欧洲电信标准委员会(ETSI)在2019年2月发布了新标准103645,一部针对消费类物联网智能产品网络安全的标准。这部新标准对消费类物联网行业有什么意义和帮助呢?TÜV莱茵为大家细细解读。
新标准,新作用
这几年,全球各地陆续推出了多部针对数据保护的法案和指令,例如欧盟颁布的通用数据保护法案(GDPR)、E-Privacy指令,美国加州颁布的物联网设备安全指令Senate Bill 327、消费者隐私法案,美国联邦颁布的物联网网络安全改进法案,等等。但是却没有现行的协调标准来指导各行业的参与者来做到法案的合规。
欧洲电信标准委员会(ETSI)作为一个被CEN(欧洲标准化协会)和CEPT(欧洲邮电主管部门会议)认可的电信标准协会,其制定的推荐性标准常被欧共体作为欧洲法规的技术基础而采用并被要求执行。如标准原文所说:越来越多的物联网产品和物联网业务涉及到了个人数据的处理和存储,该标准能够帮助确保物联网产品和业务是GDPR合规的。未来欧盟网络安全法和美国物联网网络安全改进法案都会发布通用认证体系,而这部标准也能够帮助各个组织更好的加入上述认证体系。
ETSI 103645的通过意味着消费类物联网产品和业务是GDPR合规的,也能够更好的适应全球其他地区的数据保护法案和指令。
新标准,新范围
在这部标准发布之前,全球并没有物联网产品相关的通用标准。这部标准的针对范围是消费类物联网产品,包括但是不限于:
•联网智能玩具和婴儿监护器
•联网安防产品,比如烟雾报警器和门锁
•智能摄像头、智能电视、智能音箱
•可穿戴健康追踪仪
•联网家庭自动化设备和报警设备
•联网智能家电(智能冰箱、洗衣机等)
•智能家居助理
同时,这部标准也把部分B端使用的物联网产品也纳入了标准范围,比如B端使用的智能监控、智能传感器等等。这部标准可以为物联网行业的各个参与者提供足够的技术指引。
生产设备、工业设备、医疗设备不在该标准的要求范围内。
新标准,新要求
这部标准并非要解决消费者物联网中的所有安全风险,而是以结果为导向的提出了技术控制手段。提出的要求如下:
1、没有通用默认密码
2、实施管理漏洞报告的方法
3、保持软件更新
4、安全存储凭据和敏感数据
5、安全传输
6、最大限度地减少暴露的攻击面
7、确保软件完整性
8、确保个人数据受到保护
9、系统应该具有弹性,使停机快速恢复
10、检查系统遥测数据
11、方便消费者删除个人数据
12、简化设备的安装和维护
13、验证各渠道输入数据
捡证网提供相关检测认证咨询服务,咨询电话:13636483412 QQ: 495226609 邮箱:yangda@jz-cert.com