物联网安全
30.Jun.2023
ETSI EN 303 645标准已成国际趋势 强制性网络安全法规RED-DA该如何满足?
鉴于家用智能设备普及率持续攀升,若设备存在信息安全隐患而未解决,恐将危害个人资料与消费者隐私,问题不容小觑。为此,欧洲电信标准化协会(ETSI)网络安全技术委员会在2020年6月发布之「ETSI EN 303 645消费型物联网产品-安全基准(Cyber Security for Consumer Internet of Things: Baseline Requirements)」,最早起源于2018年6月,当时为TS 103 645;直到2019年2月才升级成EN标准并更名。该标准聚焦在消费性物联网产品的网络安全,并纳入GDPR的资料保护条款(Provision),该标准的主要目的是提供一个统一的框架与安全基线,帮助消费者物联网产品制造商提升其产品的网络安全性,确保其产品的安全性和隐私保护得到有效的管理和运作,减少设备被入侵或滥用的风险,并已成为全球趋势。
仲至信息技术服务处副处长潘勤强指出,根据欧盟的网络安全法,信息通讯产品区分为基础(Basic)、重要(Substantial)、高(High)三个网络安全等级,各有其对应的标准与合规基准,其中基础等级即适用EN 303 645标准。迄今为止,包括欧盟、新加坡、芬兰、德国在内的许多国家与地区,皆采用EN 303 645为基础。根据2025年即将强制执行的欧盟「无线电设备指令授权法案(Radio Equipment Directive: the Delegated Act for cyber security, RED-DA Article 3.3 d/e/f),该法规即针对无线电设备(含消费者物联网产品)的市场进入提出了严格的要求,如防范网络滥用、增强个人资料与隐私的保护及防诈骗的安全规定,产品于符合上述要求并经测试后取得相关认证才能上市。
优先导入SSDLC 保证开发流程的安全性
潘勤强说,为让全球制造商/开发商有明确的指引,欧盟欧洲委员会(European Commission)于2002年8月发出标准化请求,由CEN/CENELEC订立调和标准(Harmonized Standard),其内容融合了ETSI EN 303 645与IEC 62443标准。为满足该网络安全法规,制造商/开发商除将ETSI EN 303 645与IEC 62443标准作为行动指南外,仍应先行导入安全软件开发生命周期(Secure Software Development Lifecycle,SSDLC),使制造商/开发商得在产品的生命周期中早期识别和排除任何安全问题。
EN 303 645标准,为确保物联网设备的安全性及个人资料隐私安全,该标准提出一系列的要求和建议,如禁止使用通用的预设密码、允许个人删除个人隐私资料及厂商须建立漏洞回报流程与机制等。由于新兴的网络安全标准趋势并非单纯完成产品开发并经由安全测试等即可符合RED-DA等网络安全法规的要求,该调合标准中所引用,无论是IEC 62443-4-1或是ETSI EN 303645均内含Secure by Design要求。换言之,制造商/开发商并非仅将产品功能开发完成,即可直接通过EN 303 645认证,还须证明整个开发历程的安全性。通过SSDLC,我们可以确保我们的产品在开发过程中依循这些安全要求进行,以达到Secure by Design,得以进一步符合RED-DA等法规要求。目前因RED-DA的调和标准仍在制订中,其范围与实际条款仍未确立,以下将以EN 303 645为合规主要说明对象。
EN 303 645标准,为确保物联网设备的安全性及个人资料隐私安全,该标准提出一系列的要求和建议,如禁止使用通用的预设密码、允许个人删除个人隐私资料及厂商须建立漏洞回报流程与机制等。由于新兴的网络安全标准趋势并非单纯完成产品开发并经由安全测试等即可符合RED-DA等网络安全法规的要求,该调合标准中所引用,无论是IEC 62443-4-1或是ETSI EN 303645均内含Secure by Design要求。换言之,制造商/开发商并非仅将产品功能开发完成,即可直接通过EN 303 645认证,还须证明整个开发历程的安全性。通过SSDLC,我们可以确保我们的产品在开发过程中依循这些安全要求进行,以达到Secure by Design,得以进一步符合RED-DA等法规要求。目前因RED-DA的调和标准仍在制订中,其范围与实际条款仍未确立,以下将以EN 303 645为合规主要说明对象。
ETSI EN 303 645测试验证与开发指引
如上所述,EN 303 645是制定物联网信息安全的基本要求。此外,为能让本标准的测试与验证一致性,ETSI在2021年发布「TS 103 701 消费型物联网产品-安全基准合规评估(Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements)」,旨在为测试实验室提供指引,应如何针对EN 303 645标准执行测试与评估。2020年,ETSI再推出「TR 103 621 消费者物联网产品网络安全指南(Guide to Cyber Security for Consumer Internet of Things),为制造商/开发商了解并符合EN 303 645合规要求提供实操指南(Implementation Guide)。至此,EN 303 645完备其全系列标准、测试验证与开发指引。
而EN 303 645涵盖范围甚广,如物联网闸道器、烟雾侦测器、穿戴式智慧设备、智慧家庭系统、智慧摄影机、智慧电视与扬声器…等都在适用范围之列。考虑到物联网产品和使用情境的的多样性,该标准针对有实体使用限制的设备,例如,运算、通讯、储存或电力供应局限的设备,定义为受限设备(Constrained Device),另针对其特性特别制订适用条款以符合实际使用情境;至于移动应用或云端服务,则不在EN 303 645适用范畴。
潘勤强接着指出,EN 303 645共有13+1个网络安全与资料保护条款,里面蕴含68个要求,其中33个是强制要求,另35个为建议要求。值得一提,在网络安全界为人熟知的OWASP IoT Top 10风险漏洞,基本上都被涵盖在EN 303 645标准内,例如,弱密码或硬编码密码与隐私防护不足等,意味SO(Supplier Organization;制造商/开发商)须正视这些问题并加以解决。
至于SO如何展开EN 303 645合规旅程?首先研发团队须导入「安全软件开发生命周期」(SSDLC),IEC 62443也有相同概念,都要求实现基于安全的设计、即Secure by Design,在产品设计阶段纳入安全考量。其次需要根据EN 303 645、TR 103 621等文件来理解相关要求,以完成产品设计与开发。当完成产品开发,可委托拥有合格第三方测试实验室「仲至信息」执行测试。接着测试实验室将依TS 103 701规范,要求SO先行填写实际操作一致性声明书(ICS, Implementation Conformance Statement)与实际操作额外信息表(IXIT, Implementation eXtra Information for Testing)等文件,据此制定测试计划并开展测试作业。
而EN 303 645涵盖范围甚广,如物联网闸道器、烟雾侦测器、穿戴式智慧设备、智慧家庭系统、智慧摄影机、智慧电视与扬声器…等都在适用范围之列。考虑到物联网产品和使用情境的的多样性,该标准针对有实体使用限制的设备,例如,运算、通讯、储存或电力供应局限的设备,定义为受限设备(Constrained Device),另针对其特性特别制订适用条款以符合实际使用情境;至于移动应用或云端服务,则不在EN 303 645适用范畴。
潘勤强接着指出,EN 303 645共有13+1个网络安全与资料保护条款,里面蕴含68个要求,其中33个是强制要求,另35个为建议要求。值得一提,在网络安全界为人熟知的OWASP IoT Top 10风险漏洞,基本上都被涵盖在EN 303 645标准内,例如,弱密码或硬编码密码与隐私防护不足等,意味SO(Supplier Organization;制造商/开发商)须正视这些问题并加以解决。
至于SO如何展开EN 303 645合规旅程?首先研发团队须导入「安全软件开发生命周期」(SSDLC),IEC 62443也有相同概念,都要求实现基于安全的设计、即Secure by Design,在产品设计阶段纳入安全考量。其次需要根据EN 303 645、TR 103 621等文件来理解相关要求,以完成产品设计与开发。当完成产品开发,可委托拥有合格第三方测试实验室「仲至信息」执行测试。接着测试实验室将依TS 103 701规范,要求SO先行填写实际操作一致性声明书(ICS, Implementation Conformance Statement)与实际操作额外信息表(IXIT, Implementation eXtra Information for Testing)等文件,据此制定测试计划并开展测试作业。
先确认设计合理性,再验证设计的真实性
对于测试实验室而言,SO须提出实际操作一致性声明书做出相关实施的声明,详细说明受测设备(DUT)中实际操作或支持的功能。由于该声明书中分为四种状态:强制性要求(Mandatory)、建议性要求(Recommendation)、有条件式强制性要求(Mandatory with Condition)、有条件式建议性要求(Recommendation with Condition),SO须详细填写该声明书,值得注意的是,若要整体判定通过,至少所有强制性要求的所有项目须支持并通过测试。如果有条件式强制性要求与有条件式建议性要求项目,若其条件不符合,标准允许其标示不适用,只需说明合理的原因或理由;至于建议性要求项目,假使SO有意受测(标准原则上鼓励申请测试),仍可填写为YES,但到第六阶段「整体合规评定」时,若确认某建议性要求项目测试未通过,「整体合规评定」就不会过关。故最后SO、测试实验室须进行协商并决定哪些建议性要求或有条件式建议性项目应排除以符合标准的具体合规评定。
除了实际操作一致性声明书外,SO另应针对其受测设备的设计,详细填写实际操作额外信息表,共分为29个独立表格,旨在使测试人员了解产品设计与实施方式及须进行测试的内容,例如该受测设备可通过使用HTTPS协定在443端口进行存取,其认证因子为预设的密码(Pre-installed password),包含其预设密码产生方式、密码学应用相关细节(如HTTPS是通过TLS通道并使用哪些安全套件)等。测试实验室须获得相应的说明,才能针对受设备进行完整安全测试。
换言之,实验室会根据一致性声明书中列为YES的项目逐一进行安全测试;然而规范中并未限定具体的测试工具与步骤,因此不同的实验室,可能采用不同工具来测试同一个安全项目。此外针对TS 103 701所列测试情境而言,例如5.1-1,就涵盖两个不同测试用例(Test Case),分别为概念性(Conceptual)与功能性(Functional)验证,前者主要是依据实际操作额外信息表相应的设计内容,验证SO撰写的设计内容的合理性,确认完成后进入与功能性验证,验证产品的实际运作与其提供的实际操作额外信息表相应的设计内容是否相符。
完成测试后,测试实验室将提出测试报告,载明其验证与测试结果,当验证设计合理且实际验证亦符合将评定为“Pass”;当中只要有一项评定为“Fail”,则无法通过整体合规验证。如果只是因为建议性要求或有条件式建议性项目(非强制性)未通过,而整体判定未通过,可在一致性声明书重新声明不符合项目,以此来达到整体判定通过的目的。
潘勤强根据实测经验,分享几个值得SO留意的重点。例如有的产品用HTTP方式传送账号密码验证封包,但HTTP为明文传输,相对不安全,即便传输内容已经过编码、弱加密等处理,仍有机会遭黑客进行破解。像该实例中,其传输虽然经由MD5进行保护,但仍被测试人员还原,而导致最终验证不通过。此外,像是SO是否实际操作漏洞披露政策、是否保持软件更新、或在通讯中使用的加密套件是否达到最佳实践建议的安全的版本(例如,TLS 1.2以上),都是测试的重点。
综上所述,建议SO将ETSI TS 103 621 视为实施时的重要指南与参考文件,必要时请专家的指引或协助,以缩短导入时程。请记住不仅仅EN 303 645将软件安全开发生命周期(SSDLC)纳入规范,还有OT/IIOT领域标准IEC 62443、车载领域标准ISO/SAE 21434等也提出类似的要求。这已经成为当今的共识和最佳实践。因此,寻求网络安全标准合规的第一步,就是导入SSDLC。同时,请密切关注并遵守相关领域的法规与标准,以确保您的物联网设备具有适当的安全性和隐私保护措施。如有需要,随时寻求专家的协助和指引,以确保顺利实施和达到合规目标。
除了实际操作一致性声明书外,SO另应针对其受测设备的设计,详细填写实际操作额外信息表,共分为29个独立表格,旨在使测试人员了解产品设计与实施方式及须进行测试的内容,例如该受测设备可通过使用HTTPS协定在443端口进行存取,其认证因子为预设的密码(Pre-installed password),包含其预设密码产生方式、密码学应用相关细节(如HTTPS是通过TLS通道并使用哪些安全套件)等。测试实验室须获得相应的说明,才能针对受设备进行完整安全测试。
换言之,实验室会根据一致性声明书中列为YES的项目逐一进行安全测试;然而规范中并未限定具体的测试工具与步骤,因此不同的实验室,可能采用不同工具来测试同一个安全项目。此外针对TS 103 701所列测试情境而言,例如5.1-1,就涵盖两个不同测试用例(Test Case),分别为概念性(Conceptual)与功能性(Functional)验证,前者主要是依据实际操作额外信息表相应的设计内容,验证SO撰写的设计内容的合理性,确认完成后进入与功能性验证,验证产品的实际运作与其提供的实际操作额外信息表相应的设计内容是否相符。
完成测试后,测试实验室将提出测试报告,载明其验证与测试结果,当验证设计合理且实际验证亦符合将评定为“Pass”;当中只要有一项评定为“Fail”,则无法通过整体合规验证。如果只是因为建议性要求或有条件式建议性项目(非强制性)未通过,而整体判定未通过,可在一致性声明书重新声明不符合项目,以此来达到整体判定通过的目的。
潘勤强根据实测经验,分享几个值得SO留意的重点。例如有的产品用HTTP方式传送账号密码验证封包,但HTTP为明文传输,相对不安全,即便传输内容已经过编码、弱加密等处理,仍有机会遭黑客进行破解。像该实例中,其传输虽然经由MD5进行保护,但仍被测试人员还原,而导致最终验证不通过。此外,像是SO是否实际操作漏洞披露政策、是否保持软件更新、或在通讯中使用的加密套件是否达到最佳实践建议的安全的版本(例如,TLS 1.2以上),都是测试的重点。
综上所述,建议SO将ETSI TS 103 621 视为实施时的重要指南与参考文件,必要时请专家的指引或协助,以缩短导入时程。请记住不仅仅EN 303 645将软件安全开发生命周期(SSDLC)纳入规范,还有OT/IIOT领域标准IEC 62443、车载领域标准ISO/SAE 21434等也提出类似的要求。这已经成为当今的共识和最佳实践。因此,寻求网络安全标准合规的第一步,就是导入SSDLC。同时,请密切关注并遵守相关领域的法规与标准,以确保您的物联网设备具有适当的安全性和隐私保护措施。如有需要,随时寻求专家的协助和指引,以确保顺利实施和达到合规目标。
