随着我们开始将更多的智能设备带入我们的生活, 网络安全 成为人们日益关注的问题。例如, 卡巴斯基蜜罐 据透露,仅 1.5 年上半年,针对消费者物联网设备的攻击就超过 2019 亿次。为了最大限度地降低这些网络安全风险,ETSI(欧洲电信标准协会)小组于 2021 年创建了一项标准 - ETSI EN 303 645。
但 ETSI EN 303 645 是什么?它有什么作用?我们将回答这个问题以及下面的更多内容。
ETSI EN 303 645 标准
简而言之,该标准为互联消费物联网设备的安全性提供了全球基准,以加强其前身 TS 103 645。
来自学术界、工业界和政府的众多专家参与其中,制定了 13 项旨在防止大规模网络攻击的强有力条款,例如臭名昭著的网络攻击 2016年Mirai僵尸网络攻击 感染了数十万台设备。
13 规定
- 没有通用的默认密码。
- 实施管理漏洞报告的方法。
- 保持软件更新。
- 安全地存储敏感的安全参数。
- 安全地沟通。
- 最大限度地减少暴露的攻击面。
- 确保软件完整性。
- 确保个人数据的保护。
- 使系统能够抵抗中断。
- 检查系统遥测数据。
- 让消费者轻松删除个人数据。
- 使设备的安装和维护变得简单。
- 验证输入数据。
此外,一些条款符合 GDPR 等数据隐私法案。例如,制造商必须向消费者提供关于收集哪些数据、如何使用数据以及如何删除数据的明确信息。
ETSI EN 303 645 是否适用于所有物联网设备?
“消费者”一词是该标准的核心。它扩展到连接或 “智能” 如今任何人都可以在家里拥有。例如,智能电视、扬声器、报警系统、门锁、烟雾探测器和婴儿监视器等。
该标准还适用于连接的网关、集线器和基站。毕竟,现在一个家庭包含多达 16 个联网设备,每个设备都有一个家庭网络的入口点。因此,ETSI EN 303 645 的覆盖范围扩展到各种设备的集中接入点。
为什么需要这个标准?
物联网制造商通常不会构建自己的操作系统 (OS),因为它既昂贵又耗时。与一般智能电视制造商相比,微软等全球科技公司将为其数百万用户提供操作系统更新。
此外,物联网设备的销售商或制造商通常不是设备硬件或软件的端到端构建者,这意味着设备的内部工作原理通常是模糊的。
对于任何人来说,要获取此信息,他们的选择是采用水晶盒或黑盒方法。
- 水晶盒做法:厂商主动提供源代码和设计。文档。这种情况很少见,但可以通过源代码审核来确定如何设置和维护信任边界。
- 黑盒方法:更常见的方法,必须对固件进行逆向工程,才能充分了解设备内部发生的情况。
ETSI EN 303 545 的含义
从本质上讲,制造商必须通过第三方测试实验室进行的评估,证明其消费物联网设备符合 ETSI EN 303 645。
一般来说,评估过程包括:
- 制造商首先填写两个为设备评估提供信息的关键文件:实施一致性声明 (ICS)。这表明 IoT 设备满足或不满足 ETSI EN 2 303 中的哪些要求。
- 第二个是测试实施额外信息(IXIT),它提供了测试的设计细节。
- 测试实验室将根据提供的两份文件报告对产品进行评估和测试,以表明产品是否符合 ETSI EN 303 645 标准。
基线安全标准
虽然不全面,但 ETSI EN 303 645 为物联网利益相关者设定可实现的基线安全标准。该标准还增强了消费者对日常“智能”产品安全性的信心。随附的合规标签还将帮助消费者轻松识别他们可以放心购买的产品。
如果您是物联网设备销售商、OEM、进口商或出口商,请立即采取积极主动的网络安全方法,以确保客户的安全和隐私。
- :具有
- :是
- :不是
- :在哪里
- 01
- 1
- 13
- 16
- 2%
- 2019
- 2021
- 5
- a
- 学院
- ACCESS
- 随同
- 完成
- 可实现
- 行为
- 后
- 驳
- 报警
- 所有类型
