欧盟EN 303 645是欧洲电信标准协会(ETSI)发布的全球首个针对消费类物联网设备的网络安全标准,以下是对该标准的详细介绍:
一、背景与目的
背景:随着物联网(IoT)设备的普及,网络安全问题日益凸显。为了保障消费者隐私、防御网络威胁并提升设备安全性,ETSI发布了EN 303 645标准。
目的:该标准旨在提供一套综合安全要求,为连接互联网的消费类产品建立安全基线,防止对基本设计缺陷而进行的初级攻击,减少个人数据泄露的风险。
二、主要内容
适用范围:EN 303 645标准适用于消费类物联网设备,如智能家居设备(智能灯泡、智能插座等)、智能穿戴设备(智能手表、健身追踪器等)、智能安防设备(摄像头、门锁等)以及其他联网设备(智能家电、儿童玩具等)。
安全要求:该标准涵盖了安全通信、软件更新、密码保护和漏洞处理等方面,具体包括:
无通用默认密码:设备密码必须唯一或由用户定义,避免使用通用默认密码。
漏洞报告管理:制造商应公开漏洞披露政策,包括报告问题的联系方式、时间表等信息。
保持软件更新:制造商应提供及时的软件更新,以修复漏洞并提升设备性能。
安全存储敏感参数:敏感的安全参数应得到安全存储,防止未经授权的访问。
安全通信:设备与外界进行通信时,应使用加密技术保护数据安全。
减少暴露攻击面:制造商应尽量减少设备的暴露攻击面,降低被攻击的风险。
确保软件完整性:设备应能够验证软件的完整性,防止恶意软件的注入。
保护个人数据:制造商应明确告知用户收集的数据类型、使用目的等信息,并取得用户同意。
使系统对中断有弹性:设备应具备一定的抗中断能力,确保在异常情况下仍能正常运行。
检查系统遥测数据:制造商应定期检查设备的遥测数据,及时发现并处理异常情况。
使用户容易删除用户数据:设备应提供简单易用的机制,使用户能够轻松删除自己的数据。
简化设备安装和维护:制造商应提供清晰的安装和维护指南,降低用户的使用门槛。
验证输入数据:设备应对输入的数据进行验证,确保数据的正确性和安全性。
三、实施与影响
实施时间表:EN 303 645标准于2020年6月正式发布,并已成为欧盟《网络安全法案》(EU Cybersecurity Act)下“基础”级物联网保障的合规基础。此外,该标准还被纳入修订后的欧盟《无线电设备指令》(RED)的强制要求,自2024年8月起生效。
影响范围:EN 303 645标准不仅适用于欧盟市场,还在全球范围内得到广泛参考和引用。许多国家和地区,如新加坡、芬兰等,都采用了该标准或其要求作为法规或认证计划的基础。
合规挑战:对于物联网设备制造商来说,符合EN 303 645标准要求是一项严峻挑战。制造商需要投入更多资源来确保产品在设计、开发和生产过程中满足基本网络安全要求,并建立完善的漏洞管理、软件更新等机制。
四、测试与认证
测试方法:EN 303 645标准的测试方法包括文档审查、配置检查、功能验证、渗透测试等。测试实验室将基于“实现一致性声明”(ICS)和“实现额外信息”(IXIT)表对产品进行测试评估。
认证服务:许多第三方检测机构提供EN 303 645标准的测试认证服务,帮助制造商确保产品符合标准要求并获得国际认可的网络安全保障能力。
