近日，美國(guó)政府公布了一項(xiàng)名為“U.S. Cyber Trust Mark”的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃，該計(jì)劃由美國(guó)聯(lián)邦通訊委員會(huì)（FCC）發(fā)起，主要針對(duì)家庭物聯(lián)網(wǎng)設(shè)備。該計(jì)劃將于2024年啟動(dòng)，旨在幫助消費(fèi)者篩選出可信的、不易受網(wǎng)絡(luò)安全攻擊的設(shè)備，從而保護(hù)消費(fèi)者的合法權(quán)益。這項(xiàng)計(jì)劃是美國(guó)政府近年來針對(duì)物聯(lián)網(wǎng)安全出臺(tái)的一系列措施中的重要組成部分，相對(duì)于其他政策，這一計(jì)劃更具有商業(yè)可行性，因此受到了業(yè)界的高度關(guān)注。

一、物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃概況

在白宮和FCC最近發(fā)布的相關(guān)新聞稿中，我們可以得知“U.S. Cyber Trust Mark”這個(gè)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃的實(shí)施條件已經(jīng)逐漸成熟。此計(jì)劃對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全和隱私保護(hù)具有顯著作用，主要涵蓋以下內(nèi)容：

首先，該計(jì)劃以消費(fèi)類物聯(lián)網(wǎng)設(shè)備為焦點(diǎn)。目前，主要針對(duì)的是家庭物聯(lián)網(wǎng)設(shè)備，包括智能冰箱、智能空調(diào)、智能電視、智能溫控器、健身追蹤器等，并已經(jīng)開始著手定義消費(fèi)級(jí)路由器的安全標(biāo)準(zhǔn)。未來，該計(jì)劃還將把路由器納入其認(rèn)證標(biāo)簽范圍內(nèi)。此外，美國(guó)能源部也宣布了合作計(jì)劃，將共同研究和制定智能電表和電力逆變器的網(wǎng)絡(luò)安全標(biāo)簽要求。物聯(lián)網(wǎng)的安全隱患日益嚴(yán)重，尤其是針對(duì)家庭攝像頭、智能冰箱等智能家居設(shè)備的攻擊日益增多。因此，通過物聯(lián)網(wǎng)安全標(biāo)識(shí)計(jì)劃對(duì)家庭物聯(lián)網(wǎng)產(chǎn)品進(jìn)行認(rèn)證是非常必要的。

其次，這個(gè)計(jì)劃的實(shí)施將通過產(chǎn)品包裝上的標(biāo)簽來進(jìn)行。標(biāo)簽將包括兩部分：一部分是直接粘貼或印刷在產(chǎn)品包裝盒上的標(biāo)識(shí)，另一部分則是二維碼。消費(fèi)者可以通過掃描二維碼來獲取所購買的物聯(lián)網(wǎng)產(chǎn)品的安全信息。這將為消費(fèi)者在購買時(shí)提供重要的參考依據(jù)。

在標(biāo)識(shí)方面，F(xiàn)CC已向美國(guó)專利商標(biāo)局提交了申請(qǐng)，正在為該計(jì)劃申請(qǐng)一個(gè)獨(dú)特的標(biāo)識(shí)商標(biāo)。這個(gè)商標(biāo)將是一個(gè)獨(dú)特的盾牌標(biāo)識(shí)形狀，將粘貼在符合既定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的產(chǎn)品上，以表明這些產(chǎn)品已經(jīng)按照標(biāo)準(zhǔn)通過了網(wǎng)絡(luò)安全認(rèn)證。同時(shí)，F(xiàn)CC還計(jì)劃為每個(gè)設(shè)備附上二維碼，這些二維碼可以鏈接到該設(shè)備的安全認(rèn)證平臺(tái)。這樣，消費(fèi)者就可以通過掃描二維碼來獲取關(guān)于這些智能產(chǎn)品的具體和可比的安全信息，包括哪些傳感器數(shù)據(jù)被收集、哪些數(shù)據(jù)被共享、以及如何應(yīng)對(duì)安全更新等問題。例如，如果消費(fèi)者面臨新的網(wǎng)絡(luò)安全威脅或需要打補(bǔ)丁的情況，他們可以通過掃描二維碼來了解他們的設(shè)備是否仍然通過認(rèn)證。

