IoT 网络安全标签计划
2025 年 1 月 7 日,白宫宣布为连接互联网的 IoT 设备推出网络安全标签。该计划是 FCC 为智能设备设立的自愿 IoT 网络安全标签计划,虽然参与是自愿的,但是选择参与的人必须遵守该计划的要求,以获得美国网络信任标志认证产品商标化后独特盾牌标志的权限。
根据该计划,符合网络安全标准的消费类智能设备将被贴上如上图所示的标志。通过这一标志,有助于消费者可轻松辨别并选购那些注重网络安全的产品。获得信任标记的设备将附带一个特定标志和二维码,消费者通过扫描二维码可以获取以下信息:
- 软件是否自动更新
- 如何修改密码
- 如何安全地配置设备
白宫声称这种信息透明化的方式将大幅提升消费者对设备安全性的信心。该系统可链接到国家认证设备登记处。通过这一系统,进一步了解他们考虑购买的智能产品。
IoT 网络安全标签申请流程
FCC 采用两步流程,制造商在寻求 IoT 网络安全标签授权时必须遵循这一流程:
- 第一步:使用经认证和认可的实验室,包括第三方实验室(CyberLAB)、CLA 运营的测试实验室(CLA-run Lab)或申请人的内部实验室(applicant's in-house testing lab)测试 IoT 产品是否符合 FCC 规则,并生成测试报告;
注:以下对 CyberLAB、CLA-run Lab 及申请人的内部实验室,作简要注解
第三方实验室:即 CyberLAB ,是经 CLA 认可和授权的第三方实体,可评估消费类 IoT 产品是否符合标签计划的要求。 CyberLAB 向美国公共安全和国土安全局(PSHSB)负责人提交书面请求并获得认可,需要具备以下条件:
- 成功完成 ISO/IEC 17011 同行评审;
- 具备 ISO/IEC 17025 标准合格评定测试实验室认证;
- 具备针对 FCC 网络安全认证规则和要求的,具有特定技术经验的认证人员/评估员;
- 具备为 FCC 网络安全认证计划测试实验室认证指定的程序和政策。
需要注意的是,以上要求也适用于下述两个实验室,且 CyberLAB 作用仅限于进行合规性测试和生成报告。在命令采用的组织结构中,CyberLAB 既不认证产品也不颁发使用 IoT 网络安全标签的授权。有时 CyberLAB 也指称第三方实验室、 CLA 内部运营的测试实验室,以及申请人的内部实验室的集合。
CLA 运营的测试实验室:即 CLA-run Lab,是指 CLA 内部运营的测试实验室。
- FCC 认为,CLA 也可能拥有或寻求拥有自己的内部实验室,为寻求使用该标志的认证申请人进行合格测试。通过采纳CLA 内部运营的测试实验室,申请人可以向授权的 CLA 提交申请,并要求 CLA 内部运营的测试实验室提供测试服务。同样,委员会要求 CLA 实验室满足与 CyberLAB 相同的认证和认可要求。只有在实验室获得公认的认证机构的认可后,实验室才能向首席管理人提交申请,寻求被认可为经批准的网络安全测试实验室。
申请人的内部实验室:即 applicant's in-house testing lab,FCC 允许制造商使用经认可和首席管理员认可的内部测试实验室对其 IoT 产品进行网络安全一致性测试,前提是该内部实验室符合与 CyberLAB 相同的严格标准。
- FCC 认为,对于某些制造商来说,内部测试选项将更具成本效益,并更鼓励制造商参与 IoT 网络安全标签。内部实验室与向 CLA 提交申请相结合,可以确保 IoT 网络安全标签的质量和信任。
- 第二步:向 CLA 提出申请,以证明产品完全符合所有相关的 IoT 网络安全标签计划规则;
FCC 在介绍中对上述两个步骤进行了扩展性描述,申请 IoT 网络安全标签授权的过程如下:
- 申请人必须根据 FCC 的规则确定产品是合格的产品;
- 申请人将产品交由经认证和认可的 CyberLAB、CLA 实验室或制造商的内部实验室进行测试;
- 申请人从实验室获得符合性和合规性报告;
- 根据程序向 CLA 提交使用 IoT 网络安全标签的授权申请:
- 使用 CLA 的申请流程,寻求使用 IoT 网络安全标签授权的实体将提交一份由 PSHSB 开发的申请;
- 每份申请必须包括由经认证和认可的的 CyberLAB、CLA 实验室或内部实验室出具的符合性报告,这些实验室的测试和报告在严格程度上与 CyberLAB 完成的测试和报告相比相一致。
- CLA 将审查申请和证明文件,以确保其完整并符合 FCC 的规则,并将批准或拒绝申请。
- 如果申请获得批准,CLA 将向申请人提供批准通知,并授权将 IoT 网络安全标签粘贴到获得授权的产品上。如果申请被拒绝,CLA 将向申请人发出拒绝通知,并解释被拒绝的原因。
- 被拒绝之后的再次申请:申请人只有在 CLA 认定的缺陷得到纠正后,才能重新提交被拒绝产品的申请。申请人必须在其申请中表明:在申请被拒绝后,它正在重新提交申请;拒绝申请的 CLA 的名称;以及 CLA 对被拒绝的原因的解释。未能披露对相同或基本相似产品的拒绝申请将导致该产品的申请被拒绝,FCC 将采取其认为适当的其他监管和/或法律行动。
- 申请结果复核:任何不服 CLA 决定的,必须首先向 CLA 申请复核。在向 CLA 申请复核之后,可以向 FCC 申请复核。
注册表注册制度
在获得 IoT 网络安全标签授权之后,被授权机构需要向消费者提供符合 IoT 网络安全标签计划要求的消费者物联网产品信息,被授权机构填写对应注册表,消费者则可通过符合要求的物联网产品上 FCC 物联网标签的 QR code 链接公开访问。注册制度相关要求如下:
- 获得使用 IoT 网络安全标签授权的机构应向公众提供符合要求的消费物联网产品的信息。授权机构提供的信息应通过一个安全设计的通用应用程序编程接口(API),并在一个动态、去中心化且公开可访问的注册表中提供。
- 获得使用 IoT 网络安全标签授权的机构应通过注册表中的通用 API 发布以下信息:内容包括:
- 产品名称;
- 制造商名称;
- 产品获得授权(即网络安全认证)以贴上标签的日期及当前授权状态(如适用);
- 授权使用 IoT 网络安全标签的认证实验室(CLA)的名称和联系方式;
- 进行符合性测试的实验室名称;
- 如何更改默认密码的说明(具体说明默认密码是否可以更改);
- 如何安全配置设备的附加信息(或链接);
- 软件更新和补丁是否自动进行的信息,以及如果非自动,如何访问安全更新/补丁;
- 承诺在什么日期之前,勤勉地识别产品中的关键漏洞并及时发布软件更新以修复它们,除非这种更新在防止网络安全故障方面并非合理需要(即,最低支持期限);或者,声明该设备不受支持,购买者不应依赖制造商发布安全更新。
- 制造商是否维护硬件物料清单 (HBOM) 和/或软件物料清单 (SBOM) 的披露;以及
- FCC 认为必要的其他数据元素。
合规分析
FCC 提出的 IoT 网络安全标签,在征求意见环节得到了诸多企业的支持。众多领先企业已经作出反应,其中包括 Bestbuy、Amazon 等零售巨头。因此,虽然 IoT 网络安全标签是一项自愿计划,但不排除将来会变成由消费者需求推动的标准。
从计划的初期,FCC 已明确规定,“受限清单”上的所有通信设备、由“受限清单”上的实体及美国国防部“中国军工企业清单”中所列实体及其附属公司和子公司生产的 IoT 设备或产品,均不在此次 IoT 网络安全标签授权的范围内。
“受限清单”包含一些熟悉的名字,例如华为、中国电信、中国移动国际和中国联通等。此外,该项目还要求 CyberLAB 必须不受外国对手的过度影响。FCC 进一步指出,凡是由“外国对手”国家(包括中国及香港、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉)拥有或控制的实体、附属公司或子公司,将无法成为认证的 CyberLAB。
然而,该计划并未明确禁止中国公司或其附属公司及外国分支机构申请参与该计划。现阶段认证的具体审批情况和细节尚未明朗,中国出海企业可先明确审核标准及做好准备工作。FCC 的要求基本上是复用这些企业已有的网络安全机制,并进一步建立完善流程,包括安全测试、漏洞扫描、渗透测试等,把标准与 NIST 和 ISO 的相关要求拉齐等。
与美国 IoT 网络安全标签相关的信息,可在Kaamel之前发布的相关文章中查阅。详见法规分析|美国 IoT 网络安全标签、法规研究 |美国 FCC IoT 网络安全标签之“国家安全声明”规则、隐私快讯|美国 IoT 网络安全标签生效
参考资料:
