网络安全认证

更新时间:2024-06-14 06:06:24下载pdf

随着全球各国家和地区新法规的发布,网络安全认证在 IoT 行业中越来越被品牌方和买方市场重视。目前,全球范围内现有网络安全规定的国家与地区,普遍认为是以欧洲为起点,然后拓展到全球区域。本文介绍全球 IoT 产品网络安全认证标准。

安全认证介绍

网络安全可以简单地分为两块,数据安全和通信安全。

  • 数据安全:保护个人隐私数据以及设备的敏感数据。
  • 通信安全:IoT 产品可能会遇到的黑客攻击,从中对可能被攻击暴露面的评估,对漏洞防护机制的考量。
国家和地区 法规标准 强制时间 管控范围
欧盟 RED 指令网络安全要求(EU) 2022/30 3(3)(d/e/f) 2025 年 8 月 1 日 在 RED 指令下的大多数物联网设备,例如智能家居、手机和联网可穿戴设备等。但不包含其他特定指令监管的设备,例如汽车、医疗器械、民航和铁路相关的系统。
欧盟 消费类物联网产品的网络安全基线要求 ETSI EN 303 645 自愿性(全球认可度高,被许多国家 直接采用/广泛引用 消费类物联网产品
英国 产品安全和电信基础设施法案 PSTI 2024 年 4 月 29 日 绝大多数消费类物联网产品,例如智能手机、智能家电、智能家居助理、可穿戴健身追踪器、户外休闲产品、联网儿童玩具和婴儿监视器等,但不包括台式机和笔记本电脑、车辆、智能电表、电动汽车充电点和医疗设备。
英国 英国国家电网并网标准(含网安要求) EREC G99、G98 2019 年 4 月 27 日 G98 适用于微型发电模组(每相不超过 16A)
G99 适用于除 G98 以外的设备
芬兰 网络安全标签计划 自愿性 智能联网产品
德国 IT 安全标签 自愿性 物联网设备
美国 物联网网络安全改进法案 H.R.1668
公法法案第 116-207 号
2020 年 12 月 4 日 物联网设备(主要是联邦政府使用的物联网设备)
(美国)加州
(美国)俄勒冈州
AB 1906/SB 327 法案
HB 2395 法案
2020 年 1 月 1 日 销售的联网类产品
美国 物联网设备网络安全能力核心基准 NISTIR 8259A 自愿性(美国认可度高) 物联网设备
美国 消费类物联网产品的物联网核心基线 NISTIR 8425 自愿性(美国认可度高) 消费类物联网产品
新加坡 家用路由器网络安全要求 IMDA TS RG-SEC 2021 年 4 月 12 日 家用路由器和家用网关
新加坡 蜂窝设备防范网络风暴的安全要求 IMDA TS CD-SEC 2023 年 1 月 2 日 蜂窝设备
新加坡 网络安全标签计划 CLS 2020 年 3 月,部分强制
  • Level 1:家庭路由器和网关为 强制要求
  • 其他 IoT 产品自愿申请,例如 IP 摄像头、智能门锁、智能灯和智能打印机
日本 MIC Article 34-10 修正案 2020 年 4 月 1 日 使用互联网协议和可配置的专用通信线路终端设备,包括路由器、Web 摄像头等
越南 消费类物联网产品网络安全要求 736/QĐ-BTTTT 自愿性 消费类物联网产品
巴西 电信设备网络安全要求法案 Act 77/2021 2021 年 7 月 1 日 所有通过 Internet 发送/接收数据的终端设备和电信网络基础设施设备
巴西 CPE 设备网络安全要求第 2436 号法案 Act 2436/2023 2024 年 3 月 10 日
  • 电缆调制解调器
  • xDSL 调制解调器
  • 光网络单元(ONU)和光网络终端(ONT)
  • 用于固定无线接入的路由器或调制解调器
  • 用于通过卫星进行固定宽带接入的路由器或调制解调器
  • 无线路由器或接入点
澳洲 消费类物联网设备的安全最佳实践准则 Code of Practice 自愿性 消费类物联网产品
全球 家用和类似用途电器的安全第 1 部分:通用要求 IEC 60335-1:2020(Ed. 6.0) 附录 U 待定,各国的法规和标准会参考 IEC 标准,但是否采用标准中的附录 U 并将其作为强制要求可能因国家而异 智能家电产品
  • 美国加州 SB 327 和 AB 1906 分别为参/众两院的法案编号,实质为同一份法案。
  • 美国公法法案 116-207 要求美国国家标准技术研究院(NIST)制定并发布有关解决与物联网设备开发、管理、配置和修补有关的标准和指南。

ETSI EN 303 645

作为当前全球最通用网络安全标准,EN 303 645 为连接互联网的消费类产品建立安全基线,旨在解决最重要和最广泛的网络安全问题,保障用户隐私,防止对基本设计缺陷而进行的网络攻击,并为 IoT 产品网络安全认证提供基础标准,以及支撑 产品端的欧盟 GDPR 合规。该标准涵盖了设备、通信以及个人数据保护的安全要求。标准中总共有 15 个大章节:

网络安全认证

EN 303 645 标准被许多国家直接采用或引用,也因为各国的网络安全要求和 EN 303 645 有较高的重合度,例如芬兰、新加坡、越南、巴西、英国、日本等国。产品完成了 EN 303 645 认证后,通过补充差异测试的方法,可以符合多个国家和地区的网络安全法规要求。

网络安全认证
  • 欧盟 EN 303 645 和日本 MIC Article 34-10 的差异对比(标绿为重合项):

    网络安全认证
  • 欧盟 EN 303 645 和新加坡 IMDA TS RG-SEC 的差异对比(标绿为重合项):