第三，多個(gè)機(jī)構(gòu)正在聯(lián)合推動(dòng)該計(jì)劃的實(shí)施。FCC是這一計(jì)劃的發(fā)起機(jī)構(gòu)，此前，F(xiàn)CC還與美國(guó)政府以及多個(gè)行業(yè)組織合作來推動(dòng)該計(jì)劃的實(shí)施。在制定物聯(lián)網(wǎng)產(chǎn)品的認(rèn)證標(biāo)準(zhǔn)方面，該計(jì)劃將利用利益相關(guān)方主導(dǎo)的工作，根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）發(fā)布的具體網(wǎng)絡(luò)安全標(biāo)準(zhǔn)來認(rèn)證和標(biāo)記產(chǎn)品。這些標(biāo)準(zhǔn)包括唯一和強(qiáng)大的默認(rèn)密碼、數(shù)據(jù)保護(hù)、軟件更新和事件檢測(cè)能力等方面的要求。NIST在去年9月發(fā)布了一個(gè)針對(duì)消費(fèi)物聯(lián)網(wǎng)產(chǎn)品的基線標(biāo)準(zhǔn)，后續(xù)相關(guān)標(biāo)準(zhǔn)將進(jìn)一步完善。此外，美國(guó)聯(lián)邦貿(mào)易委員會(huì)也在其中發(fā)揮了重要作用。第三方機(jī)構(gòu)的實(shí)驗(yàn)室可能將承擔(dān)認(rèn)證的工作，例如CSA（Connectivity Standards Alliance）、消費(fèi)者技術(shù)協(xié)會(huì)（Consumer Technology Association）等。

在市場(chǎng)推廣方面，美國(guó)政府相關(guān)機(jī)構(gòu)將支持FCC對(duì)消費(fèi)者進(jìn)行教育，讓消費(fèi)者注意到這個(gè)新的安全標(biāo)簽，并根據(jù)標(biāo)簽提供的安全信息做出購買決策。同時(shí)，美國(guó)主要零售商也將被鼓勵(lì)優(yōu)先考慮將貼有這個(gè)標(biāo)識(shí)的物聯(lián)網(wǎng)產(chǎn)品放在貨架上和電商平臺(tái)上。

此外，為了保障監(jiān)督實(shí)施，F(xiàn)CC還計(jì)劃與其他監(jiān)管機(jī)構(gòu)和美國(guó)司法部合作，建立監(jiān)督和執(zhí)行保障措施，以維持公眾對(duì)這一計(jì)劃的信任和信心。

第四，雖然是自愿性計(jì)劃，但主導(dǎo)廠商已表示支持“U.S. Cyber Trust Mark”并不是一個(gè)強(qiáng)制性的計(jì)劃，白宮和FCC明確各制造商和零售商可自愿選擇加入。不過，在這一計(jì)劃發(fā)布的同時(shí)，與家庭物聯(lián)網(wǎng)相關(guān)的頭部廠商基本上已宣布支持該計(jì)劃。白宮發(fā)布的新聞稿中提到，發(fā)布會(huì)當(dāng)天參與的機(jī)構(gòu)包括亞馬遜、百思買、卡內(nèi)基梅隆大學(xué)、CyLab、思科、CSA、消費(fèi)者報(bào)告機(jī)構(gòu)、消費(fèi)者技術(shù)協(xié)會(huì)、谷歌、英飛凌、信息技術(shù)產(chǎn)業(yè)委員會(huì)、IoXT、是德科技、LG電子美國(guó)公司、羅技、OpenPolicy、Qorvo、高通、三星電子、UL、耶魯和August U.S.?？梢钥闯觯@些機(jī)構(gòu)涵蓋了消費(fèi)物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié)，且很多都是產(chǎn)業(yè)鏈具有話語權(quán)的機(jī)構(gòu)，既有制造商，也有零售平臺(tái)，還有監(jiān)測(cè)認(rèn)證機(jī)構(gòu)、聯(lián)盟組織和高校，有這些機(jī)構(gòu)的推動(dòng)，“U.S. Cyber Trust Mark”雖然是自愿性計(jì)劃，但很有可能會(huì)成為市場(chǎng)廣為接受的“準(zhǔn)強(qiáng)制性”要求。當(dāng)然，在首批支持者群體中，少了蘋果這一角色，似乎有些遺憾。5、與盟友加強(qiáng)合作，意在將該認(rèn)證推向全球白宮在其新聞稿中提到，在國(guó)際上，美國(guó)政府將支持FCC與盟友和合作伙伴一起協(xié)調(diào)標(biāo)準(zhǔn)，并尋求對(duì)類似標(biāo)簽工作的相互認(rèn)可。例如，美國(guó)提出已和歐盟推動(dòng)統(tǒng)一標(biāo)準(zhǔn)的合作，并開始接觸新加坡的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃?？梢钥闯?，美國(guó)政府也希望其物聯(lián)網(wǎng)可信安全標(biāo)簽計(jì)劃能夠成為一個(gè)“全球公認(rèn)的標(biāo)簽”。

