智能录音产品安全技术要求和测试评价方法

1　范围

本文件规定了智能录音产品的信息安全技术要求和测试评价方法。

本文件适用于智能录音产品的测试、评估及认证。

2　规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 25069 信息安全技术 术语

GB/T 32927 信息安全技术 移动智能终端安全架构

GB/T 35273 信息安全技术 个人信息安全规范

3　术语、定义和缩略语

3.1　术语与定义

GB/T 25069、GB/T 32927、GB/T 35273界定的以及下列术语和定义适用于本文件。

3.1.1　 

智能录音产品 smart recording products

基于人工智能技术，集高清录音、录音转文字、同声传译、云端存储等功能为一体的智能终端，是AI落地应用场景的代表性产品。

3.1.2　 

用户 user

使用移动智能终端，与移动智能终端进行交互的对象。

[来源:GB/T 32927-2016,3.1.11]

3.1.3　 

用户数据 user data

由用户产生或为用户服务的数据，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。

[来源:GB/T 32927-2016,3.1.12]

3.1.4　 

移动应用软件 mobile application

移动智能终端系统之上安装的、向用户提供服务功能的应用软件。

3.1.5　 

访问控制 access control

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。

[来源:GB/T 3927-2016,3.1.5]

3.1.6　 

授权 authorization

根据预先认可的安全策略，赋予主体可实施相应行为权限的过程。

[来源：GB/T 32927-2016,3.1.7,有修改]

3.1.7　 

数字签名 digital signature

附加在数据单元上的数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以证明数据单元的来源和完整性，并保护数据单元的发送者和接收者以防止数据被第三方伪造，保护发送者以防止被接收者伪造。

[来源:ISO/IEC 11770-3,2015,3.7]

3.2　缩略语

下列缩略语适用于本文件。

API:应用程序编程接口（Application Programming Interface）

WLAN:无线局域网（Wireless Local Area Network）

USB: 通用串行总线(Universal Serial Bus)

4　概述

智能录音产品安全对象主要包括6个部分：硬件、应用服务平台软件、系统软件、移动应用软件(以下简称“应用软件”)、通信接口和用户数据。硬件主要包括基础硬件模块、硬件接口和外设；应用服务平台软件主要包括终端激活、云数据存储、云计算等；系统主要包括硬件驱动、软件系统内核、各种函数库、基础服务等；应用软件主要包括运行在移动智能终端系统上的各种本地及Web应用，包括翻译类应用等各类应用软件；通信连接主要包括网络接入、通信过程、外围接口；用户数据包括移动智能终端上的用户数据及应用软件产生的用户数据。

智能录音产品集成了多媒体和无线通信等技术，通过APP支持、数据交互、云端交互可实现高清录音、录音转文字、同声传译等应用服务。智能录音产品主要包括可录音的终端设备、控制端应用和服务端平台，可通过控制端应用对终端设备的运行和使用进行管理和控制。

典型应用场景及逻辑架构图如图1所示。

图 1 智能录音产品TOE对象