作者:趙小飛 物聯(lián)網(wǎng)智庫 原創(chuàng)
當(dāng)?shù)貢r間12月4日�,美國聯(lián)邦通訊委員會(FCC)宣布選定知名的測試���、檢驗和認(rèn)證服務(wù)商UL Solutions公司作為物聯(lián)網(wǎng)安全標(biāo)簽計劃(Cybersecurity Labeling for Internet of Things)的首席管理員�,來確定該標(biāo)簽計劃的測試程序�����,并作為FCC和第三方安全標(biāo)簽管理機(jī)構(gòu)(CLA)的聯(lián)絡(luò)員����。今年3月,F(xiàn)CC作為牽頭部門�����,通過公開會投票方式正式通過了物聯(lián)網(wǎng)安全標(biāo)簽計劃���,在該計劃下�����,符合相關(guān)條件的消費物聯(lián)網(wǎng)產(chǎn)品將被賦予網(wǎng)絡(luò)安全標(biāo)識標(biāo)簽(Cyber Trust Mark)�����,方便消費者根據(jù)產(chǎn)品安全信息做出購買決策����,同時安全可信產(chǎn)品在市場上具有差異化優(yōu)勢,激勵物聯(lián)網(wǎng)產(chǎn)品制造商推出符合更高安全標(biāo)準(zhǔn)的產(chǎn)品�����。今年9月��,F(xiàn)CC開始接受第三方安全標(biāo)簽管理機(jī)構(gòu)的申請�,到目前確定UL Solutions作為首席管理員���,這一計劃的實施進(jìn)入了快車道����。
關(guān)于美國物聯(lián)網(wǎng)安全標(biāo)簽計劃�,筆者曾在此前多篇文章中進(jìn)行系統(tǒng)的介紹,本文就圍繞該計劃的管理和檢測認(rèn)證體系��,探索在實施后該計劃是如何運轉(zhuǎn)的�����。
?物聯(lián)網(wǎng)安全標(biāo)簽計劃的定位:自愿性項目
在FCC公布的美國物聯(lián)網(wǎng)安全標(biāo)簽計劃框架中,著重強(qiáng)調(diào)了該計劃是一個自愿性項目�,企業(yè)可以根據(jù)自身需求自愿參與,F(xiàn)CC也認(rèn)為自愿參與將使該標(biāo)簽計劃比強(qiáng)制要求參與更容易實現(xiàn)��,隨著該計劃的推進(jìn)�,物聯(lián)網(wǎng)安全標(biāo)簽有助于區(qū)分市場上符合最低要求的產(chǎn)品,并為消費者提供選擇�。
可以看出,F(xiàn)CC在建立這一計劃框架時�,考慮到推動強(qiáng)制性參與會帶來一刀切的風(fēng)險,因此參考了類似于“能源之星”的方案��,先通過自愿參與的形式�,形成一定規(guī)模和消費者的認(rèn)可,讓消費者自發(fā)決策是否選擇帶有安全標(biāo)識的產(chǎn)品����,實現(xiàn)消費者“用腳投票”,最終可能達(dá)到一個事實標(biāo)準(zhǔn)的結(jié)果����。
?物聯(lián)網(wǎng)安全標(biāo)簽計劃管理機(jī)制:公私部門充分合作
FCC在計劃制定中充分認(rèn)識到,自愿性物聯(lián)網(wǎng)安全標(biāo)簽計劃要想取得成功�,就必須包括聯(lián)邦政府���、行業(yè)和其他利益相關(guān)者之間的密切伙伴關(guān)系和合作,因此FCC引進(jìn)了多個第三方私營機(jī)構(gòu)組成管理架構(gòu)��。
