T/CVIA 108.11-2023 智能电视信息安全 软件日志安全技术要求和评测方法

　　团 体 标 准

　　T/CVIA 108.11-2023

　　智能电视信息安全

　　软件日志安全技术要求和评测方法

　　Smart TV information security

　　Technical requirements and evaluation methods of log security for software

　　2023-12-06 发布 2023-12-06 实施

　　中国电子视像行业协会 发布

　　目 次

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规则起草。

　　请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。

　　本文件由中国电子视像行业协会提出并归口。

　　本文件主要起草单位： 深圳市酷开网络科技股份有限公司、深圳创维-RGB 电子有限公司、聚好看科技股份有限公司、海信视像科技股份有限公司、四川虹魔方网络科技有限公司、深圳 TCL 新技术有限公司、深圳市易平方网络科技有限公司、康佳集团股份有限公司、深圳康佳电子科技有限公

　　司、中家院(北京)检测认证有限公司、厦门厦华科技有限公司、深圳市雷鸟网络科技有限公司。

　　本文件主要起草人： 马万铮、李阳、郝亚斌、冯晓曦、彭健锋、王怀利、彭庆雄、郑梁、姜海辉、董家龙、王志刚、彭一亮、赵燕伟、张东东、佘桂海、薛元、林恺杰、张利利、王佳敏。

　　本文件是首次发布。

　　引 言

　　随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，人们进入了大数据时

　　代，电视也从普通电视发展为现在的智能电视，智能电视也进入了大数据时代。截止到 2022 年国内智能电视的保有量已经超过 4 亿台，智能电视的信息安全也关系到咱们国家的信息安全，也关系到亿万观众者的合法利益。这也是全生态发展到一定阶段的突出问题。

　　智能电视信息安全保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力，同时也为我国数字化经济成功转型与健康、安全发展的强大保障力量提供了基础，也让人民群众在信息化发展中有更多获得感、幸福感、安全感。

　　为进一步加强行业自律，完善智能电视信息安全和用户信息保护体系，保障消费者权益，促进行业健康有序发展，根据智能电视产品的实际情况和市场的发展趋势，在工信部电子信息司消费电子处的指导下，2022 年 5 月中国电子视像行业协会立项《智能电视操作系统个人信息保护要求和评测方

　　法》等十三部团体标准，开展智能电视信息安全系列标准的制定。智能电视信息安全系列标准分别包括《智能电视信息安全 操作系统个人信息保护要求和评测方法》、《智能电视信息安全 操作系统权限管理技术要求和评测方法》、《智能电视信息安全 操作系统数据存储安全技术要求和评测方法》、 《智能电视信息安全 固件安全技术要求和评测方法》、《智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》、《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方

　　法》、《智能电视信息安全 操作系统开源软件及第三方库使用安全技术要求和评测方法》、《智能电视信息安全 应用程序个人信息保护要求和评测方法》、《智能电视信息安全 应用程序采集必要个人信息范围》、《智能电视信息安全 操作系统启动和更新安全技术要求和评测方法》、《智能电视信息安全 操作系统网络访问技术要求和评测方法》、《智能电视信息安全 软件日志安全技术要求和评测方法》。

　　《智能电视信息安全 软件日志安全技术要求和评测方法》规定了智能电视软件日志的分类、分级，并从日志存储、日志打印、日志销毁动作提出技术要求，防止通过日志泄露用户信息。

　　智能电视信息安全

　　软件日志安全技术要求和评测方法

　　1 范围

　　本文件规定了智能电视软件的日志安全技术要求及评测方法。结合智能电视软件日志的特点，提出适合智能电视的日志安全技术要求，规范了智能电视软件的日志存储、打印、销毁等动作，防止泄露用户个人信息数据。

　　本文件适用于智能电视产品，其他具有操作系统的智能终端(如智能机顶盒，智慧屏等)也可以参考使用。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 35273-2020 信息安全技术 个人信息安全规范

　　T/CVIA 29-2014 智能电视机总规范

　　3 术语、定义和缩略语

　　3.1 术语和定义

　　T/CVIA 29-2014 、GB/T 35273-2020 界定的以及下列术语和定义适用于本文件。

　　3.1.1

　　智能电视 smart television

　　智能电视机是具有操作系统，支持第三方应用资源实现功能扩展，支持多网络接入功能，具备智能人机交互、与其它智能设备进行交互的电视机。

　　3.1.2

　　个人信息 personal information

　　以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

　　注 1：个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。

　　[来源：GB/T 35273-2020 ，3.1，有修改]

　　3.1.3

　　应用程序 application program

　　运行在智能电视操作系统之上，向用户提供各个功能和服务的应用程序。

　　3.1.4

　　系统日志 system log

　　智能电视操作系统记录系统中硬件、软件发生的事件。

　　3.1.5

　　应用程序日志 application program log

　　智能电视应用程序记录应用内部发生的事件。

　　3.1.6

　　安全日志 security log

　　智能电视操作系统记录智能电视与外部设备发生连接或控制的事件，以及智能电视操作系统记录应用程序权限申请的事件。

　　3.2 缩略语

　　ADB：安卓调试桥(Android Debug Bridge)

　　Wi-Fi：移动热点(Wi-Fi)

　　AP：无线访问节点(Access Point)

　　4 概述

　　智能电视软件日志分为：系统日志、应用程序日志、安全日志，每项日志根据内容重要程度分为错误日志、警告日志、提示日志、调试日志。本文从日志的存储、打印及销毁对每类日志进行规范要求，以最大化保障用户信息安全。

