ETSI EN 303 645是欧洲电信标准化协会(ETSI)于2020年发布的首个全球消费型物联网产品网络安全标准,为智能设备的普遍攻击防护提供基本评估方法。这个标准旨在保护消费者物联网设备免受重大威胁,例如在欧盟范围内销售的物联网产品必须符合其基本要求。
ETSI EN 303 645的出台背景,源自2018年的TS 103 645技术规范,经过转换和更新后,成为今天的标准化文件。其实施与欧盟的网络安全认证框架紧密相连,特别是basic等级,如新加坡、芬兰和欧洲的多项国家认证计划,如Cybersecurity Labelling Scheme、Consumer loT certification scheme等,都要求厂商遵守ETSI EN 303 645标准。
标准详细内容涉及13项关键安全规定,涵盖了密码管理、漏洞报告、软件更新、通信接口、个人资料保护和输入验证等六个方面。例如,密码管理要求设备使用用户自定义且随机的密码,且不使用通用默认密码。漏洞报告机制强调定期更新,确保及时发现并修复安全漏洞。
实际应用中,制造商需提交一致性声明书,说明设备实际操作的合规性,包括强制性、建议性和有条件性的要求。测试实验室在进行测试时,需依据声明书内容进行验证,确保产品在设计和实施阶段就考虑了网络安全,以达到相关安全标准的要求。
ETSI EN 303 645不仅是制造商和实验室的指导,也是全球物联网产品安全实践的集大成者,它通过明确的安全规定,保障了消费者物联网产品的安全性和适应性。