0371-63319761
您的当前位置:主页 > 安全研究 > 太阳城娱乐 >

美欧联手推动物联网安全重大合作,中国版物联网

时间:2024-02-04

美欧联手推动物联网安全重大合作,中国版物联网安全标签计划推出刻不容缓
 
在近期举办的CES 2024展会上,美国负责网络和新兴技术的副国家安全顾问Anne Neuberger宣布,美国已与欧盟签署了一项“关于消费者标签计划联合路线图”的合作协议,推动消费物联网设备安全标签计划的国际互认。
 
美国官员所说的标签计划,是2021年5月拜登政府发布的网络安全行政命令的一部分。这一标签计划名为“U.S. Cyber Trust Mark”,推动符合安全标准的物联网智能设备包装上显示网络安全信任标识,就像目前已经被广泛认可的“能源之星”标签为节能电子和电器产品粘贴标签一样。
 
笔者曾在2023年7月对美国发起的这一物联网安全标签计划进行解读,另外目前已有多个国家启动了物联网安全标签计划或推动物联网产品安全法案制定。本次美国和欧盟正式联手,迈出了里程碑式的一步,开启了物联网安全标签计划在全球更大范围的应用和认可。物联网产品尤其是消费物联网产品安全问题一直是各国政府高度关注的一个焦点,物联网安全标签计划是一种具有商业可行性和能够快速落地的方案,全球合作和协同的开启,加速这一方案快速落地。
 
中国拥有全球规模最大的物联网产业生态,物联网产品出货量也是全球最高,其中大量消费物联网产品也是面向海外市场。美欧联手推动物联网安全标签计划,毫无疑问会在很大程度上对我国物联网产品尤其是出海的产品产生显著影响。本文将对海外主要经济体物联网标签计划和这一计划对我们的启示进行研究,希望能对国内业界提供一些参考。
 
一、发达经济体推动物联网安全的典型做法
 
随着物联网连接数快速增长,全球各国越来越多的家庭和个人开始拥有各类联网类设备,这些物联网设备的网络安全隐患也日益增长。各国政府为了帮助消费者筛选那些不易受网络安全攻击的可信设备,保护消费者合法权益,采取各类措施,总结起来是2类比较典型的措施:针对物联网产品的安全标签计划和针对物联网产品安全的专门法案。第一类更倾向于市场化手段实施,具有自愿性特点,美国、德国、芬兰、新加坡等为主要代表;第二类通过正式立法形式推动,具有强制性特点,欧盟、英国等采取这一方式。
 
(一)标签计划由来已久,多个国家早就开始实践
 
1、美国:酝酿已久的物联网安全标签计划,提升全球影响力

对于物联网安全威胁,美国政策制定者很早就意识到了其重要性,在过去近10年时间里持续推动各项重要工作,其中也包括推动物联网的立法。例如2018年9月,美国加利福尼亚州批准通过了《太阳城娱乐》,虽然只是加州的法律,但这是美国推出的首部物联网安全专门的立法,具有划时代意义,标志着对物联网安全监管取得实质性进展。2020年12月,时任美国总统特朗普正式签署《太阳城娱乐》,成为美国首个全国范围内的物联网安全法律。
 
虽然《太阳城娱乐》是以立法形式推出,但这一立法只是对联邦政府使用的物联网设备的最低标准,还没形成有面向全国范围的物联网网络安全监管框架和标准。2021年,美国总统拜登签发了《亚洲信誉品牌的大型娱乐平台》,该行政令中强调了改善物联网安全的必要性,并要求启动消费物联网标签计划。这一行政命令代表了美国对于改善全国物联网网络安全更广泛的举措,为物联网产品设定了安全标准、明确了机构责任。相关要求包括:
 
在本命令发布后的270天内,商务部长通过NIST局长与联邦贸易委员会(FTC)主席和NIST局长认为适当的其他机构的代表进行协调,确定消费者标签计划的物联网网络安全标准,并考虑此类消费者标签计划是否可以与任何符合适用法律的类似现有政府计划一起运作或复制。这些标准应反映产品可能经历的越来越全面的测试和评估水平,并应使用或兼容制造商用来告知消费者其产品安全性的现有标签方案。NIST总监应检查所有相关信息、标签和激励计划,并采用最佳实践。该审查应关注消费者的易用性,并确定可以采取哪些措施来最大限度地提高制造商的参与度。
 