- 允许
- 单
- 还
- 其中
- an
- 和
- 回答
- 任何
- 任何人
- 适用
- 使用
- 的途径
- 保健
- AS
- 保证
- At
- 攻击
- 攻击
- 达到
- 审计
- 母婴
- 基地
- 基于
- 底线
- BE
- 成为
- 如下。
- 亿
- 黑色
- 提升
- 僵尸网络
- 边界
- 盒子
- 带来
- 建立
- 建设者
- 但是
- 购买
- by
- CAN
- Center
- 集中
- 清除
- 码
- 代码审核
- 集
- 相当常见
- 公司
- 相比
- 符合
- 符合
- 全面
- 关心
- 信心
- 已联繫
- 连接的设备
- 由
- 消费者
- 消费者
- 包含
- 覆盖
- 创建
- 水晶
- 合作伙伴
- 网络安全
- data
- 数据隐私
- 默认
- 删除
- 删除
- 设计
- 设计
- 详情
- 确定
- 设备
- 设备
- do
- 文件
- 文件
- 不
- 门
- 每
- 容易
- 易
- 端至端
- 从事
- 设计
- 确保
- 条目
- 欧洲
- 评估
- 评估
- 日常
- 例子
- 昂贵
- 专家
- 裸露
- 扩展
- 额外
- 填
- (名字)
- 针对
- 对于消费者
- 止
- 前
- 网关
- 《通用数据保护条例》(GDPR)
- 通常
- 得到
- 全球
- GOES
- 政府
- 团队
- 成长
- 半
- 硬件
- 有
- 帮助
- 主页
- 创新中心
- HTTPS
- 集线器
- 数百
- ICS
- 鉴定
- if
- 履行
- in
- 表明
- 表示
- 行业中的应用:
- 感染
- 信息
- 内
- 输入
- 内
- 安装
- 例
- 研究所
- 诚信
- 成
- 物联网
- 物联网设备
- 物联网设备
- IT
- 它的
- JPG
- 卡巴斯基
- 键
- 标签
- 实验室
- 大规模
- 喜欢
- Line
- 生活
- 锁
- 维持
- 保养
- 的Malwarebytes
- 管理的
- 生产厂家
- 制造商
- 许多
- 最大宽度
- 意
- 手段
- 满足
- 微软
- 百万
- 大幅减低
- 显示器
- 更多
- 必须
- 需求
- 网络
- 全新
- 现在
- 如今
- 果壳
- 模糊
- 获得
- of
- 经常
- on
- 操作
- 操作系统
- 附加选项
- or
- OS
- 其它
- 我们的
- 输出
- 停机
- 超过
- 参数
- 通过
- 密码
- 执行
- 人
- 个人
- 个人资料
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 前任
- 防止
- 隐私
- 主动
- 过程
- 产品
- 核心产品
- 保护
- 证明
- 提供
- 提供
- 提供
- 题
- 罕见
- 报告
- 业务报告
- 岗位要求
- 耐
- 导致
- 揭密
- 反转
- 风险
- 健壮
- 实现安全
- 其次
- 安全
- 保安
- 敏感
- 集
- 套数
- 几个
- 智能
- 智能电视
- 烟雾
- 软件
- 固体
- 来源
- 源代码
- 音箱
- 利益相关者
- 标准
- 标准
- 开始
- 个人陈述
- 监测站
- 商店
- 加强
- 这样
- 供应
- 系统
- 产品
- 采取
- 科技
- 高科技公司
- 电信
- test
- 测试
- 这
- 安全
- 其
- 博曼
- 他们
- 第三方
- Free Introduction
- 数千
- 从而
- 耗时的
- 至
- 今晚
- 信任
- Ts
- tv
- 二
- 理解
- 普遍
- 更新
- 最新动态
- 用过的
- 用户
- 各个
- 漏洞
- we
- 为
- 什么是
- 什么是
- 这
- 将
- Word
- 运作
- 将
- 您一站式解决方案
- 和风网