） 依次操作连接终端产品所支持的WiFi、蓝牙、有线等通信接口的外部设备；
c） 查看终端界面在外部连接后是否有提示用户有外部设备连接，如是则测试结果为“符合规定”，否则为“不符合规定”。
5.5.3 拍照、摄像及录音功能使用提示
测试内容：
智能电视终端在使用自有设备或外部设备的拍照、摄像及录音功能时，系统软件应全程提示用户。测试顺序：
a） 选择具有拍照、摄像、录音功能的应用软件；
b） 依次操作应用软件进行拍照、摄像、录音；
c） 查看终端在使用拍照、摄像及录音功能时是否全程有相应的提示，如是则测试结果为“符合规定”，否则为“不符合规定”。
7
SJ/T 11897—2023
参 考 文 献
[1] GB/T 35273—2020信息安全技术 个人信息安全规范
AA
STANDARDS