二、從能源之星計(jì)劃的啟示，更具商業(yè)可行性

十年前，美國(guó)立法者已經(jīng)認(rèn)識(shí)到物聯(lián)網(wǎng)帶來的安全威脅，并開始推動(dòng)物聯(lián)網(wǎng)安全方面的立法。2018年，加利福尼亞州通過了《IoT設(shè)備網(wǎng)絡(luò)安全法》，這是美國(guó)第一部針對(duì)物聯(lián)網(wǎng)安全的法律，具有歷史性的意義。隨后，在2020年，時(shí)任總統(tǒng)特朗普正式簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》，成為美國(guó)首個(gè)全國(guó)范圍內(nèi)的物聯(lián)網(wǎng)安全法律。

在該法律中，物聯(lián)網(wǎng)產(chǎn)品被明確定義為：至少含有一個(gè)傳感器（傳感器或驅(qū)動(dòng)器）用于與物理世界直接交互，至少含有一個(gè)網(wǎng)絡(luò)接口，并且不是傳統(tǒng)的信息技術(shù)設(shè)備（如智能手機(jī)和筆記本電腦）。這類產(chǎn)品的網(wǎng)絡(luò)安全特性的識(shí)別和實(shí)施已被充分了解，并且能夠獨(dú)立工作，而不是只能作為另一個(gè)設(shè)備組件進(jìn)行工作，如處理器。根據(jù)這一定義，目前家庭中使用的各類智能家居設(shè)備產(chǎn)品都在這一范圍之內(nèi)。

在2021年，總統(tǒng)拜登簽發(fā)了《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全行政令》，其中包括：

在本命令發(fā)布后的270天內(nèi)，商務(wù)部長(zhǎng)通過NIST局長(zhǎng)與聯(lián)邦貿(mào)易委員會(huì)(FTC)主席和NIST局長(zhǎng)認(rèn)為適當(dāng)?shù)钠渌麢C(jī)構(gòu)的代表進(jìn)行協(xié)調(diào)，確定消費(fèi)者標(biāo)簽計(jì)劃的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，并考慮此類消費(fèi)者標(biāo)簽計(jì)劃是否可以與任何符合適用法律的類似現(xiàn)有政府計(jì)劃一起運(yùn)作或復(fù)制。這些標(biāo)準(zhǔn)應(yīng)反映產(chǎn)品可能經(jīng)歷的越來越全面的測(cè)試和評(píng)估水平，并應(yīng)使用或兼容制造商用來告知消費(fèi)者其產(chǎn)品安全性的現(xiàn)有標(biāo)簽方案。NIST總監(jiān)應(yīng)檢查所有相關(guān)信息、標(biāo)簽和激勵(lì)計(jì)劃，并采用最佳實(shí)踐。該審查應(yīng)關(guān)注消費(fèi)者的易用性，并確定可以采取哪些措施來最大限度地提高制造商的參與度。

自那時(shí)起，物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃便開始加速推進(jìn)。2022年10月，白宮召集了來自物聯(lián)網(wǎng)企業(yè)、高校、第三方協(xié)會(huì)和多個(gè)政府部門的代表，共同商討物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃的實(shí)施。在會(huì)議中，參考“能源之星(Energy Star)”計(jì)劃成為了推動(dòng)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃的重要參考。

能源之星是美國(guó)能源部和環(huán)保署聯(lián)合發(fā)起的政府計(jì)劃，旨在保護(hù)環(huán)境、節(jié)約能源。該計(jì)劃最早在電腦上推廣，后來逐漸擴(kuò)展到30多種產(chǎn)品，如家用電器、制熱/制冷設(shè)備、電子產(chǎn)品等。能源之星計(jì)劃是自愿性的，其標(biāo)準(zhǔn)通常比聯(lián)邦標(biāo)準(zhǔn)節(jié)能20-30%，因此已經(jīng)成為消費(fèi)者和企業(yè)購買決策的重要參考。為了獲得能源之星的認(rèn)證標(biāo)簽，制造商必須提交由認(rèn)可的實(shí)驗(yàn)室出具的測(cè)試結(jié)果，確保產(chǎn)品符合標(biāo)準(zhǔn)。借鑒能源之星的成功經(jīng)驗(yàn)，相關(guān)機(jī)構(gòu)也開展了物聯(lián)網(wǎng)安全標(biāo)簽的初步研究。例如，應(yīng)邀參加會(huì)議的卡內(nèi)基梅隆大學(xué)旗下的實(shí)驗(yàn)室就提出一個(gè)物聯(lián)網(wǎng)安全標(biāo)簽的原型如下：

從標(biāo)簽原型可以看出，該標(biāo)簽提供了關(guān)于安全更新、訪問控制、收集數(shù)據(jù)等方面的信息。更重要的是，標(biāo)簽注明了收集數(shù)據(jù)的用途、存儲(chǔ)位置、分享對(duì)象以及是否售賣數(shù)據(jù)等信息，涵蓋了用戶關(guān)注的隱私信息和廠商的承諾。然而，如果全部顯示標(biāo)簽信息，所需空間會(huì)很大，許多產(chǎn)品包裝盒上可能無法提供足夠的空間。因此，可以通過二維碼的形式來提供相關(guān)信息。除了借鑒能源之星的啟示，海外也有類似的物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃可供參考，例如新加坡之前推出的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃旨在改善物聯(lián)網(wǎng)安全性。最初該計(jì)劃僅針對(duì)路由器和網(wǎng)關(guān)，后來擴(kuò)展到所有消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備，如攝像頭、智能門鎖、智能燈具和智能打印機(jī)等。

新加坡的物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃將所有聯(lián)網(wǎng)的消費(fèi)設(shè)備分為四個(gè)等級(jí)。第一級(jí)需要滿足基本的安全要求，第二級(jí)需要遵守安全設(shè)計(jì)規(guī)范，第三級(jí)需要不存在已知的常見軟件漏洞，第四級(jí)則需要能夠抵抗常見的網(wǎng)絡(luò)攻擊。其中，第一和第二等級(jí)只需制造商自己出具符合性聲明，而第三和第四等級(jí)必須經(jīng)過第三方獨(dú)立測(cè)試才能獲得認(rèn)證。這一計(jì)劃得到了芬蘭和德國(guó)的認(rèn)可。

三、對(duì)國(guó)內(nèi)物聯(lián)網(wǎng)產(chǎn)業(yè)的建議

2024年，“U.S. Cyber Trust Mark”計(jì)劃正式實(shí)施，屆時(shí)很多消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品都將進(jìn)行標(biāo)簽認(rèn)證并在美國(guó)乃至全球市場(chǎng)得到認(rèn)可。國(guó)內(nèi)物聯(lián)網(wǎng)市場(chǎng)并不是一個(gè)封閉的群體，需高度關(guān)注這一計(jì)劃的相關(guān)進(jìn)度，積極推動(dòng)物聯(lián)網(wǎng)產(chǎn)品安全的建設(shè)。在筆者看來，我們可以從兩方面來分析美國(guó)這一計(jì)劃對(duì)國(guó)內(nèi)的影響。

1、國(guó)內(nèi)出海的物聯(lián)網(wǎng)企業(yè)應(yīng)積極重視并加入這一計(jì)劃

本次物聯(lián)網(wǎng)安全計(jì)劃針對(duì)的是消費(fèi)物聯(lián)網(wǎng)產(chǎn)品，尤其是智能家居產(chǎn)品。中國(guó)是智能家居產(chǎn)出的大國(guó)，也是智能家居出口的大國(guó)。以家電為例，根據(jù)海關(guān)總署的數(shù)據(jù)，2023年1-6月，我國(guó)累計(jì)出口家用電器17.3億臺(tái)，同比增長(zhǎng)1.4 %，雖然對(duì)美國(guó)出口市場(chǎng)份額大幅下滑，但美國(guó)依然是我國(guó)家電業(yè)出口額最高的地區(qū)。出口的家電產(chǎn)品中，有相當(dāng)部分是智能家電。雖然“U.S. Cyber Trust Mark”計(jì)劃不是強(qiáng)制性的，但它依然會(huì)顯著影響到我國(guó)出口產(chǎn)品的競(jìng)爭(zhēng)力。能源之星計(jì)劃或許可以對(duì)其起到參考作用，根據(jù)海關(guān)總署發(fā)布的數(shù)據(jù)，2022年我國(guó)輸美的電機(jī)、電氣、音像設(shè)備及其零附件出口額高達(dá)9501.5億元，其中相當(dāng)一部分是能源之星認(rèn)證范疇內(nèi)的產(chǎn)品，能源之星認(rèn)證推動(dòng)本土品牌“走出去”，也優(yōu)化了營(yíng)商環(huán)境。參考能源之星計(jì)劃，我國(guó)企業(yè)可以提前了解“U.S. Cyber Trust Mark”計(jì)劃的規(guī)則，積極加入這一認(rèn)證，獲得出海競(jìng)爭(zhēng)力。實(shí)際上，國(guó)內(nèi)多家企業(yè)已開始行動(dòng)，例如涂鴉智能近期就宣布將推動(dòng)其生態(tài)產(chǎn)品積極加入這一計(jì)劃。鑒于美國(guó)計(jì)劃將“U.S. Cyber Trust Mark”計(jì)劃推向全球各盟國(guó)互認(rèn)，未來我國(guó)物聯(lián)網(wǎng)出海產(chǎn)品或許會(huì)將復(fù)合這一標(biāo)簽認(rèn)證作為標(biāo)配。

