10月7日舉行的第五屆東盟網絡安全部長級會議上,新加坡通信和信息部長S. Iswaran宣布推出了一項標明智能家用設備網絡安全級別的新標簽計劃。
S.Iswaran表示,該計劃將加強新加坡物聯網(IoT)的網絡安全,並可能提高物聯網設備的全球安全標准。網絡安全標簽(CLS)計劃類似于能源標簽,對安全水平進行分級評價,從而引導消費者做出明智的決定。
該計劃在亞太地區尚屬首次。它爲注冊的智能設備(如家庭路由器和智能家庭中心)建立了網絡安全評級級別。Iswaran表示:”物聯網設備制造商可以自願申請CLS。”
新加坡網絡安全局(CSA)將負責管理今年早些時候推出的這一標簽。該機構將免除第一年的申請評估費,以鼓勵該計劃的推行。
Iswaran表示,有了這些標簽,消費者可以很容易地評估每台設備的安全性,並在知情的情況下做出購買選擇。CSA計劃與東盟成員國及其他國際夥伴合作,就CLS建立互認安排,以提升全球物聯網設備市場的保安標准。
從智能揚聲器到高科技燈泡,再到機器人吸塵器,物聯網設備預計將大幅普及。市場研究公司Gartner估計,全球在用的物聯網設備將從2017年的84億件增加到今年的204億件,消費者安裝的數量將是工業設備的兩倍。但是,圍繞物聯網設備如何在設計時考慮到網絡安全的規則是寬松的,隨著此類物聯網設備的激增,引發了人們對重大隱私和安全風險的擔憂。
新加坡的網絡安全標簽計劃遵循歐盟的物聯網設備標准,該標准爲制造商規定了最低標准,包括不設置默認口令,確保在沒有用戶監督的情況下定期進行軟件升級等。
CLS計劃設置了四個安全級別,每個級別用星號表示。爲了通過前兩個等級的標准,制造商需要提交一份符合證明的聲明。對于更高的兩個級別,他們將需要提交一份由CSA批准的實驗室的評估報告。該機構從10月7日開始接受這種標簽的申請。
CLS計劃背景
近年來,世界上聯網物聯網設備的數量呈指數級增長。據估計,到2025年將有750億台物聯網設備。
物聯網産品數量的增長中,考慮到短時間上市和使用壽命較短,許多消費者物聯網産品被設計爲功能優化和成本優先,安全方面的考量不足。因此,許多出售的設備的網絡安全狀態都很差,幾乎沒有或根本沒有內置的安全功能。
這帶來了網絡安全風險,比如消費者隱私和數據的泄露,因爲黑客通常會尋找最容易攻擊的系統,以獲得最大回報。
受到威脅的物聯網設備也可以被威脅者用來形成僵屍網絡,發動分布式拒絕服務(DDoS)攻擊,從而導致互聯網服務癱瘓。典型的例子是2016年Mirai僵屍網絡攻擊,該攻擊是通過無害的物聯網設備進行的,比如家用路由器和IP攝像頭。這次攻擊導致美國東海岸的大部分互聯網無法訪問。
目前,制造商還沒有提供關于這些設備內置的安全狀態的信息。因此,消費者無法做出明智的決定來購買更安全的設備。
CLS(網絡安全標簽)計劃簡介
新加坡網絡安全局(CSA)啓動了針對消費者智能設備的網絡安全標簽計劃(CLS),作爲改善物聯網(IoT)安全、提高整體網絡衛生水平和更好地保障新加坡網絡空間安全行動的一部分。
這是亞太地區第一個這樣推行此類計劃的政府組織。根據該計劃,智能設備將根據其網絡安全規定的水平進行評級。這將使消費者能夠識別具有更好網絡安全條款的産品,並做出明智的決定。
CLS還將幫助制造商從競爭對手中脫穎而出,並鼓勵他們開發更安全的産品。目前,消費者智能設備的設計往往優先考慮功能和成本。它們的上市周期也很短,因此從一開始就將網絡安全納入産品設計的就比較少。
首先,CSA將首先在Wi-Fi路由器和智能家庭集線器類産品上實施CLS計劃。這些産品被優先考慮是因爲它們的使用範圍更廣,以及産品的折衷可能對用戶産生的影響。
爲鼓勵實施該計劃,CSA將免除CLS申請費用一年,至2021年10月6日。
對于消費者來說,根據智能設備的安全規定做出明智的購買決定。
對于開發人員來說,通過認可和改進的安全特性來讓産品更加有特色。
網絡安全評估等級
CLS包括四個網絡安全級別,與標簽上星號的數目相對應,以及該産品已成功完成的最高評估級別。
有四層不同的評估。按順序完成的每個評估層反映了産品對它們可能經常受到的基本攻擊的抵抗力不斷增強。
例如,制造商可能選擇將産品評級爲CLS級別3(三個星號),因此將産品在第1、2和3層進行評估。
第1層:安全基線需求
制造商應遵循一套基于ETSI EN 303 645的基本安全要求,消除”常見錯誤”,以防範基于常見弱點(如默認口令)的大多數攻擊,確保安全更新的可用性,並實施管理漏洞報告的手段。
第2層:生命周期需求
制造商應將基于IMDA物聯網網絡安全指南的安全考慮納入被連接設備的開發生命周期,采用安全最佳實踐(威脅建模、安全工程方法、安全供應鏈、安全測試等)來確保設備的安全。
第3層:軟件二進制分析
被連接設備的軟件由測試實驗室使用自動二進制分析設備進行評估,以確保沒有已知的關鍵軟件弱點、漏洞或惡意軟件。
第4層:滲透測試
連接的設備經過測試實驗室的滲透測試,以提供基本水平的抵抗常見的網絡安全攻擊。
CLS(網絡安全標簽計劃)標簽
消費者若要確定某産品是否已根據規定獲得認證,可參閱下列標簽:
標簽包括産品的注冊ID,其格式爲:CSA/標簽簽發日期(DDMMYY) / CSA分配的産品ID號。
網絡安全級別
標簽上的星號表示在CLS計劃內的不同等級。每一級的通用要求如下:
1級
該産品滿足基本的安全要求,如確保唯一的默認口令和提供軟件更新。
2級
該産品已經使用了設計安全性的原則來開發,例如進行威脅風險評估、關鍵設計評審和驗收測試,並滿足了1級需求。
3級
該産品已經通過第三方測試實驗室對軟件二進制文件進行了評估,並滿足了級別2的要求。
4級
該産品已通過認可的第三方測試實驗室進行了結構化滲透測試,並滿足了3級要求。
關于新加坡網絡安全局
新加坡網絡安全局(CSA)成立于2015年,旨在維護新加坡網絡空間的保衛和安全,以鞏固其國家安全、推動數字經濟並保護新加坡的數字生活方式。CSA持續續監督國家網絡安全機構運行,並與行業領導合作保護新加坡的關鍵信息基礎設施。CSA還與各利益攸關方合作,提高網絡安全意識,建立一個由強大的人才隊伍支持的充滿活力的網絡安全生態系統,尋求國際夥伴合作,推動區域網絡安全能力建設。CSA隸屬于總理辦公室,由信息和通信部負責管理。