當地時間12月4日,美國聯邦通訊委員會(FCC)宣布選定知名的測試、檢驗和認證服務商UL Solutions公司作為物聯網安全標簽計劃(Cybersecurity Labeling for Internet of Things)的首席管理員,來確定該標簽計劃的測試程序,并作為FCC和第三方安全標簽管理機構(CLA)的聯絡員。今年3月,FCC作為牽頭部門,通過公開會投票方式正式通過了物聯網安全標簽計劃,在該計劃下,符合相關條件的消費物聯網產品將被賦予網絡安全標識標簽(Cyber Trust Mark),方便消費者根據產品安全信息做出購買決策,同時安全可信產品在市場上具有差異化優勢,激勵物聯網產品制造商推出符合更高安全標準的產品。今年9月,FCC開始接受第三方安全標簽管理機構的申請,到目前確定UL Solutions作為首席管理員,這一計劃的實施進入了快車道。
關于美國物聯網安全標簽計劃,筆者曾在此前多篇文章中進行系統的介紹,本文就圍繞該計劃的管理和檢測認證體系,探索在實施后該計劃是如何運轉的。
物聯網安全標簽計劃的定位:自愿性項目
在FCC公布的美國物聯網安全標簽計劃框架中,著重強調了該計劃是一個自愿性項目,企業可以根據自身需求自愿參與,FCC也認為自愿參與將使該標簽計劃比強制要求參與更容易實現,隨著該計劃的推進,物聯網安全標簽有助于區分市場上符合最低要求的產品,并為消費者提供選擇。
可以看出,FCC在建立這一計劃框架時,考慮到推動強制性參與會帶來一刀切的風險,因此參考了類似于“能源之星”的方案,先通過自愿參與的形式,形成一定規模和消費者的認可,讓消費者自發決策是否選擇帶有安全標識的產品,實現消費者“用腳投票”,最終可能達到一個事實標準的結果。
物聯網安全標簽計劃管理機制:公私部門充分合作
FCC在計劃制定中充分認識到,自愿性物聯網安全標簽計劃要想取得成功,就必須包括聯邦政府、行業和其他利益相關者之間的密切伙伴關系和合作,因此FCC引進了多個第三方私營機構組成管理架構。
早在去年7月,白宮已授權FCC作為物聯網安全標簽計劃的牽頭負責機構,負責該計劃的整體監督和管理。FCC委托旗下的公共安全和國土安全局(PSHSB)推進監管,該機構接受第三方安全標簽管理機構(CLA)的申請,選擇多個CLA推進日常管理工作,并從中確定一個首席管理員,組成了美國物聯網安全標簽管理架構。
其中,安全標簽管理機構(CLA)多數為私營機構,將對企業物聯網產品安全標簽申請進行評估,確保廠商產品能夠訪問必需的安全信息,并執行標簽上市后的持續監督工作,可以說CLA主要承擔著標簽計劃認證的具體工作,因此其角色非常關鍵。
而首席管理員除了要承擔CLA的角色外,還充當各個CLA之間聯絡和協調員角色。其職責包括:
代表CLA與FCC進行溝通,包括但不限于向FCC提交那些不符合標簽授予標準但獲得標簽產品的投訴;
酌情開展利益相關方外聯活動;
接受、審查、批準或拒絕實驗室的申請,這些實驗室有權進行必要的符合性測試,以支持貼上FCC物聯網標簽的申請,并管理認可和被拒絕認可的實驗室名單;
在公布首席管理員的公告期90天內,首席管理員應酌情與CLA和其他利益相關者(如來自產業、政府和學術界的專家)進行合作,包括向管理當局提供認證標準和程序的建議、不同類別物聯網產品標簽授權頻率、CLA對標簽上市后監督的建議、物聯網安全標簽設計的建議等
物聯網安全標簽2階段認證流程
在FCC的方案中建立起了2階段的物聯網安全標簽認證流程,第一步由授權實驗室進行產品安全符合性測試,第二步由CLA進行產品安全標簽認證。
在第一步產品安全符合性測試中,FCC要求測試實驗室必須按照特定標準和程序進行測試,FCC不認可供應商自身做出符合性聲明的形式,所有產品必須在授權的第三方實驗室測試。
在第二步認證中,使用安全標簽的制造商需要向CLA提交認證申請,其中包括一份詳細的、由授權實驗室進行的符合性測試的報告。CLA可以收取合理的費用,以支付審核申請的成本以及CLA需執行的其他任務的成本。
