美國政府推出物聯(lián)網(wǎng)安全標簽計劃，中國物聯(lián)網(wǎng)產(chǎn)業(yè)如何應對？

作者：趙小飛

物聯(lián)網(wǎng)智庫 原創(chuàng)

導讀

在物聯(lián)網(wǎng)連接數(shù)快速增長并對人們生產(chǎn)生活產(chǎn)生重大影響的背景下，推動物聯(lián)網(wǎng)安全標簽計劃具有重要意義，也對我國物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展帶來一定啟示。

近日，美國政府宣布了一個名為“U.S. Cyber Trust Mark”網(wǎng)絡安全和認證的標簽計劃，該計劃由美國聯(lián)邦通訊委員會（FCC）發(fā)起，主要針對家庭物聯(lián)網(wǎng)設備，將于2024年啟動，目的是為了幫助消費者篩選那些不易受網(wǎng)絡安全攻擊的可信設備，保護消費者合法權益。“U.S. Cyber Trust Mark”計劃是美國政府近年來針對物聯(lián)網(wǎng)安全出臺的系列措施中重要的組成部分，相對于其他政策，這一計劃更具有商業(yè)可行性，因此受到業(yè)界高度關注。在物聯(lián)網(wǎng)連接數(shù)快速增長并對人們生產(chǎn)生活產(chǎn)生重大影響的背景下，推動物聯(lián)網(wǎng)安全標簽計劃具有重要意義，也對我國物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展帶來一定啟示。

一、物聯(lián)網(wǎng)安全標簽計劃概況

從本次白宮和FCC發(fā)布的相關新聞稿可以看出，“U.S. Cyber Trust Mark”計劃實施的相應條件已經(jīng)具備，對于物聯(lián)網(wǎng)設備網(wǎng)絡安全和隱私保護有明顯作用。該計劃的主要內(nèi)容包括：

1、該計劃聚焦于消費物聯(lián)網(wǎng)設備

目前該計劃重點針對消費類物聯(lián)網(wǎng)產(chǎn)品，包括智能冰箱、智能空調(diào)、智能電視、智能溫控器、健身追蹤器等家庭物聯(lián)網(wǎng)設備，并已開始著手定義消費級路由器安全標準，未來也會將路由器納入認證標簽計劃中；同時，美國能源部也宣布合作計劃，研究和制定智能電表和電力逆變器的網(wǎng)絡安全標簽要求。

眾所周知，物聯(lián)網(wǎng)的安全隱患非常嚴峻，F(xiàn)CC引用美國第三方機構的數(shù)據(jù)顯示，2021年前半年，針對物聯(lián)網(wǎng)的安全供給已有15億次，其中相當部分是針對家庭攝像頭、智能冰箱等智能家居設備，所以通過物聯(lián)網(wǎng)安全標識計劃，對家庭物聯(lián)網(wǎng)產(chǎn)品進行認證很有必要。

2、通過產(chǎn)品包裝貼標簽形式，給消費者購買時提供參考

“U.S. Cyber Trust Mark”計劃通過產(chǎn)品標簽形式實施，標簽包括兩部分，一個是粘貼或印刷在產(chǎn)品包裝盒上的標識，另一個是二維碼，通過這兩部分內(nèi)容，消費者可以獲取所買物聯(lián)網(wǎng)產(chǎn)品的安全信息。

標識方面，F(xiàn)CC已向美國專利商標局提交申請，正在為該計劃申請獨特的標識商標，是獨特的盾牌標識的形狀，粘貼于符合既定網(wǎng)絡安全標準的產(chǎn)品上，表明產(chǎn)品已按標準通過網(wǎng)絡安全認證。同時，F(xiàn)CC計劃同時附上二維碼，可以鏈接該設備安全認證平臺，為消費者提供關于這些智能產(chǎn)品具體和可比的安全信息，包括收集了哪些傳感器數(shù)據(jù)、哪些數(shù)據(jù)被共享、如何應對安全更新，例如消費者在新的網(wǎng)絡安全威脅或需要打補丁時，可以掃描二維碼，了解設備是否依然通過認證。

3、多個機構聯(lián)合推動該計劃實施

FCC是這一計劃的發(fā)起機構，此前，F(xiàn)CC還聯(lián)合美國政府以及多個行業(yè)組織來推動該計劃的實施。

首先，在對物聯(lián)網(wǎng)產(chǎn)品的認證標準方面，該計劃將利用利益相關方主導的工作，根據(jù)美國國家標準和技術研究所（NIST）發(fā)布的具體網(wǎng)絡安全標準來認證和標記產(chǎn)品，包括要求唯一和強大的默認密碼、數(shù)據(jù)保護、軟件更新和事件檢測能力等方面的標準。NIST在去年9月發(fā)布了一個針對消費物聯(lián)網(wǎng)產(chǎn)品的基線標準，后續(xù)相關標準將進一步完善。此外，美國聯(lián)邦貿(mào)易委員會也在其中發(fā)揮重要作用。第三方機構的實驗室可能將承擔認證的工作，例如CSA（Connectivity Standards Alliance）、消費者技術協(xié)會（Consumer Technology Association）等。

其次，在該計劃市場推廣方面，美國政府相關機構將支持FCC對消費者進行教育，讓消費者在做出購買決策時注意這一新標簽，根據(jù)標簽所載的安全信息做出購買決定，并鼓勵美國主要零售商優(yōu)先考慮將貼有這一標識的物聯(lián)網(wǎng)產(chǎn)品放在貨架上和電商平臺上。

再次，在監(jiān)督保障方面，F(xiàn)CC還計劃與其他監(jiān)管機構和美國司法部合作，建立監(jiān)督和執(zhí)行保障措施，以維持對該計劃的信任和信心。

4、雖然是自愿性計劃，但主導廠商已表示支持

“U.S. Cyber Trust Mark”并不是一個強制性的計劃，白宮和FCC明確各制造商和零售商可自愿選擇加入。不過，在這一計劃發(fā)布的同時，與家庭物聯(lián)網(wǎng)相關的頭部廠商基本上已宣布支持該計劃。白宮發(fā)布的新聞稿中提到，發(fā)布會當天參與的機構包括亞馬遜、百思買、卡內(nèi)基梅隆大學、CyLab、思科、CSA、消費者報告機構、消費者技術協(xié)會、谷歌、英飛凌、信息技術產(chǎn)業(yè)委員會、IoXT、是德科技、LG電子美國公司、羅技、OpenPolicy、Qorvo、高通、三星電子、UL、耶魯和August U.S.。

可以看出，這些機構涵蓋了消費物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈各個環(huán)節(jié)，且很多都是產(chǎn)業(yè)鏈具有話語權的機構，既有制造商，也有零售平臺，還有監(jiān)測認證機構、聯(lián)盟組織和高校，有這些機構的推動，“U.S. Cyber Trust Mark”雖然是自愿性計劃，但很有可能會成為市場廣為接受的“準強制性”要求。當然，在首批支持者群體中，少了蘋果這一角色，似乎有些遺憾。

5、與盟友加強合作，意在將該認證推向全球

白宮在其新聞稿中提到，在國際上，美國政府將支持FCC與盟友和合作伙伴一起協(xié)調(diào)標準，并尋求對類似標簽工作的相互認可。例如，美國提出已和歐盟推動統(tǒng)一標準的合作，并開始接觸新加坡的網(wǎng)絡安全標簽計劃。可以看出，美國政府也希望其物聯(lián)網(wǎng)可信安全標簽計劃能夠成為一個“全球公認的標簽”。

二、從能源之星計劃的啟示，更具商業(yè)可行性

早在近10年前，美國立法者就意識到了物聯(lián)網(wǎng)帶來的安全威脅，開始推動物聯(lián)網(wǎng)安全方面的立法。2018年9月，美國加利福尼亞州批準通過了《IoT設備網(wǎng)絡安全法》，雖然只是加州的法律，但這是美國推出的首部物聯(lián)網(wǎng)安全專門的立法，具有劃時代意義，標志著對物聯(lián)網(wǎng)安全監(jiān)管取得實質(zhì)性進展。2020年12月，時任美國總統(tǒng)特朗普正式簽署《物聯(lián)網(wǎng)網(wǎng)絡安全改進法》，成為美國首個全國范圍內(nèi)的物聯(lián)網(wǎng)安全法律。

美國《物聯(lián)網(wǎng)網(wǎng)絡安全改進法》中，對物聯(lián)網(wǎng)產(chǎn)品進行明確定義，即至少有一個傳感器（傳感器或驅動器）用于物理世界直接交互，至少有一個網(wǎng)絡接口，并且不是傳統(tǒng)的信息技術設備，如智能手機和筆記本電腦，其網(wǎng)絡安全特性的識別和實施已被充分了解，并且能夠獨立工作，而不是只能作為另一個設備組件進行工作，如處理器。根據(jù)這一定義，目前家庭中使用的各類智能家居設備產(chǎn)品都在這一范圍之內(nèi)。

2021年，美國總統(tǒng)拜登簽發(fā)了《關于改善國家網(wǎng)絡安全行政令》，該行政令中強調(diào)了改善物聯(lián)網(wǎng)安全的必要性，并要求啟動消費物聯(lián)網(wǎng)標簽計劃，具體包括：

在本命令發(fā)布后的270天內(nèi)，商務部長通過NIST局長與聯(lián)邦貿(mào)易委員會（FTC）主席和NIST局長認為適當?shù)钠渌麢C構的代表進行協(xié)調(diào)，確定消費者標簽計劃的物聯(lián)網(wǎng)網(wǎng)絡安全標準，并考慮此類消費者標簽計劃是否可以與任何符合適用法律的類似現(xiàn)有政府計劃一起運作或復制。這些標準應反映產(chǎn)品可能經(jīng)歷的越來越全面的測試和評估水平，并應使用或兼容制造商用來告知消費者其產(chǎn)品安全性的現(xiàn)有標簽方案。NIST總監(jiān)應檢查所有相關信息、標簽和激勵計劃，并采用最佳實踐。該審查應關注消費者的易用性，并確定可以采取哪些措施來最大限度地提高制造商的參與度。

此后，物聯(lián)網(wǎng)安全標簽計劃就緊鑼密鼓推動起來。2022年10月，白宮召集了來自于物聯(lián)網(wǎng)企業(yè)、高校、第三方協(xié)會和多個政府部門就物聯(lián)網(wǎng)安全標簽計劃召開會議，其中提出了參考“能源之星（Energy Star）”計劃來推動物聯(lián)網(wǎng)安全標簽計劃。

能源之星是美國能源部和美國環(huán)保署共同推行的一項政府計劃，旨在更好地保護生存環(huán)境，節(jié)約能源。1992年由美國環(huán)保署參與，最早在電腦產(chǎn)品上推廣，后來納入此認證范圍的產(chǎn)品已達30多類，如家用電器、制熱/制冷設備、電子產(chǎn)品照明產(chǎn)品等。

能源之星計劃為自愿性，其標準通常比美國聯(lián)邦標準節(jié)能20-30%，但能源之星評級已成為消費者和企業(yè)購買決策的一個重要組成部分。所有制造商必須提交由受認可的、批準的實驗室出具的測試結果，以保證產(chǎn)品符合標準，才能獲得能源之星認證標簽。

借鑒能源之星計劃，相關機構也推出了物聯(lián)網(wǎng)安全標簽的初步研究。例如，應邀參加會議的卡內(nèi)基梅隆大學旗下的實驗室就提出一個物聯(lián)網(wǎng)安全標簽的原型如下：

從標簽原型可以看出，該標簽提供了安全更新信息、控制訪問方式、收集的數(shù)據(jù)信息等。更重要的是，標簽本身還注明了收集數(shù)據(jù)的用途、存儲位置、分享對象和是否售賣數(shù)據(jù)等信息，可以說這一標簽包含了用戶主要關注的隱私信息和廠商給出的承諾。當然，若標簽信息全部顯示，則其所占面積就非常大，很多產(chǎn)品包裝盒上無疑無法給出這么大空間，因此可以通過二維碼的形式來提供相關信息。

除了能源之星的啟示外，海外也有類似的物聯(lián)網(wǎng)安全標簽計劃供參考，例如新加坡此前就推出了自己的網(wǎng)絡安全標簽計劃，用于改善物聯(lián)網(wǎng)安全性。這一計劃最初只是為了覆蓋路由器和網(wǎng)關而推出的，此后擴展到了所有消費級物聯(lián)網(wǎng)設備上，比如攝像頭、智能門鎖、智能燈具和智能打印機等。

新加坡的物聯(lián)網(wǎng)安全標簽計劃將所有聯(lián)網(wǎng)的消費設備分為四級，第一級是滿足基本的安全要求，第二級是遵守了安全設計規(guī)范，第三級則是不存在已知的常見軟件漏洞，第四級為可抵抗常見的網(wǎng)絡攻擊。其中第一、第二兩個等級只需制造商自己的符合性聲明，而第三和第四兩個等級都必須經(jīng)過第三方獨立測試才能通過認證。新加坡這一計劃得到芬蘭、德國的認可。

三、對國內(nèi)物聯(lián)網(wǎng)產(chǎn)業(yè)的建議

2024年，“U.S. Cyber Trust Mark”計劃正式實施，屆時很多消費類物聯(lián)網(wǎng)產(chǎn)品都將進行標簽認證并在美國乃至全球市場得到認可。國內(nèi)物聯(lián)網(wǎng)市場并不是一個封閉的群體，需高度關注這一計劃的相關進度，積極推動物聯(lián)網(wǎng)產(chǎn)品安全的建設。在筆者看來，我們可以從兩方面來分析美國這一計劃對國內(nèi)的影響。

1、國內(nèi)出海的物聯(lián)網(wǎng)企業(yè)應積極重視并加入這一計劃

本次物聯(lián)網(wǎng)安全計劃針對的是消費物聯(lián)網(wǎng)產(chǎn)品，尤其是智能家居產(chǎn)品。中國是智能家居產(chǎn)出的大國，也是智能家居出口的大國。以家電為例，根據(jù)海關總署的數(shù)據(jù)，2023年1-6月，我國累計出口家用電器17.3億臺，同比增長1.4 %，雖然對美國出口市場份額大幅下滑，但美國依然是我國家電業(yè)出口額最高的地區(qū)。出口的家電產(chǎn)品中，有相當部分是智能家電。

雖然“U.S. Cyber Trust Mark”計劃不是強制性的，但它依然會顯著影響到我國出口產(chǎn)品的競爭力。能源之星計劃或許可以對其起到參考作用，根據(jù)海關總署發(fā)布的數(shù)據(jù)，2022年我國輸美的電機、電氣、音像設備及其零附件出口額高達9501.5億元，其中相當一部分是能源之星認證范疇內(nèi)的產(chǎn)品，能源之星認證推動本土品牌“走出去”，也優(yōu)化了營商環(huán)境。

參考能源之星計劃，我國企業(yè)可以提前了解“U.S. Cyber Trust Mark”計劃的規(guī)則，積極加入這一認證，獲得出海競爭力。實際上，國內(nèi)多家企業(yè)已開始行動，例如涂鴉智能近期就宣布將推動其生態(tài)產(chǎn)品積極加入這一計劃。鑒于美國計劃將“U.S. Cyber Trust Mark”計劃推向全球各盟國互認，未來我國物聯(lián)網(wǎng)出海產(chǎn)品或許會將復合這一標簽認證作為標配。

2、提前籌劃，建設本土的物聯(lián)網(wǎng)安全標簽認證實驗室

為獲得“U.S. Cyber Trust Mark”標簽，美國將委托第三方認證機構對物聯(lián)網(wǎng)產(chǎn)品進行安全檢測，對于國內(nèi)出海產(chǎn)品，若能在本土授權機構獲得認證，將大幅降低出海成本。

仍然以能源之星為例，2010年，美國環(huán)保署發(fā)布通知，要求進行能源之星產(chǎn)品檢測的實驗室需要提前獲得其授權的認可機構認可，出具的檢測結果才能被美方接受，這給我國電子電器、計算機、家用電器、照明等能源之星認證范圍內(nèi)的產(chǎn)品出口美國市場帶來不確定性。中國合格評定國家認可委員會（CNAS）做了大量工作，最終正式進入能源之星授權的認可機構名錄。目前我國獲認可的能源之星實驗室數(shù)量已達到80余家，約占全球總數(shù)的四分之一。依托認可的國際互認成果，國內(nèi)實驗室的檢測數(shù)據(jù)直接被美方承認，不僅大大縮短了產(chǎn)品備案周期，還大幅節(jié)約企業(yè)尤其是中小微企業(yè)的測試驗證成本。

借鑒這一經(jīng)驗，國內(nèi)相關機構可以提前進行籌劃，了解美國對于物聯(lián)網(wǎng)安全認證的相關規(guī)范，建設本土認證實驗室，助力國內(nèi)物聯(lián)網(wǎng)企業(yè)尤其是中小企業(yè)產(chǎn)品出口。

3、積極推動我國物聯(lián)網(wǎng)安全研究和監(jiān)管體系建設

我國物聯(lián)網(wǎng)連接數(shù)已居全球首位，物聯(lián)網(wǎng)安全壓力很大，物聯(lián)網(wǎng)安全體系建設不容忽視。目前，我國雖然在多個物聯(lián)網(wǎng)政策中提出了加快物聯(lián)網(wǎng)安全體系建設，但還沒有專門針對物聯(lián)網(wǎng)安全的法律法規(guī)。在海外物聯(lián)網(wǎng)安全立法、物聯(lián)網(wǎng)安全標簽體系建設的背景下，國內(nèi)需加強這一領域工作，借鑒海外經(jīng)驗，構建適合國內(nèi)產(chǎn)業(yè)生態(tài)的安全體系。

精選推薦

麥肯錫最新報告解讀工業(yè)自動化:未來屬于老牌企業(yè)西門子/ABB,還是互聯(lián)網(wǎng)巨頭亞馬遜/微軟?

歷史性時刻！國際電信聯(lián)盟一錘定音，6G大幕正式拉開！

Cat.1模組市場瘋狂內(nèi)卷，留給企業(yè)的利潤空間已經(jīng)不多了.....

一文看清當前運營商AI大模型布局：TeleChat、鴻湖與452億押注算力