隨著歐盟對消費類物聯網設備網絡安全監(jiān)管的持續(xù)強化��,EN 303 645《消費類物聯網設備網絡安全要求標準》 已成為全球消費級 IoT 產品安全設計與合規(guī)的基準����。信測標準網絡安全實驗室具備ETSI EN 303 645標準檢測能力����,并具備CNAS資質�。
隨著歐盟《無線電設備指令(RED)》網絡安全附件的生效,以及英國�、澳大利亞等國家陸續(xù)出臺智能設備安全法規(guī),全球智能設備產業(yè)正進入“強制安全合規(guī)”時代��。ETSI EN 303 645 提供一個“最低安全設計基線”�����,以提升消費者物聯網設備整體的安全水平����。
在歐盟市場中�,EN 303 645《消費類物聯網設備網絡安全要求標準》已成為制造商評估設備安全能力、滿足法規(guī)要求的核心依據��。該標準由歐洲電信標準化協(xié)會(ETSI)制定�,被視為全球物聯網安全的事實通用框架(de facto standard),也是歐盟����、英國及澳洲多項法規(guī)的基礎���。
對于即將或已經進入歐盟市場的產品,符合 EN 303 645 標準�����,不僅是獲得市場準入的關鍵門檻���,也代表企業(yè)具備了國際認可的網絡安全保障能力����。
新標準:
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/03.01.03_60/en_303645v030103p.pdf
舊標準:
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
| | |
| | 備出廠不得使用容易猜的密碼��。每臺設備應有唯一密碼或者在首次使用時強制用戶設置密碼���。 |
| | 制造商/服務商應有明確機制供安全研究人員報告漏洞�����,及時修復��。 |
| | 設備應具備可靠的軟件/固件更新功能��,能夠及時修補已知漏洞���,而不是用戶長期無法更新��。 |
| | 例如密鑰�����、證書���、密碼等應安全儲存,不應以明文形式暴露���。 |
| | 設備與云端/網絡通信時�����,應采用加密機制���,防止數據在傳輸過程中被竊聽或篡改 |
| | 設備應禁用未使用接口、服務�����、管理端口�����;減少黑客可能利用的入口�。 |
| | 更新或啟動時應校驗代碼/固件的完整性,防止被植入惡意代碼�����。 |
| | |
| | 設備在網絡斷開或服務受阻時�,應有一定的恢復能力,不能一斷就完全失效���。 |
| | 設備應具備適當的監(jiān)控或日志機制��,以便生產者或服務商發(fā)現異常行為���。 |
| | 用戶應能夠輕松刪除設備上其個人數據,避免設備閑置后數據繼續(xù)暴露���。 |
| | 從消費者角度出發(fā)�,減少人為的安全配置���,提供默認的安全配置����。 |
| | 設備應對外部輸入(如網絡請求、傳感器數據)做驗證�����,避免通過非法輸入觸發(fā)漏洞��。 |
| | 設備處理�����、存儲用戶數據時遵守數據保護原則(如最少權限�����、用戶透明度�����、刪除機制)明確用戶能夠控制其數據(例如數據刪除�����、賬戶注銷)設備制造商/供應商應在設計階段就考慮隱私(privacy-by-design) |
1��、通過此標準檢測將大大節(jié)省其他標準合規(guī)整改成本
雖然EN 303 645本身不是所有國家強制的法規(guī)�����,但它已成為很多國家或地區(qū)物聯網安全法規(guī)/指南的參考基線��。 采用EN 303 645可為將來可能的法規(guī)(例如歐盟��、英國�、澳洲)做好準備,從而降低未來合規(guī)風險和額外成本����。
例如:UK PSTI的標準要求全部來自EN 303 645的標準映射,EN 18031標準也有大約70%的測項要求內容來自EN 303 645���。
