隨著歐盟對消費類物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全監(jiān)管的持續(xù)強化�,EN 303 645《消費類物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求標(biāo)準》 已成為全球消費級 IoT 產(chǎn)品安全設(shè)計與合規(guī)的基準���。信測標(biāo)準網(wǎng)絡(luò)安全實驗室具備ETSI EN 303 645標(biāo)準檢測能力,并具備CNAS資質(zhì)��。
隨著歐盟《無線電設(shè)備指令(RED)》網(wǎng)絡(luò)安全附件的生效��,以及英國���、澳大利亞等國家陸續(xù)出臺智能設(shè)備安全法規(guī)���,全球智能設(shè)備產(chǎn)業(yè)正進入“強制安全合規(guī)”時代����。ETSI EN 303 645 提供一個“最低安全設(shè)計基線”,以提升消費者物聯(lián)網(wǎng)設(shè)備整體的安全水平�����。
在歐盟市場中���,EN 303 645《消費類物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求標(biāo)準》已成為制造商評估設(shè)備安全能力���、滿足法規(guī)要求的核心依據(jù)��。該標(biāo)準由歐洲電信標(biāo)準化協(xié)會(ETSI)制定����,被視為全球物聯(lián)網(wǎng)安全的事實通用框架(de facto standard)����,也是歐盟、英國及澳洲多項法規(guī)的基礎(chǔ)��。
對于即將或已經(jīng)進入歐盟市場的產(chǎn)品��,符合 EN 303 645 標(biāo)準��,不僅是獲得市場準入的關(guān)鍵門檻����,也代表企業(yè)具備了國際認可的網(wǎng)絡(luò)安全保障能力。
新標(biāo)準:
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/03.01.03_60/en_303645v030103p.pdf
舊標(biāo)準:
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
ETSI EN 303 645 標(biāo)準內(nèi)容概覽
| | |
| | 備出廠不得使用容易猜的密碼����。每臺設(shè)備應(yīng)有唯一密碼或者在首次使用時強制用戶設(shè)置密碼。 |
| | 制造商/服務(wù)商應(yīng)有明確機制供安全研究人員報告漏洞���,及時修復(fù)��。 |
| | 設(shè)備應(yīng)具備可靠的軟件/固件更新功能���,能夠及時修補已知漏洞�,而不是用戶長期無法更新���。 |
| | 例如密鑰��、證書��、密碼等應(yīng)安全儲存���,不應(yīng)以明文形式暴露。 |
| | 設(shè)備與云端/網(wǎng)絡(luò)通信時��,應(yīng)采用加密機制�����,防止數(shù)據(jù)在傳輸過程中被竊聽或篡改 |
| | 設(shè)備應(yīng)禁用未使用接口�、服務(wù)����、管理端口;減少黑客可能利用的入口��。 |
| | 更新或啟動時應(yīng)校驗代碼/固件的完整性�,防止被植入惡意代碼。 |
| | 應(yīng)采用加密技術(shù)和最佳實踐保護個人數(shù)據(jù)安全 |
| 確保系統(tǒng)具備應(yīng)對中斷的能力 | 設(shè)備在網(wǎng)絡(luò)斷開或服務(wù)受阻時���,應(yīng)有一定的恢復(fù)能力���,不能一斷就完全失效�。 |
| | 設(shè)備應(yīng)具備適當(dāng)?shù)谋O(jiān)控或日志機制,以便生產(chǎn)者或服務(wù)商發(fā)現(xiàn)異常行為�。 |
| | 用戶應(yīng)能夠輕松刪除設(shè)備上其個人數(shù)據(jù),避免設(shè)備閑置后數(shù)據(jù)繼續(xù)暴露���。 |
| | 從消費者角度出發(fā)���,減少人為的安全配置,提供默認的安全配置���。 |
| | 設(shè)備應(yīng)對外部輸入(如網(wǎng)絡(luò)請求�����、傳感器數(shù)據(jù))做驗證�����,避免通過非法輸入觸發(fā)漏洞�。 |
| | 設(shè)備處理��、存儲用戶數(shù)據(jù)時遵守數(shù)據(jù)保護原則(如最少權(quán)限���、用戶透明度����、刪除機制)明確用戶能夠控制其數(shù)據(jù)(例如數(shù)據(jù)刪除����、賬戶注銷)設(shè)備制造商/供應(yīng)商應(yīng)在設(shè)計階段就考慮隱私(privacy-by-design) |
1��、通過此標(biāo)準檢測將大大節(jié)省其他標(biāo)準合規(guī)整改成本
雖然EN 303 645本身不是所有國家強制的法規(guī),但它已成為很多國家或地區(qū)物聯(lián)網(wǎng)安全法規(guī)/指南的參考基線���。 采用EN 303 645可為將來可能的法規(guī)(例如歐盟�、英國�����、澳洲)做好準備�,從而降低未來合規(guī)風(fēng)險和額外成本。
例如:UK PSTI的標(biāo)準要求全部來自EN 303 645的標(biāo)準映射�����,EN 18031標(biāo)準也有大約70%的測項要求內(nèi)容來自EN 303 645�����。
2���、提升產(chǎn)品自身安全能力及企業(yè)系統(tǒng)化的安全流程
EN 303 645提供了一套針對消費類物聯(lián)網(wǎng)(consumer IoT)設(shè)備的網(wǎng)絡(luò)安全基線要求��,涵蓋典型風(fēng)險如默認密碼���、缺乏身份認證��、通信加密不足等�。
通過實施此標(biāo)準����,制造商可減少設(shè)備被攻擊、被作為 Botnet、被用于 DDoS 或數(shù)據(jù)泄露的風(fēng)險�。 提高產(chǎn)品設(shè)計、生產(chǎn)和支持生命周期中的安全成熟度���,從“事后補救”轉(zhuǎn)向“設(shè)計階段嵌入安全”�����。同時標(biāo)準要求制造商建立漏洞報告機制��、安全更新機制等����,這不僅是“安全”也是“質(zhì)量”的體現(xiàn)。長遠來看���,產(chǎn)品安全流程完善也能減少售后問題���、品牌損害、召回風(fēng)險����,從而節(jié)省成本。
消費者對于智能設(shè)備的安全隱患越來越敏感���。具備EN 303 645標(biāo)準能力可向客戶顯示 "我們遵循國際公認的安全標(biāo)準"�����。并且信測可以出具CNAS蓋章的VOC證書��,在營銷宣傳中���,這種認證產(chǎn)品更有助于打造“安全可信”的品牌形象,從而在競爭中脫穎而出�����。
定義:能夠直接或間接通過網(wǎng)絡(luò)連接��,并面向個人消費者/家庭使用的智能設(shè)備(consumer IoT devices)����。
示例:
· 連接互聯(lián)網(wǎng)的兒童玩具、嬰兒監(jiān)視器��。
· 智能攝像頭����、智能門鎖、煙霧探測器、安全報警系統(tǒng)����、家庭自動化設(shè)備�。
· 智能家電(如聯(lián)網(wǎng)冰箱�����、洗衣機)����、智能電視��、智能音箱、家庭中樞/網(wǎng)關(guān)設(shè)備�����。
· 可穿戴設(shè)備(智能手表�����、健康追蹤器)和與家庭網(wǎng)絡(luò)/物聯(lián)網(wǎng)服務(wù)相連的設(shè)備�����。
· 物聯(lián)網(wǎng)網(wǎng)關(guān) (IoT hub/gateway) 或作為家庭網(wǎng)絡(luò)中樞連接多個設(shè)備的設(shè)備。
· 主要用于工業(yè)���、制造或企業(yè)用途�����,而非面向消費者使用的聯(lián)網(wǎng)設(shè)備�。
· 醫(yī)療用途的設(shè)備(例如受醫(yī)療器械法規(guī)管控的產(chǎn)品)通常不在本標(biāo)準針對的“消費級物聯(lián)網(wǎng)設(shè)備”范圍之內(nèi)�。
· 道路車輛及其組成部件(即車輛或車用子系統(tǒng))通常屬于其它專門法規(guī)管控范疇����,不是標(biāo)準主要目標(biāo)���。
· 桌面計算機、筆記本電腦�����、平板電腦���、智能手機等傳統(tǒng)通用計算設(shè)備�����。
信測標(biāo)準服務(wù)能力與優(yōu)勢
信測標(biāo)準網(wǎng)絡(luò)安全實驗室具備ETSI EN 303 645的CNAS資質(zhì)�,憑借在ETSI EN 303 645眾多實戰(zhàn)經(jīng)驗和成功檢測案例,成功幫助客戶獲得認證證書�。我們提供ETSI EN 303 645一站式的、最專業(yè)的檢測和認證服務(wù)���,助力制造商滿足歐盟及國際市場的網(wǎng)絡(luò)安全要求����,實現(xiàn)產(chǎn)品安全出海與合規(guī)競爭力提升��。
信測標(biāo)準網(wǎng)絡(luò)安全實驗室由擁有多年網(wǎng)絡(luò)安全經(jīng)驗的網(wǎng)絡(luò)安全專家及項目經(jīng)驗豐富的測試工程師組成���,依據(jù)ISO 17025標(biāo)準建設(shè)�����。目前已具備智能消費電子(含無線電設(shè)備)���、汽車及汽車電子、醫(yī)療電子��、工業(yè)控制網(wǎng)絡(luò)�、船級社���、數(shù)據(jù)安全、網(wǎng)絡(luò)關(guān)鍵設(shè)備及網(wǎng)絡(luò)安全專用產(chǎn)品�、軟件測試等多個垂直領(lǐng)域網(wǎng)絡(luò)安全檢測與認證能力���,同時還具備網(wǎng)絡(luò)安全體系項目咨詢����、安全技術(shù)服務(wù)等相關(guān)服務(wù)能力���。
信測標(biāo)準網(wǎng)絡(luò)安全實驗室服務(wù)能力覆蓋國內(nèi)及海外多地區(qū)����,持有 CNAS 認可及雙 NB 安全資質(zhì)���,資質(zhì)完備��、服務(wù)輻射廣泛��。我們并非傳統(tǒng)意義上的檢測實驗室��,而是站在客戶視角���,從體系建設(shè)�、產(chǎn)品安全提升、技術(shù)賦能到網(wǎng)絡(luò)安全評估等全鏈路��,為客戶提供全面支撐的網(wǎng)絡(luò)安全可信伙伴��。
郵箱:Security@emtek.com.cn
電話:0755-26954280-840
全國熱線:4008-838-258
郵箱: