隨著歐盟對消費類物聯(lián)網(wǎng)設備網(wǎng)絡安全監(jiān)管的持續(xù)強化����,EN 303 645《消費類物聯(lián)網(wǎng)設備網(wǎng)絡安全要求標準》 已成為全球消費級 IoT 產(chǎn)品安全設計與合規(guī)的基準。信測標準網(wǎng)絡安全實驗室具備ETSI EN 303 645標準檢測能力��,并具備CNAS資質(zhì)��。
隨著歐盟《無線電設備指令(RED)》網(wǎng)絡安全附件的生效�����,以及英國�、澳大利亞等國家陸續(xù)出臺智能設備安全法規(guī)����,全球智能設備產(chǎn)業(yè)正進入“強制安全合規(guī)”時代��。ETSI EN 303 645 提供一個“最低安全設計基線”�,以提升消費者物聯(lián)網(wǎng)設備整體的安全水平。
在歐盟市場中�����,EN 303 645《消費類物聯(lián)網(wǎng)設備網(wǎng)絡安全要求標準》已成為制造商評估設備安全能力�、滿足法規(guī)要求的核心依據(jù)����。該標準由歐洲電信標準化協(xié)會(ETSI)制定���,被視為全球物聯(lián)網(wǎng)安全的事實通用框架(de facto standard),也是歐盟��、英國及澳洲多項法規(guī)的基礎�。
對于即將或已經(jīng)進入歐盟市場的產(chǎn)品,符合 EN 303 645 標準����,不僅是獲得市場準入的關鍵門檻����,也代表企業(yè)具備了國際認可的網(wǎng)絡安全保障能力。
新標準:
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/03.01.03_60/en_303645v030103p.pdf
舊標準:
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
ETSI EN 303 645 標準內(nèi)容概覽
| | |
| | 備出廠不得使用容易猜的密碼�����。每臺設備應有唯一密碼或者在首次使用時強制用戶設置密碼��。 |
| | 制造商/服務商應有明確機制供安全研究人員報告漏洞��,及時修復。 |
| | 設備應具備可靠的軟件/固件更新功能,能夠及時修補已知漏洞����,而不是用戶長期無法更新����。 |
| | 例如密鑰�、證書、密碼等應安全儲存��,不應以明文形式暴露。 |
| | 設備與云端/網(wǎng)絡通信時��,應采用加密機制,防止數(shù)據(jù)在傳輸過程中被竊聽或篡改 |
| | 設備應禁用未使用接口、服務�、管理端口;減少黑客可能利用的入口����。 |
| | 更新或啟動時應校驗代碼/固件的完整性����,防止被植入惡意代碼��。 |
| | 應采用加密技術和最佳實踐保護個人數(shù)據(jù)安全 |
| | 設備在網(wǎng)絡斷開或服務受阻時���,應有一定的恢復能力��,不能一斷就完全失效。 |
| | 設備應具備適當?shù)谋O(jiān)控或日志機制,以便生產(chǎn)者或服務商發(fā)現(xiàn)異常行為����。 |
| | 用戶應能夠輕松刪除設備上其個人數(shù)據(jù)��,避免設備閑置后數(shù)據(jù)繼續(xù)暴露��。 |
| | 從消費者角度出發(fā),減少人為的安全配置���,提供默認的安全配置�。 |
| | 設備應對外部輸入(如網(wǎng)絡請求�����、傳感器數(shù)據(jù))做驗證,避免通過非法輸入觸發(fā)漏洞���。 |
| | 設備處理���、存儲用戶數(shù)據(jù)時遵守數(shù)據(jù)保護原則(如最少權(quán)限、用戶透明度����、刪除機制)明確用戶能夠控制其數(shù)據(jù)(例如數(shù)據(jù)刪除�、賬戶注銷)設備制造商/供應商應在設計階段就考慮隱私(privacy-by-design) |
1�、通過此標準檢測將大大節(jié)省其他標準合規(guī)整改成本
雖然EN 303 645本身不是所有國家強制的法規(guī)����,但它已成為很多國家或地區(qū)物聯(lián)網(wǎng)安全法規(guī)/指南的參考基線。 采用EN 303 645可為將來可能的法規(guī)(例如歐盟、英國�、澳洲)做好準備,從而降低未來合規(guī)風險和額外成本�。
例如:UK PSTI的標準要求全部來自EN 303 645的標準映射�����,EN 18031標準也有大約70%的測項要求內(nèi)容來自EN 303 645���。