2�����、提升產品自身安全能力及企業(yè)系統(tǒng)化的安全流程
EN 303 645提供了一套針對消費類物聯網(consumer IoT)設備的網絡安全基線要求����,涵蓋典型風險如默認密碼、缺乏身份認證�����、通信加密不足等�。
通過實施此標準,制造商可減少設備被攻擊���、被作為 Botnet���、被用于 DDoS 或數據泄露的風險。 提高產品設計����、生產和支持生命周期中的安全成熟度,從“事后補救”轉向“設計階段嵌入安全”��。同時標準要求制造商建立漏洞報告機制�����、安全更新機制等���,這不僅是“安全”也是“質量”的體現����。長遠來看,產品安全流程完善也能減少售后問題��、品牌損害��、召回風險����,從而節(jié)省成本����。
消費者對于智能設備的安全隱患越來越敏感����。具備EN 303 645標準能力可向客戶顯示 "我們遵循國際公認的安全標準"。并且信測可以出具CNAS蓋章的VOC證書�,在營銷宣傳中,這種認證產品更有助于打造“安全可信”的品牌形象���,從而在競爭中脫穎而出���。
定義:能夠直接或間接通過網絡連接,并面向個人消費者/家庭使用的智能設備(consumer IoT devices)。
示例:
· 連接互聯網的兒童玩具�����、嬰兒監(jiān)視器��。
· 智能攝像頭����、智能門鎖、煙霧探測器�����、安全報警系統(tǒng)���、家庭自動化設備���。
· 智能家電(如聯網冰箱、洗衣機)�、智能電視、智能音箱�、家庭中樞/網關設備。
· 可穿戴設備(智能手表����、健康追蹤器)和與家庭網絡/物聯網服務相連的設備����。
· 物聯網網關 (IoT hub/gateway) 或作為家庭網絡中樞連接多個設備的設備����。
· 主要用于工業(yè)、制造或企業(yè)用途��,而非面向消費者使用的聯網設備��。
· 醫(yī)療用途的設備(例如受醫(yī)療器械法規(guī)管控的產品)通常不在本標準針對的“消費級物聯網設備”范圍之內����。
· 道路車輛及其組成部件(即車輛或車用子系統(tǒng))通常屬于其它專門法規(guī)管控范疇���,不是標準主要目標�����。
· 桌面計算機���、筆記本電腦�、平板電腦�����、智能手機等傳統(tǒng)通用計算設備�。
信測標準網絡安全實驗室具備ETSI EN 303 645的CNAS資質,憑借在ETSI EN 303 645眾多實戰(zhàn)經驗和成功檢測案例��,成功幫助客戶獲得認證證書��。我們提供ETSI EN 303 645一站式的��、最專業(yè)的檢測和認證服務�,助力制造商滿足歐盟及國際市場的網絡安全要求,實現產品安全出海與合規(guī)競爭力提升�。
信測標準網絡安全實驗室由擁有多年網絡安全經驗的網絡安全專家及項目經驗豐富的測試工程師組成,依據ISO 17025標準建設�。目前已具備智能消費電子(含無線電設備)、汽車及汽車電子�����、醫(yī)療電子�����、工業(yè)控制網絡、船級社���、數據安全�����、網絡關鍵設備及網絡安全專用產品����、軟件測試等多個垂直領域網絡安全檢測與認證能力��,同時還具備網絡安全體系項目咨詢���、安全技術服務等相關服務能力。
信測標準網絡安全實驗室服務能力覆蓋國內及海外多地區(qū)���,持有 CNAS 認可及雙 NB 安全資質���,資質完備、服務輻射廣泛���。我們并非傳統(tǒng)意義上的檢測實驗室����,而是站在客戶視角,從體系建設�����、產品安全提升����、技術賦能到網絡安全評估等全鏈路,為客戶提供全面支撐的網絡安全可信伙伴����。
郵箱:Security@emtek.com.cn
電話:0755-26954280-840
全國熱線:4008-838-258
郵箱: