專家探究

這項由美國政府首次推出的自願性網路信任標誌計畫，雖非強制性，但一般深信對產業與市場帶來極大的意義！UL Solutions 以該計畫的第一個首席管理者 (Lead Administrator) 身份，綜整計畫的重點，透過本文概述標誌擬定過程，說明其背景、實施時間表、計畫當中關鍵實體的職責、認證生命週期、標準狀態、客戶建議以及遵守計畫的好處等，以幫助產業更快掌握這項全新但卻對 IoT 產品未來十足關鍵的符合性計畫。

 
 
 

美國網路信任標誌是由時任政府領導下的聯邦通訊委員會 (FCC) 提出 ── 為一項針對消費類物聯網產品的自願網路安全認證和標籤計畫。該計畫旨在提高網路安全標準，為消費者提供更易辨識產品網路安全的採購體驗。

符合網路安全標準的產品將貼上一個盾牌徽章，以及隨附一相應二維碼可供消費者連結至獲認證設備的註冊資訊。在這項計畫公布前所完成的工作，包括了關於改善國家網路安全的總統行政命令、Solarium 報告和 NIST 試點等，而這些正為計畫奠下基礎。

在判斷是否符合認證標準時，本計畫會以美國國家標準暨技術研究院 (National Institute of Standards and Technology, NIST) 所發布的物聯網網路安全指南為基礎，只是其會對 IoT 產品的實際網路安全結果更加關注，而非一般認知的拘泥於特定指令的實現。

之所以採取這樣的衡量方式，即能在面對日趨多樣化的 IoT 市場時，擁有更多的彈性與靈活性。

實施計畫 ── 時機和批准以及未來路線圖

• 預計開始時間：2024 年末或 2025 年初。
• 消費者教育：FCC 將與業界和其他主要利益相關方聯手，準備在計畫首席管理員的支援下開展消費者教育工作，以讓大眾熟悉新標籤。
• 未來拓展：該計畫未來可能會更大幅納入非消費類智慧設備和其他物聯網產品。

實驗室、CLA 和首席管理員的職責

美國網路信任標誌計畫所仰賴正是由主要參與者所構成的結構化生態系統，來強化其有效性和完整性。一般而言，「認可實驗室」會是構成該系統的基礎，主責的任務是根據既定網路安全標準對產品進行符合性測試和評估；網路安全標籤管理者 (Cyber Label Administrator, CLA) 則會與這些實驗室共同合作，擔負著對成功滿足相應標準之產品進行評估，且授權其使用標籤的關鍵職責。

此外，計畫將由一位首席 CLA ── 即首席管理員 ── 負責在眾多利益相關方與 FCC 之間進行協調。

這樣的三層架構預期能為產品評估、認證和持續監督打造更為強大的框架，確保美國網路信任標誌能夠始終表徵著高標準的消費類物聯網設備網路安全。

認證生命週期

美國網路信任標誌的認證生命週期是一個綜合性的過程，旨在應用相關標準，來認證物聯網設備的網路安全。該計畫的標準本質上植根於 NIST 物聯網網路安全標準，尤其是 NISTIR 8425 裡所詳述的要求。認可實驗室可以上述的標準為基礎，展開嚴格的測試和評估，並根據既定基準對每種產品進行細緻的審核。

順利符合相應要求的產品接著就能進入認證和標籤階段，而這個階段，則會由網路安全標籤管理員 (CLA) 正式認可產品的符合性。不過，產品的符合性並不會在獲認證後結束。該計畫還將實施持續的監控機制，以確認獲認證產品保持長期完整性。

不過在與利益相關方協商後，首席管理員將就重新認證和市場監督要求向 FCC 提出建議，其中可能包括潛在的重新認證要求，以確保產品在整個生命週期中可持續符合不斷發展的網路安全標準。

標準狀態、互操作性以及與其他標準的對照

NIST 標準

美國網路信任標誌計畫將遵循美國國家標準暨技術研究院 (NIST) 制定的網路安全標準，重點關注技術和非技術領域。在 NISTIR 8259A 和 NISTIR 8425 等文件中皆詳細介紹了這些標準，亦概述了希望消費類物聯網產品所具備的核心網路安全功能。