CLA將詳細審查申請和支持文件以確保其完整和合規,并出具批準或拒絕申請的結論。若拒絕申請需說明被拒的原因,申請人將有機會糾正CLA確定的缺陷并重新提交申請。針對有爭議的決議,有專門的復審流程。
公共安全和國土安全局會發布公告,提供有關如何申請和使用物聯網安全標簽的更多詳細信息,包括但不限于申請的信息元素、備案要求和標簽使用信息,如標簽的描述或照片以及如何以及粘貼到產品什么位置,也包括如何請求對提交的信息進行保密處理等。
授權實驗室是認證過程中的關鍵機構,它們負責進行物聯網產品安全符合性測試并生成報告。FCC接受各種類型的實驗室作為物聯網安全標簽測試實驗室,包括已有的網絡安全測試實驗室、CLA運營的實驗室等,FCC也認可已獲得ISO/IEC 17025標準認證的測試實驗室可進行符合性測試。公共安全和國土安全局會發布授權實驗室的要求和標準,授權實驗室可以設在美國境外,但可能會有一些額外的標準和程序。首席管理員將對所有經過認證和認可的授權實驗室進行定期審計和審查。
標簽計劃遵循NIST標準
FCC采用NIST推薦的物聯網標準作為物聯網安全標簽計劃的基礎,即NIST IR 8425標準《消費物聯網產品核心基線文件》,該標準包括以下產品能力:資產識別、產品配置、數據保護、接口訪問控制、軟件更新、網絡安全國家意識。
FCC將與利益相關者合作,確定涵蓋核心基線或提供同等要求的公認標準。FCC將指導首席管理員根據NISTIR 8425中包含的消費物聯網產品核心基線進行具體標準的制定,NIST標準是通用指南,但其必須進一步發展為產品規范和相應的測試程序,確保能夠進行一致性測試。首席管理員可以確定市場上已經存在的現有標準或方案,這些標準或方案可以隨時調整應用于標簽計劃中。例如,方案中提到,征求意見階段多個組織提出歐洲和新加坡的物聯網安全標簽計劃遵循歐洲通信標準化協會(ETSI)出臺的EN 303 645標準,未來,不排除ETIS相關標準與NIST融合為美歐通用標準。
首席管理員已積累了長期經驗
UL Solutions作為一家第三方認證公司,對多種技術解決方案進行認證,物聯網安全認證也是其中一項重要的業務。UL Solutions此次被選為物聯網安全標簽計劃的首席管理員,背后有其對于物聯網測試認證長期的積累。例如,早在2020年,UL Solutions就推出了專為物聯網產品設計的安全驗證和標簽解決方案——物聯網安全評級服務,按照青銅、白銀、黃金、鉑金和鉆石五個等級進行產品分類,經過驗證的產品將獲得相應的UL物聯網安全評級驗證標簽(指明產品達到的安全級別),并由UL進行持續評估。
UL Solutions進入中國四十多年,在國內廣泛開展業務,目前在國內設有12個分支機構以及8個大型實驗室,以及眾多獲得UL認可的第三方合作實驗室和客戶實驗室。2016年在東莞松山湖建立的物聯網實驗室就是國內8個大型實驗室之一,其中最重要的一個任務就是對企業生產的智能產品進行多個方面的測試,包括互通性、兼容性、可用性、數據安全性、網絡安全性、快速充電、電磁兼容性等,已覆蓋智能家居、車載信息娛樂設備、可穿戴設備、機器人、VR等眾多領域。
作為美國物聯網安全標簽計劃的首席管理員,UL Solutions對于物聯網安全認證的經驗和程序或許會逐漸推薦至標簽計劃中,進一步擴大了物聯網安全認證的范圍。
目前,國內已開展物聯網安全標簽計劃的深入研究,加快推進中國版的物聯網安全標簽計劃,提升國內物聯網產品安全水平。當然,美國物聯網安全標簽計劃是通過總統行政令的形式推動的,明確了安全標簽計劃的標準、原則、責任機構和時間進度要求等。物聯網涉及眾多領域,中國版物聯網安全標簽計劃也需要頂層設計來籌劃,并設定明確的要求,形成分工協作的管理機制,建立與全球主要經濟體互通的標準體系和測試實驗室。除此之外,國內的物聯網企業,尤其是消費物聯網廠商面對海外市場,必須加強對物聯網安全標簽計劃的研究,與合格的測試認證機構合作,深入跟蹤標簽計劃實施的細則,提升產品出海的競爭力。
