10月7日举行的第五届东盟网络安全部长级会议上,新加坡通信和信息部长S. Iswaran宣布推出了一项标明智能家用设备网络安全级别的新标签计划。
S.Iswaran表示,该计划将加强新加坡物联网(IoT)的网络安全,并可能提高物联网设备的全球安全标准。网络安全标签(CLS)计划类似于能源标签,对安全水平进行分级评价,从而引导消费者做出明智的决定。
该计划在亚太地区尚属首次。它为注册的智能设备(如家庭路由器和智能家庭中心)建立了网络安全评级级别。Iswaran表示:"物联网设备制造商可以自愿申请CLS。"
新加坡网络安全局(CSA)将负责管理今年早些时候推出的这一标签。该机构将免除第一年的申请评估费,以鼓励该计划的推行。
Iswaran表示,有了这些标签,消费者可以很容易地评估每台设备的安全性,并在知情的情况下做出购买选择。CSA计划与东盟成员国及其他国际伙伴合作,就CLS建立互认安排,以提升全球物联网设备市场的保安标准。
从智能扬声器到高科技灯泡,再到机器人吸尘器,物联网设备预计将大幅普及。市场研究公司Gartner估计,全球在用的物联网设备将从2017年的84亿件增加到今年的204亿件,消费者安装的数量将是工业设备的两倍。但是,围绕物联网设备如何在设计时考虑到网络安全的规则是宽松的,随着此类物联网设备的激增,引发了人们对重大隐私和安全风险的担忧。
新加坡的网络安全标签计划遵循欧盟的物联网设备标准,该标准为制造商规定了最低标准,包括不设置默认口令,确保在没有用户监督的情况下定期进行软件升级等。
CLS计划设置了四个安全级别,每个级别用星号表示。为了通过前两个等级的标准,制造商需要提交一份符合证明的声明。对于更高的两个级别,他们将需要提交一份由CSA批准的实验室的评估报告。该机构从10月7日开始接受这种标签的申请。
CLS计划背景
近年来,世界上联网物联网设备的数量呈指数级增长。据估计,到2025年将有750亿台物联网设备。
物联网产品数量的增长中,考虑到短时间上市和使用寿命较短,许多消费者物联网产品被设计为功能优化和成本优先,安全方面的考量不足。因此,许多出售的设备的网络安全状态都很差,几乎没有或根本没有内置的安全功能。
这带来了网络安全风险,比如消费者隐私和数据的泄露,因为黑客通常会寻找最容易攻击的系统,以获得最大回报。
受到威胁的物联网设备也可以被威胁者用来形成僵尸网络,发动分布式拒绝服务(DDoS)攻击,从而导致互联网服务瘫痪。典型的例子是2016年Mirai僵尸网络攻击,该攻击是通过无害的物联网设备进行的,比如家用路由器和IP摄像头。这次攻击导致美国东海岸的大部分互联网无法访问。
目前,制造商还没有提供关于这些设备内置的安全状态的信息。因此,消费者无法做出明智的决定来购买更安全的设备。
CLS(网络安全标签)计划简介
新加坡网络安全局(CSA)启动了针对消费者智能设备的网络安全标签计划(CLS),作为改善物联网(IoT)安全、提高整体网络卫生水平和更好地保障新加坡网络空间安全行动的一部分。
这是亚太地区第一个这样推行此类计划的政府组织。根据该计划,智能设备将根据其网络安全规定的水平进行评级。这将使消费者能够识别具有更好网络安全条款的产品,并做出明智的决定。
CLS还将帮助制造商从竞争对手中脱颖而出,并鼓励他们开发更安全的产品。目前,消费者智能设备的设计往往优先考虑功能和成本。它们的上市周期也很短,因此从一开始就将网络安全纳入产品设计的就比较少。
首先,CSA将首先在Wi-Fi路由器和智能家庭集线器类产品上实施CLS计划。这些产品被优先考虑是因为它们的使用范围更广,以及产品的折衷可能对用户产生的影响。
为鼓励实施该计划,CSA将免除CLS申请费用一年,至2021年10月6日。
对于消费者来说,根据智能设备的安全规定做出明智的购买决定。
对于开发人员来说,通过认可和改进的安全特性来让产品更加有特色。
网络安全评估等级
CLS包括四个网络安全级别,与标签上星号的数目相对应,以及该产品已成功完成的最高评估级别。
有四层不同的评估。按顺序完成的每个评估层反映了产品对它们可能经常受到的基本攻击的抵抗力不断增强。
例如,制造商可能选择将产品评级为CLS级别3(三个星号),因此将产品在第1、2和3层进行评估。
第1层:安全基线需求
制造商应遵循一套基于ETSI EN 303 645的基本安全要求,消除"常见错误",以防范基于常见弱点(如默认口令)的大多数攻击,确保安全更新的可用性,并实施管理漏洞报告的手段。
第2层:生命周期需求
制造商应将基于IMDA物联网网络安全指南的安全考虑纳入被连接设备的开发生命周期,采用安全最佳实践(威胁建模、安全工程方法、安全供应链、安全测试等)来确保设备的安全。
第3层:软件二进制分析
被连接设备的软件由测试实验室使用自动二进制分析设备进行评估,以确保没有已知的关键软件弱点、漏洞或恶意软件。
第4层:渗透测试
连接的设备经过测试实验室的渗透测试,以提供基本水平的抵抗常见的网络安全攻击。
CLS(网络安全标签计划)标签
消费者若要确定某产品是否已根据规定获得认证,可参阅下列标签:
标签包括产品的注册ID,其格式为:CSA/标签签发日期(DDMMYY) / CSA分配的产品ID号。
网络安全级别
标签上的星号表示在CLS计划内的不同等级。每一级的通用要求如下:
1级
该产品满足基本的安全要求,如确保唯一的默认口令和提供软件更新。
2级
该产品已经使用了设计安全性的原则来开发,例如进行威胁风险评估、关键设计评审和验收测试,并满足了1级需求。
3级
该产品已经通过第三方测试实验室对软件二进制文件进行了评估,并满足了级别2的要求。
4级
该产品已通过认可的第三方测试实验室进行了结构化渗透测试,并满足了3级要求。
关于新加坡网络安全局
新加坡网络安全局(CSA)成立于2015年,旨在维护新加坡网络空间的保卫和安全,以巩固其国家安全、推动数字经济并保护新加坡的数字生活方式。CSA持续续监督国家网络安全机构运行,并与行业领导合作保护新加坡的关键信息基础设施。CSA还与各利益攸关方合作,提高网络安全意识,建立一个由强大的人才队伍支持的充满活力的网络安全生态系统,寻求国际伙伴合作,推动区域网络安全能力建设。CSA隶属于总理办公室,由信息和通信部负责管理。