在这一行政命令的驱动下,美国的物联网安全标签计划紧锣密鼓地推动起来。2022年10月,白宫召集了来自于物联网企业、高校、第三方协会和多个政府部门就物联网安全标签计划召开会议,其中提出了参考“能源之星(Energy Star)”计划来推动物联网安全标签计划。
 
2023年7月,美国宣布“U.S. Cyber Trust Mark”计划将于2024年正式启动,并进一步明确标签计划推进的一些细节,主要包括:
 
(1)标签计划覆盖的产品以消费物联网为主
 
该计划前期重点针对消费类物联网产品,包括智能冰箱、智能空调、智能电视、智能温控器、健身追踪器等家庭物联网设备,并已开始着手定义消费级路由器安全标准,未来也会将路由器纳入认证标签计划中;同时,美国能源部也宣布合作计划,研究和制定智能电表和电力逆变器的网络安全标签要求。
 
(2)以产品包装上粘贴标签和二维码形式为消费者提供相关信息
 
计划通过产品标签形式实施,标签包括两部分,一个是粘贴或印刷在产品包装盒上的标识,另一个是二维码,通过这两部分内容,消费者可以获取所买物联网产品的安全信息。以下图片是标签的示例。
 
 
标签计划推进组织已向美国专利商标局提交申请,正在为该计划申请独特的标识商标,是独特的盾牌标识的形状,粘贴于符合既定网络安全标准的产品上,表明产品已按标准通过网络安全认证。同时,该标签也会附上二维码,可以链接该设备安全认证平台,为消费者提供关于这些智能产品具体和可比的安全信息,包括收集了哪些传感器数据、哪些数据被共享、如何应对安全更新,例如消费者在新的网络安全威胁或需要打补丁时,可以扫描二维码,了解设备是否依然通过认证。
 
(3)进一步明确了推进该计划的组织架构
 
联邦通讯委员会(FCC)是这一计划的发起机构,联合美国政府以及多个行业组织来推动该计划的实施。
 
在物联网产品安全的认证标准方面,由美国商务部旗下的国家标准和技术研究所(NIST)发布的具体网络安全标准来认证和标记产品,包括要求唯一和强大的默认密码、数据保护、软件更新和事件检测能力等方面的标准。NIST已发布了一个针对消费物联网产品的基线标准,后续相关标准将进一步完善。第三方机构的实验室可能将承担认证的工作,例如CSA联盟(Connectivity Standards Alliance)、消费者技术协会(Consumer Technology Association)等。
 
在该计划市场推广方面,美国政府相关机构将支持FCC对消费者进行教育,让消费者在做出购买决策时注意这一新标签,根据标签所载的安全信息做出购买决定,并鼓励美国主要零售商优先考虑将贴有这一标识的物联网产品放在货架上和电商平台上。
 
在监督保障方面,FCC还计划与其他监管机构和美国司法部合作,建立监督和执行保障措施,以维持对该计划的信任和信心。
 
(4)大量头部机构已宣布支持该计划
 
在这一计划发布的同时,与家庭物联网相关的头部厂商基本上已宣布支持该计划,在白宫发布会当天参与的机构就包括亚马逊、百思买、卡内基梅隆大学、CyLab、思科、CSA联盟、消费者报告机构、消费者技术协会、谷歌、英飞凌、信息技术产业委员会、IoXT、是德科技、LG电子美国公司、罗技、OpenPolicy、Qorvo、高通、三星电子、UL、耶鲁和August U.S.。
 
这些机构涵盖了消费物联网全产业链各个环节,且很多都是产业链具有话语权的机构,既有制造商,也有零售平台,还有监测认证机构、联盟组织和高校。有这些机构的推动,“U.S. Cyber Trust Mark”虽然是自愿性计划,但很有可能会成为市场广为接受的“准强制性”要求。
 
