美国物联网安全标签计划首席管理员已确定,计划实施加速
当地时间12月4日,美国联邦通讯委员会(FCC)宣布选定知名的测试、检验和认证服务商UL Solutions公司作为物联网安全标签计划(Cybersecurity Labeling for Internet of Things)的首席管理员,来确定该标签计划的测试程序,并作为FCC和第三方安全标签管理机构(CLA)的联络员。今年3月,FCC作为牵头部门,通过公开会投票方式正式通过了物联网安全标签计划,在该计划下,符合相关条件的消费物联网产品将被赋予网络安全标识标签(Cyber Trust Mark),方便消费者根据产品安全信息做出购买决策,同时安全可信产品在市场上具有差异化优势,激励物联网产品制造商推出符合更高安全标准的产品。今年9月,FCC开始接受第三方安全标签管理机构的申请,到目前确定UL Solutions作为首席管理员,这一计划的实施进入了快车道。
关于美国物联网安全标签计划,笔者曾在此前多篇文章中进行系统的介绍,本文就围绕该计划的管理和检测认证体系,探索在实施后该计划是如何运转的。
物联网安全标签计划的定位:自愿性项目
在FCC公布的美国物联网安全标签计划框架中,着重强调了该计划是一个自愿性项目,企业可以根据自身需求自愿参与,FCC也认为自愿参与将使该标签计划比强制要求参与更容易实现,随着该计划的推进,物联网安全标签有助于区分市场上符合最低要求的产品,并为消费者提供选择。
可以看出,FCC在建立这一计划框架时,考虑到推动强制性参与会带来一刀切的风险,因此参考了类似于“能源之星”的方案,先通过自愿参与的形式,形成一定规模和消费者的认可,让消费者自发决策是否选择带有安全标识的产品,实现消费者“用脚投票”,最终可能达到一个事实标准的结果。
物联网安全标签计划管理机制:公私部门充分合作
FCC在计划制定中充分认识到,自愿性物联网安全标签计划要想取得成功,就必须包括联邦政府、行业和其他利益相关者之间的密切伙伴关系和合作,因此FCC引进了多个第三方私营机构组成管理架构。
早在去年7月,白宫已授权FCC作为物联网安全标签计划的牵头负责机构,负责该计划的整体监督和管理。FCC委托旗下的公共安全和国土安全局(PSHSB)推进监管,该机构接受第三方安全标签管理机构(CLA)的申请,选择多个CLA推进日常管理工作,并从中确定一个首席管理员,组成了美国物联网安全标签管理架构。
其中,安全标签管理机构(CLA)多数为私营机构,将对企业物联网产品安全标签申请进行评估,确保厂商产品能够访问必需的安全信息,并执行标签上市后的持续监督工作,可以说CLA主要承担着标签计划认证的具体工作,因此其角色非常关键。
而首席管理员除了要承担CLA的角色外,还充当各个CLA之间联络和协调员角色。其职责包括:
代表CLA与FCC进行沟通,包括但不限于向FCC提交那些不符合标签授予标准但获得标签产品的投诉;
酌情开展利益相关方外联活动;
接受、审查、批准或拒绝实验室的申请,这些实验室有权进行必要的符合性测试,以支持贴上FCC物联网标签的申请,并管理认可和被拒绝认可的实验室名单;
在公布首席管理员的公告期90天内,首席管理员应酌情与CLA和其他利益相关者(如来自产业、政府和学术界的专家)进行合作,包括向管理当局提供认证标准和程序的建议、不同类别物联网产品标签授权频率、CLA对标签上市后监督的建议、物联网安全标签设计的建议等
物联网安全标签2阶段认证流程
在FCC的方案中建立起了2阶段的物联网安全标签认证流程,第一步由授权实验室进行产品安全符合性测试,第二步由CLA进行产品安全标签认证。
在第一步产品安全符合性测试中,FCC要求测试实验室必须按照特定标准和程序进行测试,FCC不认可供应商自身做出符合性声明的形式,所有产品必须在授权的第三方实验室测试。
在第二步认证中,使用安全标签的制造商需要向CLA提交认证申请,其中包括一份详细的、由授权实验室进行的符合性测试的报告。CLA可以收取合理的费用,以支付审核申请的成本以及CLA需执行的其他任务的成本。
CLA将详细审查申请和支持文件以确保其完整和合规,并出具批准或拒绝申请的结论。若拒绝申请需说明被拒的原因,申请人将有机会纠正CLA确定的缺陷并重新提交申请。针对有争议的决议,有专门的复审流程。
公共安全和国土安全局会发布公告,提供有关如何申请和使用物联网安全标签的更多详细信息,包括但不限于申请的信息元素、备案要求和标签使用信息,如标签的描述或照片以及如何以及粘贴到产品什么位置,也包括如何请求对提交的信息进行保密处理等。
授权实验室是认证过程中的关键机构,它们负责进行物联网产品安全符合性测试并生成报告。FCC接受各种类型的实验室作为物联网安全标签测试实验室,包括已有的网络安全测试实验室、CLA运营的实验室等,FCC也认可已获得ISO/IEC 17025标准认证的测试实验室可进行符合性测试。公共安全和国土安全局会发布授权实验室的要求和标准,授权实验室可以设在美国境外,但可能会有一些额外的标准和程序。首席管理员将对所有经过认证和认可的授权实验室进行定期审计和审查。
标签计划遵循NIST标准
FCC采用NIST推荐的物联网标准作为物联网安全标签计划的基础,即NIST IR 8425标准《消费物联网产品核心基线文件》,该标准包括以下产品能力:资产识别、产品配置、数据保护、接口访问控制、软件更新、网络安全国家意识。
FCC将与利益相关者合作,确定涵盖核心基线或提供同等要求的公认标准。FCC将指导首席管理员根据NISTIR 8425中包含的消费物联网产品核心基线进行具体标准的制定,NIST标准是通用指南,但其必须进一步发展为产品规范和相应的测试程序,确保能够进行一致性测试。首席管理员可以确定市场上已经存在的现有标准或方案,这些标准或方案可以随时调整应用于标签计划中。例如,方案中提到,征求意见阶段多个组织提出欧洲和新加坡的物联网安全标签计划遵循欧洲通信标准化协会(ETSI)出台的EN 303 645标准,未来,不排除ETIS相关标准与NIST融合为美欧通用标准。
首席管理员已积累了长期经验
UL Solutions作为一家第三方认证公司,对多种技术解决方案进行认证,物联网安全认证也是其中一项重要的业务。UL Solutions此次被选为物联网安全标签计划的首席管理员,背后有其对于物联网测试认证长期的积累。例如,早在2020年,UL Solutions就推出了专为物联网产品设计的安全验证和标签解决方案——物联网安全评级服务,按照青铜、白银、黄金、铂金和钻石五个等级进行产品分类,经过验证的产品将获得相应的UL物联网安全评级验证标签(指明产品达到的安全级别),并由UL进行持续评估。
UL Solutions进入中国四十多年,在国内广泛开展业务,目前在国内设有12个分支机构以及8个大型实验室,以及众多获得UL认可的第三方合作实验室和客户实验室。2016年在东莞松山湖建立的物联网实验室就是国内8个大型实验室之一,其中最重要的一个任务就是对企业生产的智能产品进行多个方面的测试,包括互通性、兼容性、可用性、数据安全性、网络安全性、快速充电、电磁兼容性等,已覆盖智能家居、车载信息娱乐设备、可穿戴设备、机器人、VR等众多领域。
作为美国物联网安全标签计划的首席管理员,UL Solutions对于物联网安全认证的经验和程序或许会逐渐推荐至标签计划中,进一步扩大了物联网安全认证的范围。
目前,国内已开展物联网安全标签计划的深入研究,加快推进中国版的物联网安全标签计划,提升国内物联网产品安全水平。当然,美国物联网安全标签计划是通过总统行政令的形式推动的,明确了安全标签计划的标准、原则、责任机构和时间进度要求等。物联网涉及众多领域,中国版物联网安全标签计划也需要顶层设计来筹划,并设定明确的要求,形成分工协作的管理机制,建立与全球主要经济体互通的标准体系和测试实验室。除此之外,国内的物联网企业,尤其是消费物联网厂商面对海外市场,必须加强对物联网安全标签计划的研究,与合格的测试认证机构合作,深入跟踪标签计划实施的细则,提升产品出海的竞争力。