中山市TBT預(yù)警防控平臺(tái)
——技術(shù)性貿(mào)易措施資源
美國(guó)擬實(shí)施物聯(lián)網(wǎng)設(shè)備標(biāo)簽計(jì)劃
來(lái)源:廈門技術(shù)性貿(mào)易措施信息網(wǎng) 時(shí)間: 2023-10-07
隨著物聯(lián)網(wǎng)的發(fā)展,,面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的挑戰(zhàn)也變得嚴(yán)峻,。物聯(lián)網(wǎng)設(shè)備存在多種安全性漏洞,,如繼續(xù)使用默認(rèn)密碼,缺乏定期安全更新,,以及弱加密和不安全身份驗(yàn)證等,。這些漏洞使得網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加劇。物聯(lián)網(wǎng)設(shè)備一旦受到安全破壞,,會(huì)影響整個(gè)物聯(lián)網(wǎng)體系,。基于此,,保護(hù)物聯(lián)網(wǎng)成了《國(guó)家網(wǎng)絡(luò)安全》中的重要支柱戰(zhàn)略,。2023年8月28日,美國(guó)公共和私營(yíng)部門為物聯(lián)網(wǎng)行業(yè)發(fā)布了物聯(lián)網(wǎng)設(shè)備安全標(biāo)簽計(jì)劃(下簡(jiǎn)稱“該計(jì)劃”),。旨在幫助消費(fèi)者識(shí)別,、比較不同物聯(lián)網(wǎng)設(shè)備的安全指數(shù)和級(jí)別,,從而打造一個(gè)充滿良性競(jìng)爭(zhēng)的物聯(lián)網(wǎng)生態(tài)系統(tǒng)。
此前,,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)于2022年發(fā)布了一份白皮書,,根據(jù)現(xiàn)有的消費(fèi)品標(biāo)簽計(jì)劃和不同利益相關(guān)者提供的信息,確定了物聯(lián)網(wǎng)消費(fèi)設(shè)備網(wǎng)絡(luò)安全能力的標(biāo)簽標(biāo)準(zhǔn),,并發(fā)布了一份關(guān)于為消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品創(chuàng)建網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃的總結(jié)報(bào)告,。此外,NIST還制作了一份《消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品的物聯(lián)網(wǎng)核心基線概況》的報(bào)告,,該報(bào)告確定了消費(fèi)者物聯(lián)網(wǎng)領(lǐng)域通常需要的網(wǎng)絡(luò)安全功能,,從而為消費(fèi)者在購(gòu)買物聯(lián)網(wǎng)產(chǎn)品時(shí)應(yīng)該考慮什么提供了一個(gè)基準(zhǔn)水平。NIST確定了標(biāo)簽計(jì)劃的關(guān)鍵要素,,包括鼓勵(lì)創(chuàng)新,,實(shí)用性和不負(fù)擔(dān),,以及其他要素。
該計(jì)劃為自愿性質(zhì),。這是鑒于物聯(lián)網(wǎng)市場(chǎng)的性質(zhì),。專家認(rèn)為,網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃的成功將取決于聯(lián)邦政府,、行業(yè)和其他利益相關(guān)者之間的自愿,、密切的伙伴關(guān)系和合作。雖然該擬議計(jì)劃是自愿的,,但生產(chǎn)商須確保其物聯(lián)網(wǎng)設(shè)備和產(chǎn)品符合該計(jì)劃中提到的產(chǎn)品標(biāo)準(zhǔn),。符合該計(jì)劃的物聯(lián)網(wǎng)產(chǎn)品將被授權(quán)使用委員會(huì)提出的新標(biāo)簽,表明它們參與了該計(jì)劃并符合制定的標(biāo)準(zhǔn),。帶有網(wǎng)絡(luò)安全標(biāo)簽的設(shè)備將受到消費(fèi)者的青睞,。
計(jì)劃界定了物聯(lián)網(wǎng)產(chǎn)品定義:物聯(lián)網(wǎng)設(shè)備和除基本操作功能外使用物聯(lián)網(wǎng)設(shè)備所必需的任何附加產(chǎn)品組件(例如,后端,、網(wǎng)關(guān),、移動(dòng)應(yīng)用程序等)。計(jì)劃著重強(qiáng)調(diào)了通過(guò)輻射或感應(yīng)產(chǎn)生和發(fā)射射頻能量的散熱器,。如果被漏洞利用——可以被操縱來(lái)產(chǎn)生和發(fā)射射頻能量,,從而造成有害干擾。
標(biāo)準(zhǔn),。計(jì)劃以NIST物聯(lián)網(wǎng)標(biāo)準(zhǔn)為基礎(chǔ),。NIST的標(biāo)準(zhǔn)包括:(1)資產(chǎn)識(shí)別;(2)產(chǎn)品配置;(3)數(shù)據(jù)保護(hù);(4)接口訪問(wèn)控制;(5)軟件更新;(6)網(wǎng)絡(luò)安全狀態(tài)意識(shí);(7)文檔;(8)信息查詢接收;(9)信息傳播;(10)產(chǎn)品教育和認(rèn)知度。NIST的物聯(lián)網(wǎng)標(biāo)準(zhǔn),,如產(chǎn)品配置,、接口訪問(wèn)控制,、產(chǎn)品教育和意識(shí)、數(shù)據(jù)生產(chǎn),、資產(chǎn)識(shí)別,、軟件更新、網(wǎng)絡(luò)安全狀態(tài)意識(shí),、文檔,、信息和查詢接收等,以適當(dāng)?shù)姆绞礁嬷畹臀锫?lián)網(wǎng)安全要求和標(biāo)準(zhǔn),,以適合符合性評(píng)估,。
認(rèn)證認(rèn)可。計(jì)劃授權(quán)電信認(rèn)證機(jī)構(gòu)(tcb)為標(biāo)簽計(jì)劃的監(jiān)督和管理者,,明確了認(rèn)證認(rèn)可實(shí)驗(yàn)室的資質(zhì)(在物聯(lián)網(wǎng)設(shè)備和產(chǎn)品的網(wǎng)絡(luò)安全測(cè)試和合格評(píng)定方面具有技術(shù)專長(zhǎng)),、資源(擁有必要的設(shè)備、設(shè)施和人員,,可以對(duì)物聯(lián)網(wǎng)設(shè)備和產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全測(cè)試和符合性評(píng)估),、程序(有文件化的合格評(píng)定程序)。除了第三方測(cè)試之外,,評(píng)估活動(dòng)還可以包括供應(yīng)商對(duì)消費(fèi)者物聯(lián)網(wǎng)設(shè)備的符合性聲明/自我認(rèn)證,,其中根據(jù)物聯(lián)網(wǎng)設(shè)備或產(chǎn)品符合物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的全面審查發(fā)布聲明。物聯(lián)網(wǎng)設(shè)備和產(chǎn)品的符合性評(píng)估應(yīng)基于合規(guī)性評(píng)估(任何測(cè)試和其他必要的評(píng)估),,其中包括物聯(lián)網(wǎng)設(shè)備或產(chǎn)品的制造商或進(jìn)口商向第三方(如實(shí)驗(yàn)室)提交的支持性文件和數(shù)據(jù),,并且第三方管理員可以授權(quán)僅對(duì)符合既定物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的設(shè)備使用物聯(lián)網(wǎng)安全標(biāo)簽。