中山市TBT預警防控平臺
——技術性貿易措施資源
美國擬實施物聯(lián)網(wǎng)設備標簽計劃
來源:廈門技術性貿易措施信息網(wǎng) 時間: 2023-10-07
隨著物聯(lián)網(wǎng)的發(fā)展,面臨的網(wǎng)絡安全風險的挑戰(zhàn)也變得嚴峻。物聯(lián)網(wǎng)設備存在多種安全性漏洞,,如繼續(xù)使用默認密碼,缺乏定期安全更新,,以及弱加密和不安全身份驗證等。這些漏洞使得網(wǎng)絡安全風險加劇。物聯(lián)網(wǎng)設備一旦受到安全破壞,,會影響整個物聯(lián)網(wǎng)體系,。基于此,,保護物聯(lián)網(wǎng)成了《國家網(wǎng)絡安全》中的重要支柱戰(zhàn)略,。2023年8月28日,美國公共和私營部門為物聯(lián)網(wǎng)行業(yè)發(fā)布了物聯(lián)網(wǎng)設備安全標簽計劃(下簡稱“該計劃”),。旨在幫助消費者識別,、比較不同物聯(lián)網(wǎng)設備的安全指數(shù)和級別,從而打造一個充滿良性競爭的物聯(lián)網(wǎng)生態(tài)系統(tǒng),。
此前,,美國國家標準與技術研究院(NIST)于2022年發(fā)布了一份白皮書,根據(jù)現(xiàn)有的消費品標簽計劃和不同利益相關者提供的信息,,確定了物聯(lián)網(wǎng)消費設備網(wǎng)絡安全能力的標簽標準,,并發(fā)布了一份關于為消費者物聯(lián)網(wǎng)產品創(chuàng)建網(wǎng)絡安全標簽計劃的總結報告。此外,,NIST還制作了一份《消費者物聯(lián)網(wǎng)產品的物聯(lián)網(wǎng)核心基線概況》的報告,,該報告確定了消費者物聯(lián)網(wǎng)領域通常需要的網(wǎng)絡安全功能,從而為消費者在購買物聯(lián)網(wǎng)產品時應該考慮什么提供了一個基準水平,。NIST確定了標簽計劃的關鍵要素,,包括鼓勵創(chuàng)新,實用性和不負擔,,以及其他要素,。
該計劃為自愿性質。這是鑒于物聯(lián)網(wǎng)市場的性質,。專家認為,,網(wǎng)絡安全標簽計劃的成功將取決于聯(lián)邦政府、行業(yè)和其他利益相關者之間的自愿,、密切的伙伴關系和合作。雖然該擬議計劃是自愿的,,但生產商須確保其物聯(lián)網(wǎng)設備和產品符合該計劃中提到的產品標準,。符合該計劃的物聯(lián)網(wǎng)產品將被授權使用委員會提出的新標簽,表明它們參與了該計劃并符合制定的標準,。帶有網(wǎng)絡安全標簽的設備將受到消費者的青睞,。
計劃界定了物聯(lián)網(wǎng)產品定義:物聯(lián)網(wǎng)設備和除基本操作功能外使用物聯(lián)網(wǎng)設備所必需的任何附加產品組件(例如,后端,、網(wǎng)關,、移動應用程序等)。計劃著重強調了通過輻射或感應產生和發(fā)射射頻能量的散熱器。如果被漏洞利用——可以被操縱來產生和發(fā)射射頻能量,,從而造成有害干擾,。
標準。計劃以NIST物聯(lián)網(wǎng)標準為基礎,。NIST的標準包括:(1)資產識別;(2)產品配置;(3)數(shù)據(jù)保護;(4)接口訪問控制;(5)軟件更新;(6)網(wǎng)絡安全狀態(tài)意識;(7)文檔;(8)信息查詢接收;(9)信息傳播;(10)產品教育和認知度,。NIST的物聯(lián)網(wǎng)標準,如產品配置,、接口訪問控制,、產品教育和意識、數(shù)據(jù)生產,、資產識別,、軟件更新、網(wǎng)絡安全狀態(tài)意識,、文檔,、信息和查詢接收等,以適當?shù)姆绞礁嬷畹臀锫?lián)網(wǎng)安全要求和標準,,以適合符合性評估,。
認證認可。計劃授權電信認證機構(tcb)為標簽計劃的監(jiān)督和管理者,,明確了認證認可實驗室的資質(在物聯(lián)網(wǎng)設備和產品的網(wǎng)絡安全測試和合格評定方面具有技術專長),、資源(擁有必要的設備、設施和人員,,可以對物聯(lián)網(wǎng)設備和產品進行網(wǎng)絡安全測試和符合性評估),、程序(有文件化的合格評定程序)。除了第三方測試之外,,評估活動還可以包括供應商對消費者物聯(lián)網(wǎng)設備的符合性聲明/自我認證,,其中根據(jù)物聯(lián)網(wǎng)設備或產品符合物聯(lián)網(wǎng)安全標準的全面審查發(fā)布聲明。物聯(lián)網(wǎng)設備和產品的符合性評估應基于合規(guī)性評估(任何測試和其他必要的評估),,其中包括物聯(lián)網(wǎng)設備或產品的制造商或進口商向第三方(如實驗室)提交的支持性文件和數(shù)據(jù),,并且第三方管理員可以授權僅對符合既定物聯(lián)網(wǎng)安全標準的設備使用物聯(lián)網(wǎng)安全標簽。