2�����、提升產(chǎn)品自身安全能力及企業(yè)系統(tǒng)化的安全流程
EN 303 645提供了一套針對消費類物聯(lián)網(wǎng)(consumer IoT)設備的網(wǎng)絡安全基線要求����,涵蓋典型風險如默認密碼�����、缺乏身份認證��、通信加密不足等���。
通過實施此標準���,制造商可減少設備被攻擊��、被作為 Botnet��、被用于 DDoS 或數(shù)據(jù)泄露的風險�。 提高產(chǎn)品設計�、生產(chǎn)和支持生命周期中的安全成熟度�����,從“事后補救”轉(zhuǎn)向“設計階段嵌入安全”。同時標準要求制造商建立漏洞報告機制���、安全更新機制等,這不僅是“安全”也是“質(zhì)量”的體現(xiàn)����。長遠來看,產(chǎn)品安全流程完善也能減少售后問題�����、品牌損害�、召回風險,從而節(jié)省成本���。
消費者對于智能設備的安全隱患越來越敏感。具備EN 303 645標準能力可向客戶顯示 "我們遵循國際公認的安全標準"。并且信測可以出具CNAS蓋章的VOC證書�����,在營銷宣傳中,這種認證產(chǎn)品更有助于打造“安全可信”的品牌形象���,從而在競爭中脫穎而出�。
定義:能夠直接或間接通過網(wǎng)絡連接����,并面向個人消費者/家庭使用的智能設備(consumer IoT devices)。
示例:
· 連接互聯(lián)網(wǎng)的兒童玩具���、嬰兒監(jiān)視器。
· 智能攝像頭����、智能門鎖���、煙霧探測器�����、安全報警系統(tǒng)、家庭自動化設備。
· 智能家電(如聯(lián)網(wǎng)冰箱��、洗衣機)��、智能電視���、智能音箱�、家庭中樞/網(wǎng)關設備����。
· 可穿戴設備(智能手表�、健康追蹤器)和與家庭網(wǎng)絡/物聯(lián)網(wǎng)服務相連的設備。
· 物聯(lián)網(wǎng)網(wǎng)關 (IoT hub/gateway) 或作為家庭網(wǎng)絡中樞連接多個設備的設備�����。
· 主要用于工業(yè)�、制造或企業(yè)用途,而非面向消費者使用的聯(lián)網(wǎng)設備�。
· 醫(yī)療用途的設備(例如受醫(yī)療器械法規(guī)管控的產(chǎn)品)通常不在本標準針對的“消費級物聯(lián)網(wǎng)設備”范圍之內(nèi)。
· 道路車輛及其組成部件(即車輛或車用子系統(tǒng))通常屬于其它專門法規(guī)管控范疇�����,不是標準主要目標��。
· 桌面計算機����、筆記本電腦、平板電腦�����、智能手機等傳統(tǒng)通用計算設備�����。
信測標準網(wǎng)絡安全實驗室具備ETSI EN 303 645的CNAS資質(zhì),憑借在ETSI EN 303 645眾多實戰(zhàn)經(jīng)驗和成功檢測案例�,成功幫助客戶獲得認證證書。我們提供ETSI EN 303 645一站式的�、最專業(yè)的檢測和認證服務����,助力制造商滿足歐盟及國際市場的網(wǎng)絡安全要求,實現(xiàn)產(chǎn)品安全出海與合規(guī)競爭力提升��。
信測標準網(wǎng)絡安全實驗室由擁有多年網(wǎng)絡安全經(jīng)驗的網(wǎng)絡安全專家及項目經(jīng)驗豐富的測試工程師組成����,依據(jù)ISO 17025標準建設。目前已具備智能消費電子(含無線電設備)���、汽車及汽車電子����、醫(yī)療電子���、工業(yè)控制網(wǎng)絡����、船級社、數(shù)據(jù)安全��、網(wǎng)絡關鍵設備及網(wǎng)絡安全專用產(chǎn)品�����、軟件測試等多個垂直領域網(wǎng)絡安全檢測與認證能力���,同時還具備網(wǎng)絡安全體系項目咨詢���、安全技術服務等相關服務能力。
信測標準網(wǎng)絡安全實驗室服務能力覆蓋國內(nèi)及海外多地區(qū)�,持有 CNAS 認可及雙 NB 安全資質(zhì),資質(zhì)完備���、服務輻射廣泛�。我們并非傳統(tǒng)意義上的檢測實驗室����,而是站在客戶視角,從體系建設�����、產(chǎn)品安全提升、技術賦能到網(wǎng)絡安全評估等全鏈路��,為客戶提供全面支撐的網(wǎng)絡安全可信伙伴��。
如果您想進一步了解�����,歡迎聯(lián)系咨詢
郵箱:Security@emtek.com.cn
電話:0755-26954280-840
全國熱線:4008-838-258
郵箱: