产品安全 常见问题

产品安全工作组的目的是什么？

产品安全工作组的目的是根据安全最佳实践、技术能力和现有产品安全法规制定产品安全认证计划，用于确保物联网设备的安全，并最终授予消费者认可的标志，表明其产品正在使用满足基线安全阈值，并且可以由监管机构认可为满足适用的安全要求。授权测试实验室被用来大规模地提供此标志。

什么是产品安全性以及它与协议安全性有何不同？

标准如 Zigbee 和 Matter 定义网络协议的安全性要求。产品安全工作组通过创建整体产品安全认证计划来补充这些内容，包括产品固有但不属于网络协议一部分的安全功能，例如安全启动。此外，该计划适用于未实现任何由 Alliance.

为什么我们需要产品安全工作组，而其他工作组 Alliance 技术的认证是否已经有安全要求？

产品安全认证与我们其他工作组采用的功能和互操作性测试有很大不同。对于产品安全性，测试人员不仅必须验证产品是否正常运行和互操作，而且还必须验证它是否可以抵御某些恶意攻击。因此，产品安全认证需要不同的技能和方法。

例如，具有众所周知的管理员密码或后门的产品可能会通过功能和互操作性测试，但无法通过产品安全测试。

为什么会发生 Alliance 需要创建产品安全认证吗？

针对物联网系统的攻击在数量、复杂程度和影响方面都在持续增长。这些攻击利用了超出传统连接协议范围的任何可能的漏洞，这些协议通常仅限于保护调试和传输中的数据。

国家网络安全认证/标签计划开始出现（例如新加坡和芬兰），各国政府正在制定标准和法规来应对；列出一些已经存在或正在制定的：

• 美国 – NIST IR 8259、NIST IR 8425、NIST SP 800-213 和各种法律
• 欧盟 – 网络安全法、修订版无线电设备指令 (RED) 和网络弹性法
• 参考 IEC 62443 和 ETSI EN 303 645 等标准
• 英国 – 2022 年产品安全和电信基础设施法案
• 新加坡、芬兰、中国等

要求的持续差异和不同认证计划的激增将导致在市场布局前证明产品安全性的成本高昂且复杂，特别是对于全球参与者而言。 

Alliance我们的目标是通过利用其优势和专业知识来纠正这种情况：提供在共识驱动的标准化流程中开发的具有市场价值的认证计划，并以安全最佳实践、技术能力和现有产品安全法规为基础。

怎么样 Connectivity Standards Alliance 产品安全认证是否涉及该领域的国家、地区和国际标准？

产品安全认证基于与物联网产品安全相关的国家、地区和国际标准中包含的要求。我们期望获得以下认证的产品 Alliance 产品安全认证也将遵守这些其他标准，从而简化产品制造商和消费者的认证流程。

今年 Alliance 成员公司是否参与产品安全工作组？

在产品安全 1.0 物联网设备安全规范发布时，已有近 200 Connectivity Standards Alliance 产品安全工作组中的发起者和参与者成员公司都有代表。

规范中包含哪些必须经过认证的安全功能和要求 Alliance？该标志下的安全产品代表什么或意味着什么？

产品安全的物联网设备安全规范包括数十项具体的产品安全规定。物联网设备制造商必须证明其遵守这些规定，并向经过认证的公认测试实验室提供理由和证据，该实验室具有安全评估方面的专业知识和对与本规范相关的产品进行认证的经验。

• 具体要求包括
• 每个物联网设备的唯一身份
• 没有硬编码的默认密码
• 设备上敏感数据的安全存储
• 安全相关信息的安全通信
• 在整个支持期内确保软件更新的安全
• 安全开发流程，包括漏洞管理
• 有关安全的公共文档，包括支持期

这些要求共同保证了基本的安全要求得到满足。

如果获得认证，设备或包装上是否需要有产品安全验证标志？

不可以，设备制造商可以选择将验证标志贴在设备或包装上。他们可以通过认证计划并要求获得认证，而无需展示该标志。