(5)宣布与盟友加强合作,将该认证推向全球
 
去年7月白宫在该计划进展中提到,美国政府将支持FCC与盟友和合作伙伴一起协调标准,并寻求对类似标签工作的相互认可。可以看出,美国政府也希望其物联网可信安全标签计划能够成为一个“全球公认的标签”。
 
2023年12月,美国-欧盟在布鲁塞尔举行第九次网络对话联合声明中提出,美国和欧盟推进了关于联合网络太阳城娱乐行动计划的讨论,以共同努力实现对各自政府支持的物联网设备网络安全标签计划和法规的相互承认。近期美欧之间签署合作协议,正是双方在这一领域合作的标志性成果。
 
2、新加坡:亚太区首个物联网安全标签计划
 
新加坡推出的物联网安全标签计划名为“Cybersecurity Labelling Scheme (CLS)”,该计划是由新加坡网络安全局(CSA)牵头推出,作为改善物联网安全、提高整体网络水平和更好地保护新加坡网络空间的努力的一部分。
 
CLS计划是亚太区首个物联网安全标签计划项目,按照该计划要求,物联网设备将根据其网络安全规定的等级进行评级,这将使消费者能够识别具有更好网络安全能力的产品,并做出购买的决策。
 
CLS计划最初是为WiFi路由器和智能家居中控设备而推出的,由于这些产品作为消费物联网的枢纽使用范围更广,而且这些产品安全隐患可能对用户产生的影响更大,因此作为优先认证对象纳入该计划中。此后,CLS计划扩展到包括所有类别的消费物联网设备,如IP摄像头、智能门锁、智能灯和智能打印机等。
 
CLS计划对物联网设备安全形成4个不同等级,同时有4不同的评估等级,每个评估等级按顺序完成,反映了产品对可能遭受的网络安全攻击抵抗力不断增强,相关体系如下:
 
 
第一层评估等级:安全基线要求。要求产品遵循欧洲通信标准化协会(ETSI)发布的ETSI EN 303 645标准中的基线要求,通过消除“常见错误”来防范大多数基于常见漏洞(如默认密码)的攻击,确保安全更新的可用性并实施管理漏洞报告。
 
第二层评估等级:生命周期要求。供应商的产品应确保遵守一套国际标准(基于ETSI EN 303 645标准中对设备所有强制性要求)。
 
第三层评估等级:软件二进制分析。供应商应根据《太阳城娱乐》考虑安全因素,在物联网设备的开发生命周期中采用安全最佳实践(如威胁建模、安全工程方法、安全供应链、安全测试等)来确保设备的安全性。此外,测试实验室使用自动二进制分析工具对物联网设备的软件进行评估,以确保没有已知的关键软件缺陷、漏洞或恶意软件。
 
第四层评估等级:渗透测试。连接的设备经过测试实验室的渗透测试,以提供对常见网络安全攻击的基本抵御能力。
 
其中第一、第二两个层级评估只需制造商自己的符合性声明,而第三和第四两个层级评估必须经过第三方独立测试才能通过认证。
 
通过4不同层级的评估,最终给予相应物联网设备赋予不同等级标签,用不同数量星号标识出来,并显示其安全等级。相关标签可以粘贴在智能家居产品包装上,示例如下:
 
 
其中一级表示该产品已满足基本的安全要求;二级表示该产品满足1级要求并符合国际标准的所有强制性安全要求;三级表示满足2级要求,并采用设计安全原则开发,通过了经批准的第三方测试实验室对软件二进制评估;四级表示该产品满足3级要求,并经过了经批准的第三方测试实验室的结构化渗透测试。
 
3、芬兰:欧洲首个物联网安全标签计划
 
早在2019年11月,芬兰交通和通信管理机构Traficom发布了物联网网络安全标签计划“Cybersecurity Label”,该计划向消费者保证贴有标签的设备具有基本的信息安全功能,旨在通过该标签提高消费者对信息安全和安全使用物联网设备的意识。
 
