一、 标准必要性

（1）服务机器人市场份额大应用范围广，中国服务机器人销售额近年持续增长。

（2）安全风险多、危害大。服务机器人普遍存在控制系统漏洞、传感器安全风险、API漏洞、数据泄露风险

（3）信息安全标准缺失：当前服务机器人安全标准只考虑机械电气及功能安全，并未考虑安全。机器人信息安全标准关注了工业机器人，并未涉及服务机器人。

二、 标准可行性

该标准参编单位覆盖产、学、研、用，前期研制了《服务机器人信息安全通用技术规范》团体标准，研发了测试工具安全检测系统测试工具，基于团体标准和测试工具对扫地机器人进行了测试验证。

三、 标准适用范围

本标准规定了服务机器人信息安全要求和测试方法。

本标准适用于服务机器人信息安全的设计、实施、测评和加固。

特种机器人和医疗机器人参考使用。

四、 标准拟解决的问题

（1）信息安全指标空白。该标准主要考虑硬件的安全性，控制系统的可靠性、可审计性和可恢复性，数据存储和通信的机密性、完整性和可用性，应用程序的安全性和可靠性；涵盖硬件、控制系统、数据通信和应用程序等各个方面，评估服务机器人的安全性能、隐私保护、身份认证等关键要素。

（2）测试方法缺失。该标准综合考虑服务机器人系统中的身份验证机制、访问控制策略、数据安全存储、安全传输、备份和安全处理的测试内容；采取对恶意攻击和安全漏洞的管理措施，对系统进行安全审计、安全加固和安全更新。

五、 标准内容

（1）主要章节

范围、测试方法、规范性引用文件、术语与定义、符号和缩略语、系统构成、信息安全功能、信息安全要求、测试方法、附录A 信息安全防护能力分级。

（2）信息安全要求主要内容

服务机器人信息安全主要包括主机系统安全、操作终端安全、后台管理系统安全，主机系统安全包括硬件安全、控制系统安全、通信与数据安全和应用程序安全，操作终端安全包括通信与数据安全和应用程序安全，后台管理系统安全包括操作系统安全、通信与数据安全和应用程序安全。

对电动平衡车的绝缘、布线、短路安全、发热和抗电强度、充电接口保护、绝缘电阻等电气安全做出了规定。

以主机系统-控制系统身份验证测试为例，控制系统应具备身份验证机制，并具有抵御身份验证攻击的能力。测试步骤为：

a）访问控制系统远程登录服务，检查是否具备密码策略、数字证书、安全令牌等身份验证机制；

b）通过检查身份验证策略或者暴力破解、证书伪造等攻击方式检查是否具有强密码、限制尝试次数、账户锁定等抵御身份验证攻击的能力。

收集测试结果：记录测试过程中的各项指标和结果，包括是否具有身份验证机制，通过合法与非法的凭证输入、暴力破解等攻击手段来验证访问控制策略是否存在漏洞等。若其中一条不满足安全性要求则该测试项不通过。

六、 技术的先进性、创新性、产业化情况

（1）先进性

综合考虑服务机器人信息完整性、机密性和用户隐私保护等方面，涵盖服务机器人的各个环节，包括数据收集、存储、传输和处理等，以确保整个过程的安全性。对安全漏洞进行有效抵御，提供相应的安全要求和保障措施，以及安全配置和漏洞检测机制，以确保服务机器人的安全性。

（2）创新性

首创提出了面向服务机器人的信息安全标准指标，建立了服务机器人信息安全系统框架。根据当前的安全威胁和技术趋势，针对潜在的安全威胁增加对漏洞扫描工具、自动化工具的安全测试和评估方法。

（3）产业化情况

形成的检测工具可以在检测机构内推广使用。高校、创新性企业、创新联盟等可以依据标准内的测试方法提出更高的测试要求。

七、 国内外标准一致性程度，同步制定为国际标准的可行性等

本标准在国内外均处于领先水平，同步制定为国际标准具有较好的可行性。本标准基于ETSI EN 303 645 V2.1.1 (2020-06) 《Cyber Security for Consumer Internet of Things:Baseline Requirements》物联网消费品的网络安全：基线要求标准，进一步细化测试指标，并提出测试方法。

《服务机器人信息安全技术规范》符合现行的法律、法规。与现行的强制性国家标准及相关领域的标准没有冲突，作为安全类标准，与现有标准体系相符。