早在去年7月����,白宮已授權(quán)FCC作為物聯(lián)網(wǎng)安全標(biāo)簽計劃的牽頭負(fù)責(zé)機(jī)構(gòu),負(fù)責(zé)該計劃的整體監(jiān)督和管理���。FCC委托旗下的公共安全和國土安全局(PSHSB)推進(jìn)監(jiān)管�����,該機(jī)構(gòu)接受第三方安全標(biāo)簽管理機(jī)構(gòu)(CLA)的申請����,選擇多個CLA推進(jìn)日常管理工作�����,并從中確定一個首席管理員�����,組成了美國物聯(lián)網(wǎng)安全標(biāo)簽管理架構(gòu)��。
其中�,安全標(biāo)簽管理機(jī)構(gòu)(CLA)多數(shù)為私營機(jī)構(gòu),將對企業(yè)物聯(lián)網(wǎng)產(chǎn)品安全標(biāo)簽申請進(jìn)行評估���,確保廠商產(chǎn)品能夠訪問必需的安全信息��,并執(zhí)行標(biāo)簽上市后的持續(xù)監(jiān)督工作���,可以說CLA主要承擔(dān)著標(biāo)簽計劃認(rèn)證的具體工作,因此其角色非常關(guān)鍵����。
而首席管理員除了要承擔(dān)CLA的角色外,還充當(dāng)各個CLA之間聯(lián)絡(luò)和協(xié)調(diào)員角色�����。其職責(zé)包括:
• 代表CLA與FCC進(jìn)行溝通�,包括但不限于向FCC提交那些不符合標(biāo)簽授予標(biāo)準(zhǔn)但獲得標(biāo)簽產(chǎn)品的投訴;
• 酌情開展利益相關(guān)方外聯(lián)活動�����;
• 接受、審查�����、批準(zhǔn)或拒絕實驗室的申請����,這些實驗室有權(quán)進(jìn)行必要的符合性測試,以支持貼上FCC物聯(lián)網(wǎng)標(biāo)簽的申請�����,并管理認(rèn)可和被拒絕認(rèn)可的實驗室名單���;
• 在公布首席管理員的公告期90天內(nèi)���,首席管理員應(yīng)酌情與CLA和其他利益相關(guān)者(如來自產(chǎn)業(yè)、政府和學(xué)術(shù)界的專家)進(jìn)行合作���,包括向管理當(dāng)局提供認(rèn)證標(biāo)準(zhǔn)和程序的建議、不同類別物聯(lián)網(wǎng)產(chǎn)品標(biāo)簽授權(quán)頻率���、CLA對標(biāo)簽上市后監(jiān)督的建議���、物聯(lián)網(wǎng)安全標(biāo)簽設(shè)計的建議等����。
?物聯(lián)網(wǎng)安全標(biāo)簽2階段認(rèn)證流程
在FCC的方案中建立起了2階段的物聯(lián)網(wǎng)安全標(biāo)簽認(rèn)證流程���,第一步由授權(quán)實驗室進(jìn)行產(chǎn)品安全符合性測試�,第二步由CLA進(jìn)行產(chǎn)品安全標(biāo)簽認(rèn)證�����。
在第一步產(chǎn)品安全符合性測試中����,F(xiàn)CC要求測試實驗室必須按照特定標(biāo)準(zhǔn)和程序進(jìn)行測試,F(xiàn)CC不認(rèn)可供應(yīng)商自身做出符合性聲明的形式�,所有產(chǎn)品必須在授權(quán)的第三方實驗室測試。
在第二步認(rèn)證中��,使用安全標(biāo)簽的制造商需要向CLA提交認(rèn)證申請����,其中包括一份詳細(xì)的、由授權(quán)實驗室進(jìn)行的符合性測試的報告。CLA可以收取合理的費用���,以支付審核申請的成本以及CLA需執(zhí)行的其他任務(wù)的成本���。
CLA將詳細(xì)審查申請和支持文件以確保其完整和合規(guī),并出具批準(zhǔn)或拒絕申請的結(jié)論��。若拒絕申請需說明被拒的原因�,申請人將有機(jī)會糾正CLA確定的缺陷并重新提交申請。針對有爭議的決議�����,有專門的復(fù)審流程�����。
公共安全和國土安全局會發(fā)布公告�����,提供有關(guān)如何申請和使用物聯(lián)網(wǎng)安全標(biāo)簽的更多詳細(xì)信息�,包括但不限于申請的信息元素、備案要求和標(biāo)簽使用信息�,如標(biāo)簽的描述或照片以及如何以及粘貼到產(chǎn)品什么位置,也包括如何請求對提交的信息進(jìn)行保密處理等���。
授權(quán)實驗室是認(rèn)證過程中的關(guān)鍵機(jī)構(gòu)�����,它們負(fù)責(zé)進(jìn)行物聯(lián)網(wǎng)產(chǎn)品安全符合性測試并生成報告���。FCC接受各種類型的實驗室作為物聯(lián)網(wǎng)安全標(biāo)簽測試實驗室,包括已有的網(wǎng)絡(luò)安全測試實驗室��、CLA運營的實驗室等�����,F(xiàn)CC也認(rèn)可已獲得ISO/IEC 17025標(biāo)準(zhǔn)認(rèn)證的測試實驗室可進(jìn)行符合性測試�����。公共安全和國土安全局會發(fā)布授權(quán)實驗室的要求和標(biāo)準(zhǔn)���,授權(quán)實驗室可以設(shè)在美國境外�,但可能會有一些額外的標(biāo)準(zhǔn)和程序�����。首席管理員將對所有經(jīng)過認(rèn)證和認(rèn)可的授權(quán)實驗室進(jìn)行定期審計和審查。
?標(biāo)簽計劃遵循 NIST 標(biāo)準(zhǔn)
FCC采用NIST推薦的物聯(lián)網(wǎng)標(biāo)準(zhǔn)作為物聯(lián)網(wǎng)安全標(biāo)簽計劃的基礎(chǔ)���,即NIST IR 8425標(biāo)準(zhǔn)《消費物聯(lián)網(wǎng)產(chǎn)品核心基線文件》�,該標(biāo)準(zhǔn)包括以下產(chǎn)品能力:資產(chǎn)識別����、產(chǎn)品配置、數(shù)據(jù)保護(hù)��、接口訪問控制�、軟件更新、網(wǎng)絡(luò)安全國家意識�。
FCC將與利益相關(guān)者合作,確定涵蓋核心基線或提供同等要求的公認(rèn)標(biāo)準(zhǔn)����。FCC將指導(dǎo)首席管理員根據(jù)NISTIR 8425中包含的消費物聯(lián)網(wǎng)產(chǎn)品核心基線進(jìn)行具體標(biāo)準(zhǔn)的制定,NIST標(biāo)準(zhǔn)是通用指南�,但其必須進(jìn)一步發(fā)展為產(chǎn)品規(guī)范和相應(yīng)的測試程序,確保能夠進(jìn)行一致性測試�����。首席管理員可以確定市場上已經(jīng)存在的現(xiàn)有標(biāo)準(zhǔn)或方案,這些標(biāo)準(zhǔn)或方案可以隨時調(diào)整應(yīng)用于標(biāo)簽計劃中���。例如�,方案中提到��,征求意見階段多個組織提出歐洲和新加坡的物聯(lián)網(wǎng)安全標(biāo)簽計劃遵循歐洲通信標(biāo)準(zhǔn)化協(xié)會(ETSI)出臺的EN 303 645標(biāo)準(zhǔn)�����,未來�,不排除ETIS相關(guān)標(biāo)準(zhǔn)與NIST融合為美歐通用標(biāo)準(zhǔn)�����。
?首席管理員已積累了長期經(jīng)驗