Traficom下设的芬兰国家网络安全中心(NCSC-FI)开发了物联网网络安全标签的认证流程,其认证依据ETSI发布的标准ETSI EN 303 645。物联网安全标签直接向客户表明产品安全相关功能已实施了安全措施,包括:密码、软件更新、数据保护、数据的安全传输和存储、安全默认设置等。
 
物联网产品制造商除了要对安全信息进行自我、自我评估声明外,还需要进行第三方的信息安全测试和评估。获得标签后,每年还需要进行审查,审查产品信息安全功能是否发生变化,若发生变化还需要进一步申请和评估。
 
4、德国:宽松的标签申请流程,但进行事后监督
 
2021年9月,德国联邦信息安全办公室也推出了自己的物联网安全标签计划,该计划名称为“IT-Security Label”。产品供应商要获得标签,可以向德国联邦信息安全办公室提出申请,联邦信息安全办公室在对提交文件进行检查后,生成一定有效期限的标签。
 
“IT-Security Label”计划依据的也是ETSI EN 303 645标准,不同于新加坡和芬兰的标签计划,德国的物联网安全标签计划要求产品供应商进行自我声明的形式,没有安排第三方机构进行认证。这似乎会无法保障安全信息的真实性,让一些产品制造商钻空子,不过后期还有一些安排来规避这一问题。
 
在产品上市后,德国市场监管部门会对物联网产品制造商声明的安全特征信息进行检查,采用抽查、例行检查或根据情况进行转型审计形式,测试产品上粘贴的安全标签包含的信息是否和产品实际情况相符。检查不符的,将撤销标签,对品牌和产品形象会造成不可挽回的损失,这在很大程度上规避了制造商造假。
 
“IT-Security Label”也是以粘贴在产品包装上的标签展示的,包括符合德国联邦信息安全办公室的声明以及安全相关信息。以下的标签就是小米一款在德国售卖的扫地机器人的物联网安全标签。
 
 
通过这一标签,消费者可以了解到以下信息:安全信息透明度、访问控制、安全通信、软件更新、安全机制可用性、产品接口保护等。
 
(二)针对物联网产品专门法案相继推出
 
1、英国:即将到来的强制性安全法规
 
2021年11月,英国数字、文化、媒体和体育部提出了《亚洲信誉品牌的大型娱乐平台》。PSTI法案关注的一个重点是消费物联网设备的安全性,于2022年12月获得批准,将于2024年4月29日生效。
 
对于消费物联网设备,英国政府提到包括智能电视、游戏机、安防摄像头和报警系统、智能玩具和婴儿监视器、智能家居中控、智能音响以及洗衣机和冰箱等智能家电。该法案通过确保这些产品在设计时内置强大的网络安全功能,将保护设备安全的责任从消费者身上转移开来。
 
早在2018年,英国政府发布了一份名为《亚洲信誉品牌的大型娱乐平台》的安全准则,该准则包含物联网领域网络安全最佳实践的13项指导方针,不过,这一准则不具有法律约束力。
 
 
PSTI法案是建立在该准则基础上,该法案的第一部分侧重于消费物联网设备本身的安全性,对于相关设备制造商、进口商和零售商提出了强制性要求,重点是从三个方面对物联网产品安全性产生重大影响:
 
一是支持期的明确信息披露要求:制造商必须提供有关其产品更新和支持持续时间的明确信息,这种透明度确保消费者知道他们的物联网设备可以获得的支持的时间范围;
 
二是默认密码的要求:每个产品都有一个唯一的密码,首次登录时必须使用该密码,禁止使用容易猜到的默认密码,确保每台设备从一开始就使用独特且可靠的密码进行保护;
 
三是安全问题的报告:制造商必须建立并传达报告安全漏洞的明确程序,包括提供报告漏洞的联系信息,确保客户及时了解任何已识别的漏洞并获得及时的修复。
 
对于违反PSTI法案的行为,立法监管机构可能对违法企业处以1000万英镑或企业年营业额4%的罚款,或许还会要求对产品的召回。
 
2、欧盟:针对物联网安全的里程碑式法案
 
2022年,欧盟提出了《太阳城娱乐》(Cyber Resilience Act,CRA),该法案对包括物联网设备在内的数字产品从设计到上市都提出了严格的网络安全要求,不少从业者认为,该法案代表了整个欧盟在物联网设备安全标准化方面迈出的重要一步,同时也对物联网供应链管理提出了严格的要求。
 