    网络安全认证
  • 欧盟 EN 303 645 和巴西 Act 77/2021 的差异对比(标绿为重合项,标黄为具体要求不同):

    网络安全认证
  • 欧盟 EN 303 645 和美国 NISTIR 8259A 的差异对比(标绿为重合项):

    网络安全认证
  • 新加坡的网络安全标签分为 4 个等级,分别对应满足 EN 303 645 的条款数。
  • 芬兰认可 EN 303 645 的认证测试结果,可以直接申请芬兰的网络安全标签。
  • 巴西的网络安全合规评估项跟 EN 303 645 高度重合。
  • 英国的 PSTI 法案也引用了 EN 303 645 中的条款。
    • 禁止通用默认密码(EN 303 645 5.1-1 和 5.1-2)
    • 实施漏洞披露管理(EN 303 645 5.2-1)
    • 产品安全更新服务透明化(EN 303 645 5.3-13)

NISTIR 8425 和 NISTIR 8259A 区分

  • NISTIR 8259A:物联网设备网络安全能力核心基准。
  • NISTIR 8425:消费类物联网产品的物联网核心基线。

NISTIR 8259A 和 NISTIR 8425 可支撑 IoT 产品符合美国联邦和各州的法案,NISTIR 8425 还可支撑产品申请美国试点中的网络安全标签。

NISTIR 8259A 设备核心安全要求

NISTIR 8259A 设备核心安全要求由六个部分组成:

网络安全认证
  • 设备标识。作为设备的身份标识,实现对设备的管理,杜绝设备伪造。
  • 设备安全配置。授权主体配置设备的安全参数,保障设备的安全性。
  • 数据保护。对用户数据和安全配置数据,从传输到存储的保护要求,防止数据被泄露或篡改。
  • 逻辑接口接入授权。要求对逻辑接口部署授权机制,防止未授权的恶意访问。
  • 软件/固件升级。要求实施安全的升级过程,以防止攻击者对设备进行恶意的固件和软件更新,从而导致进一步的网络安全事件。
  • 安全事件日志。要求实施安全事件日志能力,实现对网络安全事件或隐患的排查以及漏洞补丁管理能力。

NISTIR 8425 产品核心安全要求

NISTIR 8425 产品核心安全要求由六个部分组成:

网络安全认证
  • 资产识别。识别物联网产品及其组件的能力,对于资产管理的更新、数据保护和事件响应的数字取证。
  • 产品配置。具有修改物联网产品配置的权限可以帮助用户根据他们的需求和目标定制物联网产品功能,用户可以根据风险偏好配置产品。
  • 数据保护。对用户数据和安全配置数据,从传输到存储的保护要求,防止数据被泄露或篡改。
  • 逻辑接口接入授权。要求对逻辑接口部署授权机制,防止未授权的恶意访问。
  • 软件/固件升级。要求实施安全的升级过程,以防止攻击者对设备进行恶意的固件和软件更新,从而导致进一步的网络安全事件。
  • 网络安全态势感知。物联网产品可捕获和记录有关物联网组件状态的信息,这些信息可用于检测网络安全事件,或检测受物联网产品组件及其存储和传输数据的影响程度。

NIST8259A 和 NISTIR 8425 主要的差别为:

  • NISTIR 8259A 的测试主体是设备本身。
  • NISTIR 8425 的测试主体包括设备、App 和云。
  • NISTIR 8425 的安全要求在 NISTIR 8259A 中全部涵盖,但 NISTIR 8425 的测试范围更广,包含 App 和云也在技术要求范围内。

新加坡,德国和芬兰网络安全标签互认机制

网络安全标签是为了让消费者快速识别智能产品特定的安全信息,帮助消费者筛选那些不易受网络安全攻击的可信设备,保护消费者合法权益。

网络安全标签图片示例如下:

芬兰 德国 新加坡
网络安全标签 网络安全认证 网络安全认证 网络安全认证

新加坡网络安全标签计划 CLS

新加坡网络安全局(CSA)制定发布了 CLS,针对智能家居设备,标签分成四个等级,旨在标明家用电器和智能家居设备的网络安全级别。

网络安全认证 网络安全认证

互认机制:新加坡和芬兰

新加坡和芬兰在 2021 年签署了一份谅解备忘录(MoU),以便相互承认由新加坡网络与信息安全局(CSA)和芬兰交通与通信管理局(Traficom)颁发的网络安全标签。根据该谅解备忘录,符合芬兰网络安全标签要求的消费类物联网产品将被认定为已符合新加坡网络安全标签计划的 第 3 级 要求,而具有 CLS 第 3 级 及以上要求的产品将被芬兰认可为已符合其要求。

消费类物联网产品的 第 3 级第 4 级 应用可同时获得新加坡网络安全标签计划标签和芬兰网络安全标签,只需进行一次申请过程。

互认机制:新加坡和德国

新加坡和德国在 2022 年签署了一份相互承认安全标签的协议(MRA),以便相互承认由新加坡网络与信息安全局(CSA)和德国联邦信息安全办公室(BSI)颁发的网络安全标签。根据该协议,获得德国 IT 安全标签的智能消费者产品将被 CSA 认定为已满足新加坡网络安全标签计划的 第 2 级 要求,而具有 CLS 第 2 级 及以上要求的产品将被德国认可为已满足其要求。

网络安全标签的相互承认将适用于面向消费者使用的设备,如智能摄像头、智能电视、智能扬声器、智能玩具、智能花园和家庭机器人、家庭自动化的网关和中心、健康追踪器、智能照明、智能插头(智能电源插座)和智能温控器。

国家 相互认可
芬兰网络安全标签 新加坡网络安全标签 第 3 级 及以上
德国 IT 安全标签 新加坡网络安全标签 第 2 级 及以上