物联网设备安全审核合同协议书

物联网设备安全审核合同

合同编号： WGGSCA-2024-0001

签订日期： 2024 年 07 月 11 日

签订地点： 北京市 朝阳区

甲方（委托方）： 文稿稿

• 法定代表人/负责人： 文稿稿
• 统一社会信用代码/身份证号： 91110105MA01K58888 （示例，请根据实际情况修改）
• 住所/住址： 北京市朝阳区某某街道某某号某某大厦某某室（示例，请根据实际情况修改）
• 联系电话： 95022435
• 电子邮箱： mail@wengaogao.com
• 网站： wengaogao.com

乙方（受托方）： [请在此处填写乙方公司全称]

• 法定代表人/负责人： [请在此处填写乙方负责人姓名]
• 统一社会信用代码/身份证号： [请在此处填写乙方统一社会信用代码]
• 住所/住址： [请在此处填写乙方详细地址]
• 联系电话： [请在此处填写乙方联系电话]
• 电子邮箱： [请在此处填写乙方电子邮箱]

鉴于：

1. 甲方是一家从事[示例：智能家居产品研发与销售]的企业，需要对其开发的物联网设备进行全面的安全审核，以确保设备及相关系统的安全性、稳定性、可靠性以及符合相关法律法规的要求。
2. 乙方是一家专业的网络安全服务提供商，拥有丰富的物联网设备安全审核经验和专业技术团队，能够提供符合甲方要求的安全审核服务，并具备相应的资质和能力。

双方本着平等互利、诚实信用的原则，经友好协商，达成如下协议，以资共同遵守：

第一条：服务内容

1. 审核对象： 甲方提供的 WGG-SMART-DEV-001 型物联网设备（以下简称“设备”），共计 100 台。具体设备序列号清单见附件一：《设备清单》。
2. 审核范围： 本次安全审核覆盖设备的全生命周期安全，包括但不限于硬件安全、软件/固件安全、通信安全、数据安全、云平台安全（如适用）、远程控制与管理安全以及安全审计日志等方面。具体内容如下：

• 硬件安全：

• 物理安全： 对设备外壳、接口、内部电路板等进行物理安全检查，评估是否存在物理篡改、未经授权访问的风险。具体检查包括：外壳是否易于在不留下明显痕迹的情况下拆卸；是否存在未授权的调试接口（如JTAG、UART等）且未进行物理屏蔽或禁用；电路板是否存在飞线或不明元器件；是否存在可用于数据提取的存储介质（如SD卡、eMMC等）且未进行加密或物理保护。
• 芯片安全： 对设备主控芯片（型号：[示例：ESP32]）、存储芯片（型号：[示例：W25Q128]）、通信芯片（型号：[示例：SIM7600]）等关键芯片进行安全分析，评估是否存在已知的安全漏洞、后门或恶意代码。具体分析包括：芯片型号识别；固件提取与分析（使用编程器或其他非破坏性方式）；调试接口分析（确认是否已禁用或采取安全措施）；加密算法分析（确认是否使用安全强度足够的算法和密钥长度）。

启动安全： 验证设备启动过程的安全性，确保设备启动时加载的固件未被篡改，防止恶