具体来说,CRA明确提出,法案适用于所有直接或间接连接到另一设备或网络的数字产品,其中数字产品包括“任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件”。很明显,物联网设备基本都会纳入这一法案的范畴。
 
同时,该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。此外,制造商将有义务持续和系统地识别和记录相关的网络安全内容,漏洞必须在产品的生命周期内得到有效处理,这包括立即补救安全漏洞的风险相关义务(特别是通过提供软件更新形式)。
 
CRA引入了一个产品分类系统,根据产品对网络安全的潜在影响,将这些产品划分为三个等级,其中基本的安全要求可以由制造商自我评估,高等级可能会引入第三方评估机构进行强制认证。基本的安全要求包括“适当”级别的网络安全、禁止发布具有任何已知漏洞的产品、默认配置的安全性、防止未经授权的访问、限制攻击面和最小化事件影响,产品必须确保数据的机密性,包括使用加密、保护其完整性以及仅处理其运行所必需的数据。
 
不遵守基本要求的罚款可能高达 1500 万欧元或年营业额的 2.5%,以较高者为准。
 
这一法案影响范围很大,因此在法案生效前还需要进行长时间的准备,包括准备相关指导文件、产品名单以及所涵盖产品的统一标准等。美欧网络安全对话联合声明中提到的物联网安全合作,其中也提到了推出物联网安全标签是CRA法案落实中的一个领域。
 
▍ 二、不断推进的物联网安全举措带来的启示
 
物联网连接数的快速上升,带来巨大的安全隐患已成为共识,很少有人反对针对物联网安全采取有效措施。通过对以上多个发达经济体在物联网安全措施的分析,我们可以总结出一些启示。
 
(一)对消费物联网产品安全采取措施是当务之急
 
市场研究机构IoT Analytics数据显示,预计2023全球物联网连接数超过160亿。而这么大规模的物联网连接中,超过70%的设备是通过WiFi、蓝牙、Zigbee等短距离通信技术连接的,产品形态以智能家居、穿戴设备等消费类物联网设备为主。
 
物联网设备安全隐患日益突出,网络攻击、隐私泄露等问题层出不穷,这其中消费类物联网设备的安全隐患更为突出。加上消费类物联网设备出货量规模超过产业物联网设备,对于消费物联网设备安全进行认证就显得很有必要。毕竟用户不希望智能冰箱、智能门锁有安全隐患,不想在家里有一双眼睛长期盯着自己。
 
产业物联网面向的是各类企业,大量企业自身具有识别安全问题的技术能力,也建立了企业网络安全相关标准,加上企业和供应商签订的合同中,一般都有非常严格的安全条款,能够在一定程度上保障自身的安全性,因此产业物联网的安全隐患相对小一些。
 
但是,个人消费者、家庭用户没有专业的知识,对自身使用产品的网络安全信息了解非常有限,即使发生安全事故,由于使用人群非常分散,维权也非常困难,消费物联网领域很容易成为隐私泄露和信息安全重灾区。
 
因此,各国不论是推进物联网安全立法,还是推进物联网安全标签计划,都主要针对的是消费类物联网。目前,消费物联网领域的安全问题已经在不断积累,持续下去会造成非常恶劣的影响,因此针对消费物联网安全采取措施是物联网安全工作的当务之急。
 
(二)物联网安全标签计划是一种有效的市场化手段
 
如何才能有效地推动消费物联网安全相关工作落地?从前面分析中可以看出,各国采取立法和安全标签计划来实施。
 
通过立法手段虽然能够形成强制性,但由于物联网碎片化的特点,不同产品面临的安全要求不同,立法在很大程度上只能对安全基线或框架性要求做出规定并强制推动执行。另外,立法涉及面非常广,制定周期和实施周期也很长。
 