UL Solutions作為一家第三方認(rèn)證公司����,對多種技術(shù)解決方案進(jìn)行認(rèn)證,物聯(lián)網(wǎng)安全認(rèn)證也是其中一項重要的業(yè)務(wù)�。UL Solutions此次被選為物聯(lián)網(wǎng)安全標(biāo)簽計劃的首席管理員,背后有其對于物聯(lián)網(wǎng)測試認(rèn)證長期的積累�。例如,早在2020年�����,UL Solutions就推出了專為物聯(lián)網(wǎng)產(chǎn)品設(shè)計的安全驗證和標(biāo)簽解決方案——物聯(lián)網(wǎng)安全評級服務(wù),按照青銅���、白銀�����、黃金����、鉑金和鉆石五個等級進(jìn)行產(chǎn)品分類���,經(jīng)過驗證的產(chǎn)品將獲得相應(yīng)的UL物聯(lián)網(wǎng)安全評級驗證標(biāo)簽(指明產(chǎn)品達(dá)到的安全級別)���,并由UL進(jìn)行持續(xù)評估。
UL Solutions進(jìn)入中國四十多年�,在國內(nèi)廣泛開展業(yè)務(wù),目前在國內(nèi)設(shè)有12個分支機(jī)構(gòu)以及8個大型實驗室�����,以及眾多獲得UL認(rèn)可的第三方合作實驗室和客戶實驗室�����。2016年在東莞松山湖建立的物聯(lián)網(wǎng)實驗室就是國內(nèi)8個大型實驗室之一,其中最重要的一個任務(wù)就是對企業(yè)生產(chǎn)的智能產(chǎn)品進(jìn)行多個方面的測試�����,包括互通性����、兼容性���、可用性�����、數(shù)據(jù)安全性��、網(wǎng)絡(luò)安全性����、快速充電�����、電磁兼容性等,已覆蓋智能家居���、車載信息娛樂設(shè)備��、可穿戴設(shè)備�����、機(jī)器人����、VR等眾多領(lǐng)域��。
作為美國物聯(lián)網(wǎng)安全標(biāo)簽計劃的首席管理員���,UL Solutions對于物聯(lián)網(wǎng)安全認(rèn)證的經(jīng)驗和程序或許會逐漸推薦至標(biāo)簽計劃中����,進(jìn)一步擴(kuò)大了物聯(lián)網(wǎng)安全認(rèn)證的范圍�����。
目前,國內(nèi)已開展物聯(lián)網(wǎng)安全標(biāo)簽計劃的深入研究�����,加快推進(jìn)中國版的物聯(lián)網(wǎng)安全標(biāo)簽計劃����,提升國內(nèi)物聯(lián)網(wǎng)產(chǎn)品安全水平。當(dāng)然���,美國物聯(lián)網(wǎng)安全標(biāo)簽計劃是通過總統(tǒng)行政令的形式推動的�,明確了安全標(biāo)簽計劃的標(biāo)準(zhǔn)�、原則��、責(zé)任機(jī)構(gòu)和時間進(jìn)度要求等���。物聯(lián)網(wǎng)涉及眾多領(lǐng)域���,中國版物聯(lián)網(wǎng)安全標(biāo)簽計劃也需要頂層設(shè)計來籌劃,并設(shè)定明確的要求���,形成分工協(xié)作的管理機(jī)制�,建立與全球主要經(jīng)濟(jì)體互通的標(biāo)準(zhǔn)體系和測試實驗室�。除此之外�����,國內(nèi)的物聯(lián)網(wǎng)企業(yè)�,尤其是消費物聯(lián)網(wǎng)廠商面對海外市場����,必須加強(qiáng)對物聯(lián)網(wǎng)安全標(biāo)簽計劃的研究,與合格的測試認(rèn)證機(jī)構(gòu)合作�����,深入跟蹤標(biāo)簽計劃實施的細(xì)則���,提升產(chǎn)品出海的競爭力����。
文章來源:物聯(lián)網(wǎng)智庫
在線咨詢
在線咨詢
0371-63319761