2、提前籌劃，建設(shè)本土的物聯(lián)網(wǎng)安全標(biāo)簽認(rèn)證實(shí)驗(yàn)室

為獲得“U.S. Cyber Trust Mark”標(biāo)簽，美國(guó)將委托第三方認(rèn)證機(jī)構(gòu)對(duì)物聯(lián)網(wǎng)產(chǎn)品進(jìn)行安全檢測(cè)，對(duì)于國(guó)內(nèi)出海產(chǎn)品，若能在本土授權(quán)機(jī)構(gòu)獲得認(rèn)證，將大幅降低出海成本。仍然以能源之星為例，2010年，美國(guó)環(huán)保署發(fā)布通知，要求進(jìn)行能源之星產(chǎn)品檢測(cè)的實(shí)驗(yàn)室需要提前獲得其授權(quán)的認(rèn)可機(jī)構(gòu)認(rèn)可，出具的檢測(cè)結(jié)果才能被美方接受，這給我國(guó)電子電器、計(jì)算機(jī)、家用電器、照明等能源之星認(rèn)證范圍內(nèi)的產(chǎn)品出口美國(guó)市場(chǎng)帶來不確定性。中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)做了大量工作，最終正式進(jìn)入能源之星授權(quán)的認(rèn)可機(jī)構(gòu)名錄。目前我國(guó)獲認(rèn)可的能源之星實(shí)驗(yàn)室數(shù)量已達(dá)到80余家，約占全球總數(shù)的四分之一。依托認(rèn)可的國(guó)際互認(rèn)成果，國(guó)內(nèi)實(shí)驗(yàn)室的檢測(cè)數(shù)據(jù)直接被美方承認(rèn)，不僅大大縮短了產(chǎn)品備案周期，還大幅節(jié)約企業(yè)尤其是中小微企業(yè)的測(cè)試驗(yàn)證成本。借鑒這一經(jīng)驗(yàn)，國(guó)內(nèi)相關(guān)機(jī)構(gòu)可以提前進(jìn)行籌劃，了解美國(guó)對(duì)于物聯(lián)網(wǎng)安全認(rèn)證的相關(guān)規(guī)范，建設(shè)本土認(rèn)證實(shí)驗(yàn)室，助力國(guó)內(nèi)物聯(lián)網(wǎng)企業(yè)尤其是中小企業(yè)產(chǎn)品出口。

3、積極推動(dòng)我國(guó)物聯(lián)網(wǎng)安全研究和監(jiān)管體系建設(shè)

我國(guó)物聯(lián)網(wǎng)連接數(shù)已居全球首位，物聯(lián)網(wǎng)安全壓力很大，物聯(lián)網(wǎng)安全體系建設(shè)不容忽視。目前，我國(guó)雖然在多個(gè)物聯(lián)網(wǎng)政策中提出了加快物聯(lián)網(wǎng)安全體系建設(shè)，但還沒有專門針對(duì)物聯(lián)網(wǎng)安全的法律法規(guī)。在海外物聯(lián)網(wǎng)安全立法、物聯(lián)網(wǎng)安全標(biāo)簽體系建設(shè)的背景下，國(guó)內(nèi)需加強(qiáng)這一領(lǐng)域工作，借鑒海外經(jīng)驗(yàn)，構(gòu)建適合國(guó)內(nèi)產(chǎn)業(yè)生態(tài)的安全體系。