物联网安全标签计划给出了一个简单有效的落地方法,这一计划是非强制性的,但能真实反映不同产品安全的有效信息,让用户一目了然能够知晓相关信息,同时以市场化的机制激励企业在安全领域做更多投资,将安全作为一个差异化的能力,提升自身竞争力。
 
例如,芬兰Traficom此前对消费者购买和使用物联网设备的态度和意愿进行调研,一个重要发现是,大部分芬兰人都关心这些智能设备的信息安全问题,而其中三分之二的人认为提供易于理解的物联网设备安全信息非常重要。然而,市场上物联网设备的安全级别各不相同,而此前还没有一种简单的方法让消费者知道哪些产品是安全的、哪些是不安全的。因此,芬兰政府决定推出物联网网络安全标签工具,通过帮助消费者快速识别足够安全的设备,使购买决策变得更加容易。
 
另外,标签计划能够帮助产品制造厂商从竞争中脱颖而出。美国的标签计划参考“能源之星”认证,能源之星是美国能源部和美国环保署共同推行的一项政府计划,旨在更好地保护生存环境,节约能源。1992年由美国环保署参与,最早在电脑产品上推广,后来纳入此认证范围的产品已达30多类,如家用电器、制热/制冷设备、电子产品照明产品等。
 
能源之星计划为自愿性,其标准通常比美国联邦标准节能20-30%,但能源之星评级已成为消费者和企业购买决策的一个重要组成部分。目前能源之星计划已得到全球主要经济体的认可,成为各类产品出海的“通行证”。我国也有很多出口的电器产品在出口前提交由受认可的、批准的实验室出具的测试结果,获得能源之星认证标签,这个标签成为进入发达国家市场竞争力的标志之一。
 
若是物联网安全标签计划能够像能源之星计划一样实施,相信能够快速驱动大部分消费物联网厂商加大对安全的投入,从很大程度上提升物联网总体安全水平,保护消费者利益。
 
(三)物联网安全标签国际统一互认趋势明显
 
消费物联网产品面向的是全球市场,为了避免物联网安全标签的碎片化,给产品在不同国家和地区的应用造成影响,主要经济体推动统一安全标签标准和互认是一个确定的趋势。前文中提到,美国已和欧盟签署物联网安全标签合作协议,若两方能够顺利推进,则会形成欧美物联网安全大市场,让销往欧美的物联网产品面对着同一标准。
 
过去几年,物联网安全标签互认也取得一些进展。例如,此前新加坡推动和芬兰、德国进行标签的互认,签订互认协议。根据协议,符合芬兰标签计划的消费物联网产品可以视为符合新加坡标签计划的第3等级要求,符合德国标签计划消费物联网产品可以被认定为达到新加坡标签计划第2等级要求。通过这些互认的协议,降低了进入这3个国家产品的成本。
 
另一个值得关注的方向是这些标签计划认证背后依据的标准。从前文分析中可以看出,ETSI EN 303 645这一标准得到新加坡、德国、芬兰、英国等广泛采用,成为一个高度认可的标准,未来可能将继续发挥作用。
 
▍ 三、推出中国版物联网安全标签计划
 
海外物联网安全标签计划发展得如火如荼,中国作为全球最大的物联网应用和产品生产国,必须尽快将物联网安全标签计划提上议事日程,支持国内庞大的物联网产品提升全球竞争力。在这个过程中政策制定者、产业链各类企业、标准化组织、测试认证机构等主体都需要对其进行深入研究并推动布局。
 
一是深入研究海外标签计划并鼓励企业加入这一计划
 
我国是出口大国,近年来出口商品中,智能化产品成为一个亮点,出口规模不断增长。以家电为例,海关总署数据显示,2023年1-10月我国累计出口家电超过30亿台,同比增长8.4%,其中,出口空调4172万台,冰箱5549万台,洗衣机2370万台。这些出口的家电中,相当比例是智能家电产品,带有联网功能。除了这些大家电之外,智能门锁、智能扫地机器人、智能炒菜机等新型家电也是海外青睐的产品。
 
各类出口产品首先必须符合海外相关法律法规,并参与一些主要认证,提升自身产品的竞争力。物联网安全标签计划重点针对的是消费物联网产品,尤其是智能家居产品,以上出口的智能家电基本都会纳入物联网安全标签计划中。
 
物联网安全标签计划不是强制性的,但它依然会显著影响到我国出口产品的竞争力。能源之星计划或许可以对其起到参考作用,过去多年,我国出口的机电产品中相当一部分是能源之星认证范畴内的产品,能源之星认证推动本土品牌“走出去”,也优化了营商环境。
 
参考能源之星计划,我国企业应深入研究物联网安全标签计划的规则,积极加入这一认证,获得出海竞争力。在物联网安全标签计划全球主要经济体互认的趋势下,加入标签计划能够为建立全球更多国家市场竞争力打下基础。
 
二是必须意识到推出物联网安全标签计划的紧迫性
 
从过去几年主要发达经济体的做法来看,物联网安全标签计划已经成为一个主流的选择,我国需要尽快推出中国版的物联网安全标签计划。
 
推出中国版的物联网安全标签计划,需要建立完善物联网安全标准。参考欧洲通信标准化协会ETSI EN 303 645标准,建议国内物联网标准化组织加快制定与海外主流标准相符的安全标准体系,支撑标签计划开展。
 
2023年8月,由中国质量认证中心、中国家用电器研究院、工业和信息化部电子第五研究所等单位联合起草的物联网家电产品网络安全标准和认证规则正式发布,基于这一标准物联网家电产品认证的相关工作也同步展开起来。可以看出,针对消费物联网安全的认证工作已得到业界认可,但我们在标签计划方面的经验还不足。
 
通过建立物联网安全标签计划,也是规范我国物联网产品市场的有效手段。正如海外各国政府推动物联网安全标签计划初衷,通过物联网安全标签计划,可以大幅度提升公众对于物联网产品的安全意识,同时让那些欠缺安全能力、不注重安全方案的厂商和产品逐渐被淘汰。
 
三是大力推动中国版物联网安全标签计划与海外的互认
 
物联网安全标签计划国际互认是一个大趋势,我国在建立中国版物联网安全标签计划的过程中,同步可以推动与主要国家的深度合作,争取我国的标签计划出台后,主要国家也可以认可,提升我国在物联网安全方面的话语权。基于这一条件,国内厂商只要符合中国版物联网安全标签计划要求,即可得到海外主要国家的认可,大幅降低我国物联网产品企业出海的成本。
 
同时,提前筹划建设本土的物联网安全标签认证实验室也可以提上日程。海外多个国家的标签计划都会委托第三方认证机构对物联网产品进行安全检测,对于国内出海产品,若能在本土授权机构获得认证,将大幅降低出海成本。
 
仍然以能源之星为例,2010年,美国环保署发布通知,要求进行能源之星产品检测的实验室需要提前获得其授权的认可机构认可,出具的检测结果才能被美方接受,这给我国电子电器、计算机、家用电器、照明等能源之星认证范围内的产品出口美国市场带来不确定性。中国合格评定国家认可委员会(CNAS)做了大量工作,最终正式进入能源之星授权的认可机构名录。目前我国获认可的能源之星实验室数量已达到80余家,约占全球总数的四分之一。依托认可的国际互认成果,国内实验室的检测数据直接被美方承认,不仅大大缩短了产品备案周期,还大幅节约企业尤其是中小微企业的测试验证成本。
 
借鉴这一经验,国内相关机构可以提前进行筹划,了解物联网安全认证的相关规范,建设本土认证实验室,助力国内物联网企业尤其是中小企业产品出口。
 
市场研究机构Statista研究报告显示,到2027年全球预计有6.72亿家庭会使用智能家居设备,市场规模的扩大也带来安全隐患将更为严峻。物联网安全标签计划或许是当前和以后阶段最为有效的市场化手段,来应对这一安全隐患,届时安全能力将成为物联网企业的一个显性竞争力表现。

原创来源:物联网智库    作者:赵小飞
 

Copyright © 2017-2020 亚洲信誉品牌的大型娱乐平台 版权所有 豫ICP备18011434号-1 豫公网安备 41019702002746号