　　5 技术要求

　　5.1 日志等级划分

　　智能电视软件日志应针对内容重要程度设定至少如下级别：

　　a. 错误日志：操作系统或应用程序发生异常影响用户使用时记录的日志等级为错误日志;

　　b. 警告日志：操作系统或应用程序发生非预期运行情况，但一般不影响用户使用时记录的日志等级为警告日志;

　　c. 提示日志：操作系统或应用程序正常运行中记录的重要事件;

　　d. 调试日志：开发人员调试时查看的信息。

　　5.2 日志存储要求

　　a. 智能电视软件存储日志时，应当对用户个人信息脱敏，避免用户个人信息泄露;

　　b. 系统日志及安全日志应存储至系统数据区域，遵循操作系统权限管理要求，不应被应用程序读取或修改;

　　c. 应用程序日志应存储至应用自身数据区域，遵循操作系统权限管理要求，不应被其它应用程序读取或修改;

　　d. 安全日志需存储在掉电非易失存储介质中，建议保存 15 天以上以便追溯;

　　e. 安全日志包括并不限于：投屏、ADB 连接、Wi-FiAP 热点连接、蓝牙连接、远程控制等与外部设备产生交互时事件记录，应用程序访问系统数据、访问物理设备等申请的权限事件记

　　录;

　　f. 安全日志存储信息包括但不限于：事件发生时间、事件发起或申请者、相关行为等。

　　5.3 日志打印要求

　　a. 智能电视软件在调试终端打印输出日志时，打印涉及用户个人敏感的信息需进行脱敏化处理;

　　b. 智能电视设备出厂时默认应仅可打印提示日志、警告日志及错误日志。

　　5.4 日志传输要求

　　a. 智能电视操作系统需限制日志数据仅通过客服软件并经用户同意后才可上传日志。

　　5.5 日志销毁要求

　　a. 智能电视操作系统需提供日志销毁途径，如存储空间清理或恢复出厂设置等，可由用户销毁所有日志信息。

　　6 评测方法

　　6.1 日志等级划分

　　a) 评测标准：5.1 日志等级划分。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态，打开调试开关或进入开发调试模式。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，查看日志打印内容。

　　d) 期望结果：

　　1) 步骤 1 后： 日志内容具有错误日志、警告日志、提示日志、调试日志，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.2 日志存储要求

　　6.2.1 日志存储脱敏要求

　　a) 评测标准：5.2 日志存储要求第 a 条。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，查看所有已产生的日志内容。

　　d) 期望结果：

　　1) 步骤 1 后：存储日志内容无用户个人信息明文显示，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.2.2 系统及安全日志存储权限要求

　　a) 评测标准：5.2 日志存储要求第 b 条。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，检查系统日志及安全日志存储路径，通过应用程序进行读取和写入。

　　d) 期望结果：

　　1) 步骤 1 后：应用程序无法读取和写入系统日志及安全日志存储目录，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.2.3 应用程序日志存储权限要求

　　a) 评测标准：5.2 日志存储要求第 c 条。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，通过 A 应用生成应用程序日志文件，由B 应用进行读取和写入。

　　d) 期望结果：

　　1) 步骤 1 后：B 应用无法读取和写入 A 应用生成的日志文件，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.2.4 安全日志存储介质要求

　　a) 评测标准：5.2 日志存储要求第 d 条。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，查看日志存储介质;

　　a) 期望结果：

　　1) 步骤 1 后： 日志存储介质为掉电非易失存储，则评测结果为“符合要求”，否则为“不符合要求”;

　　6.2.5 安全日志范围要求

　　a) 评测标准：5.2 日志存储要求第 e 、f 条。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，依次使用涉及安全日志记录的功能，查看安全日志内容。

　　d) 期望结果：

　　1) 步骤 1 后：相关功能均有对应日志产生且日志内容包含产生时间、发起者、事件详情，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.3 日志打印要求

　　6.3.1 日志打印脱敏要求

　　a) 评测标准：5.3 日志打印要求第 a 条。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：通过调试终端抓取日志打印，查看日志打印内容。

　　d) 期望结果：

　　1) 步骤 1 后：打印内容无用户个人信息明文数据，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.3.2 日志打印出厂要求

　　a) 评测标准：5.3 日志打印要求第 b 条。

　　b) 前置条件：智能电视处于出厂正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：通过调试终端抓取日志打印，查看日志打印内容。

　　d) 期望结果：

　　1) 步骤 1 后： 日志打印内容中无调试级别打印，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.4 日志传输要求

　　a) 评测标准：5.4 日志传输要求。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，查看是否仅有客服类应用具备上传日志功能;

　　2) 步骤 2：选择抓取日志反馈问题查看是否有用户同意过程。

　　d) 期望结果：

　　1) 步骤 1 后：仅有客服类应用具备日志上传功能，则评测结果为“符合要求”，否则为“不符合要求”;

　　2) 步骤 2 后：上传日志前会有弹窗或其他方式经用户同意后才执行上传动作，则评测结果为“符合要求”，否则为“不符合要求”。

　　6.5 日志销毁要求

　　a) 评测标准：5.5 日志销毁要求。

　　b) 前置条件：智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：根据产品说明，执行日志销毁功能，查看日志是否存在。

　　d) 期望结果：

　　1) 步骤 1 后：销毁后日志不存在，则评测结果为“符合要求”，否则为“不符合要求”。