GDPR-ETSI/EN 303645，IEC 62443-4-2，英國(guó)PSTI, 加州SB 327，美國(guó)NISTIR 8259, CCPA網(wǎng)絡(luò)安全認(rèn)證歡迎聯(lián)系我。

關(guān)于網(wǎng)絡(luò)安全認(rèn)證，客戶最通常詢問的個(gè)問題是："這是強(qiáng)制要求認(rèn)證的嗎？

簡(jiǎn)單的回答是“是的”。 但和所有的認(rèn)證一樣，都有具體針對(duì)性。而且具體的要求還是快速變化的。 讓我們來概覽一下: 當(dāng)前哪些國(guó)家有強(qiáng)制要求網(wǎng)絡(luò)安全認(rèn)證；接下來，又會(huì)有哪些國(guó)家會(huì)實(shí)行強(qiáng)制認(rèn)證方案？

很多人習(xí)慣把沒有強(qiáng)制認(rèn)證方案解讀成沒有強(qiáng)制需要符合的要求，當(dāng)然，事情并不是這樣的。 以歐盟LVD 低電壓指令為例，沒有強(qiáng)制的認(rèn)證要求，但是產(chǎn)品仍必須符合指令以及指令當(dāng)中所列的對(duì)應(yīng)標(biāo)準(zhǔn)。

我們來看看不同的地區(qū)對(duì)網(wǎng)絡(luò)安全的要求。

歐洲

GDPR – 通用數(shù)據(jù)保護(hù)法規(guī)

雖然不被認(rèn)為是典型的“網(wǎng)絡(luò)安全”，但信息安全是網(wǎng)絡(luò)安全的重要組成部分。對(duì)于個(gè)人信息的保護(hù)，網(wǎng)絡(luò)安全是先決條件，而網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，如歐洲消費(fèi)者物聯(lián)網(wǎng)規(guī)范，規(guī)定了一套關(guān)于處理各類個(gè)人信息的要求。使用不符合這些要求的產(chǎn)品將危及您的GDPR遵從性。

RED - 無線設(shè)備指令

同樣，這個(gè)指令并不是很多人認(rèn)為的網(wǎng)絡(luò)安全指令，但是RED指令第3章包含了保護(hù)網(wǎng)絡(luò)和個(gè)人信息的條款。雖然這些條款尚未生效，但相關(guān)的工作已經(jīng)正在進(jìn)行中。

EU 網(wǎng)絡(luò)安全法

該法案描述了產(chǎn)品、服務(wù)和過程控制的認(rèn)證方案。產(chǎn)品認(rèn)證方案草案已于2020年7月發(fā)布，最終版本預(yù)計(jì)將于2021年第二季度發(fā)布。該認(rèn)證最初將是自愿的，但起要求并非自愿的。對(duì)于消費(fèi)級(jí)物聯(lián)網(wǎng)產(chǎn)品，預(yù)期標(biāo)準(zhǔn)是ETSI/EN 303 645，IEC 62443-4-2，Nemko已經(jīng)在使用該標(biāo)準(zhǔn)網(wǎng)絡(luò)安全。

UK

英國(guó)正在實(shí)施一項(xiàng)強(qiáng)制性網(wǎng)絡(luò)安全法規(guī)，該法規(guī)適用于所有進(jìn)入英國(guó)市的物聯(lián)網(wǎng)消費(fèi)產(chǎn)品。產(chǎn)品必須通過立法規(guī)定的安全要求或的標(biāo)準(zhǔn)，確保滿足的安全措施。最近發(fā)布的EN 303 645就是“標(biāo)準(zhǔn)清單”上的其中一個(gè)標(biāo)準(zhǔn)，預(yù)計(jì)該標(biāo)準(zhǔn)清單將隨著時(shí)間的推移而增加，以幫助企業(yè)簡(jiǎn)化他們的工作。具有諷刺意味的是，考慮到英國(guó)脫歐，英國(guó)的監(jiān)管比《歐盟網(wǎng)絡(luò)安全法》更符合典型的指令。英國(guó)的法規(guī)有兩種替代途徑——要么執(zhí)行立法中詳細(xì)規(guī)定的安全要求，要么滿足列出的標(biāo)準(zhǔn)要求。由于英國(guó)在ETSI/EN 303 645標(biāo)準(zhǔn)的發(fā)展中發(fā)揮了重要作用，因此特別提到了該標(biāo)準(zhǔn)。此外，機(jī)構(gòu)將有權(quán)進(jìn)行調(diào)查，并采取措施確保法規(guī)符合性。英國(guó)將于2024年4月29日強(qiáng)制執(zhí)行PSTI網(wǎng)絡(luò)安全認(rèn)證要求。