這些標準所強調的正是各方面基礎，例如資產識別、產品配置、資料保護、介面存取控制、軟體更新、網路安全狀態意識、文件、資訊和查詢接收、資訊傳播以及產品教育和認知。

與全球標準保持一致

美國政府了解其他國家/地區的相關網路安全工作，因此也表明將美國網路信任標誌與其他計畫之調和的尋求工作深感興趣，例如希望整合在歐洲和國際上廣泛用於物聯網網路安全認證的 ETSI EN 303 645 等標準。藉由與這些全球標準保持一致性，美國網路信任標誌將能使獲認證產品亦能確保滿足國際網路安全要求，以讓在多個市場中有商業行為的製造商簡化產品取得不同市場所需法規的符合性流程。

隨著計畫的更臻完備與成熟，相信不久將來會有越來越多的法規調和細節釋出。

調和工作

該計畫的調和工作將進一步擴展，主要會利用現有標準和框架，打造一個充滿凝聚力的綜合性網路安全認證流程。不過計畫所打算結合的現有標準，尚未有最終的定案。

製造商的驅動因素

財務和營運益處

• 成本效益：從長遠來看，遵守美國網路信任標誌的要求可為製造商節省時間和金錢。畢竟在產品開發階段就實施強大的安全措施，將比之後因需要符合要求而必須對產品予以改造而更具成本效益，且之後的更動不僅可能成本高昂並且打亂商業計畫。

市場和消費者信任

• 強加消費者信心：美國網路信任標誌旨向消費者明確產品的網路安全穩健性，以進而強化消費者對物聯網產品的信心。直觀來說，這樣的信心與信任將能為企業帶來更大的銷售量和客戶忠誠度。
• 競爭優勢：展示美國網路信任標誌可讓製造商在市場上更有競爭優勢。與美國的 ENERGY STAR 標籤相似，消費者將可能更偏好通過網路安全認證的產品，而產生更積極的採購決定。

標準化和互操作性

• 最低安全閾值：以建立了安全標準的基線為目標，確保所有符合要求的設備皆遵循了基本的網路安全原則，例如強密碼、資料保護和自動軟體更新。在這方面能有助於消除整個產業的安全漏洞，並創建更安全的物聯網生態系統。

長期戰略意義

• 創新和生態系統發展：提高對網路安全標準的認識和遵從性，將可以推動產業創新。 以強大的認證框架為基礎，所形塑的更複雜指導方針，亦會隨著不斷衍生及變化的新網路安全挑戰而不斷發展。

監管和政策影響力

• 主動符合法規：及早採用美國網路信任標誌，製造商還能夠影響未來法規和標準的制定 ── 因為藉由積極參與計畫，並在公眾意見徵詢期主動提出意見，製造商也有機會參與直接影響其營運的政策制定。
• 政府和零售商支援：該計畫已獲得主要零售商和科技巨頭的支援，因此可進一步鼓勵製造商遵守規定。這樣的支援力道不僅證實了認證的重要性，還可確保符合要求的產品在市場上享有優先販售的地位。

我們的建議

• 早期準備：按照 NISTIR 8425 指南評估產品，以開始準備認證。
• 差距分析：利用差距分析服務，在計畫開展日期前確定需要改進的領域。
• 及時掌握：隨時了解計畫的發展情況，並參與公眾意見徵詢。
• 評估相關服務：儘管雲端服務和行動應用程式 (APP) 尚未確認是否納入認證範圍，但仍可未雨稠謬將他們列入予以評估的考量。

總結

透過取得美國網路信任標誌，製造商不僅可顯示其對網路安全的承諾，並有機會在市場上獲得優先販售的競爭優勢。在產品取證的過程中，實驗室會擔任至關重要的功能 ── 包括提供專家評估和測試服務、提供差距分析和諮詢服務、確認產品符合不斷發展的標準和法規，並支援物聯網設備安全性和消費者信任的強化等整體目標。

藉由與認可實驗室合作，製造商則能更有效率的走完認證流程，為更安全、更可靠的物聯網生態系統做出貢獻。

立刻聯絡我們 進一步洽詢，以了解我們如何協助您在今天做好準備！ 提交需求

相關新聞

• UL Solutions獲任命為美國第一個聯邦網路安全標籤計畫首席管理者

專文

• 趨勢 | 美國網路安全信任標誌

更多資源下載

• 白皮書 | 判斷物聯網產品的安全保障等級
• 白皮書 | 讓智慧家電設備連結在信任之上