芬蘭

以Traficom為代表的芬蘭當(dāng)局推出了一項(xiàng)物聯(lián)網(wǎng)消費(fèi)品標(biāo)簽計(jì)劃。這樣做既是為了展示產(chǎn)品安全性，也為了促進(jìn)提高消費(fèi)者的普遍意識(shí)。標(biāo)簽方案使用ETSI/EN 303 645的方案，并添加了一些內(nèi)容。Nemko目前正在完成一個(gè)試點(diǎn)項(xiàng)目，讓Traficom接受Nemko物聯(lián)網(wǎng)網(wǎng)絡(luò)認(rèn)證方案作為芬蘭網(wǎng)絡(luò)安全標(biāo)簽的基礎(chǔ)。

美國(guó) NISTIR 8259

物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案

2020年12月，美國(guó)簽署了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案，對(duì)聯(lián)邦機(jī)構(gòu)使用的物聯(lián)網(wǎng)設(shè)備提出了要求。由于聯(lián)邦機(jī)構(gòu)基本上可以使用任何物聯(lián)網(wǎng)設(shè)備，這將成為美國(guó)事實(shí)上的要求。該法規(guī)目前只等待NIST(國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所)最終確定標(biāo)準(zhǔn)和指導(dǎo)方針。這意味著我們可以期待美國(guó)將會(huì)實(shí)施類似現(xiàn)在產(chǎn)品安全要求的網(wǎng)絡(luò)安全要求。

加州法案

作為全球第五大經(jīng)濟(jì)體，美國(guó)加州于2020年1月1日推出了聯(lián)網(wǎng)消費(fèi)品的要求。使用ETSI/EN 303 645標(biāo)準(zhǔn)的Nemko網(wǎng)絡(luò)安全認(rèn)證將涵蓋該法的要求。

俄勒岡州

俄勒岡州也于2020年1月1日對(duì)物聯(lián)網(wǎng)產(chǎn)品提出了類似要求。就像加州的法律一樣，Nemko的網(wǎng)絡(luò)安全認(rèn)證方案也將涵蓋這些要求。

亞洲

新加坡

新加坡信息媒體發(fā)展局(IMDA)于2021年4月12日對(duì)所有新的住宅網(wǎng)關(guān)/路由器提出強(qiáng)制性要求。從2021年10月12日起，市場(chǎng)上的所有此類產(chǎn)品必須符合IMDA TS RG_SEC 的要求。之所以選擇這些產(chǎn)品，是因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)信息安全方面特別重要，這些設(shè)備是直接連接到互聯(lián)網(wǎng)的道防線。這類產(chǎn)品已經(jīng)成為幾次全球惡意攻擊的目標(biāo)，例如臭名昭著的Mirai蠕蟲事件。

新加坡的這一方案具體要求與歐洲標(biāo)準(zhǔn)ETSI/EN 303 645相似。

?

依據(jù)《網(wǎng)絡(luò)安全法》第二十三條的規(guī)定，對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全產(chǎn)品需依據(jù)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求開展安全認(rèn)證。對(duì)應(yīng)的實(shí)施規(guī)則是CNCA-CCIS-2018。 具體在范圍內(nèi)的產(chǎn)品可查閱實(shí)施規(guī)則附件1。

制造商該怎么做?

不同制造商對(duì)網(wǎng)絡(luò)安全的關(guān)注和知識(shí)差異很大，但絕大多數(shù)都不符合當(dāng)今的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)目前雖然還不是所有國(guó)家都必須遵守的，但是在目前正在設(shè)計(jì)的產(chǎn)品的生命周期內(nèi)，大多數(shù)市場(chǎng)都需要這些標(biāo)準(zhǔn)。

根據(jù)制造商的不同成熟度，可以從不同的切入點(diǎn)開始網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的結(jié)構(gòu)化工作。那些新進(jìn)入該領(lǐng)域的制造商可以選擇先對(duì)標(biāo)準(zhǔn)進(jìn)行學(xué)習(xí)和了解。

更成熟的制造商可以選擇直接去他們的產(chǎn)品是否符合標(biāo)準(zhǔn)。在進(jìn)行這樣的時(shí)，邀請(qǐng)像Nemko這樣的標(biāo)準(zhǔn)專家參與將是有益的。這樣既有知識(shí)淵博、經(jīng)驗(yàn)豐富的專家根據(jù)標(biāo)準(zhǔn)進(jìn)行，也要能夠向客戶表明是由獨(dú)立的第三方機(jī)構(gòu)完成的，確保了公正性。

由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（簡(jiǎn)稱NIST）制定的NISTIR 8259A技術(shù)標(biāo)準(zhǔn)規(guī)范評(píng)估及測(cè)試認(rèn)證可以完成。包括但不限于檢查設(shè)備安全配置以保障設(shè)備的安全性；評(píng)估邏輯接口部署的授權(quán)機(jī)制；核對(duì)軟件/固件的升級(jí)過程，及升級(jí)機(jī)制對(duì)漏洞進(jìn)行補(bǔ)丁的能力；審查安全事件日志；確認(rèn)其實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件或隱患的排查。

?

NISTIR 8259A 美國(guó)物聯(lián)網(wǎng)安全認(rèn)證，ETSI/EN 303645歐洲物聯(lián)網(wǎng)安全認(rèn)證歡迎聯(lián)系我。

?

?

?